蜂鸣器电路
活动⽬录(域控)解决⽅案活动⽬录解决⽅案
成都伊登软件技术有限公司
⼆〇⼀七年九⽉⼋⽇
⽬录
1概述 (2)
1.1背景介绍 (2)
高压配电盒
1.2现状描述 (2)
1.3问题分析 (2)
2总体功能需求 (3)
2.1集中的组织与管理⽹络内的服务器及客户端 (3) 2.2 统⼀的数据组织与资源管理 (3)
2.4 集中化的软件部署与运⾏限制 (4)
2.5 功能强⼤并易于扩展的IT基础架构 (4)
3解决⽅案建议 (4)
3.1概念描述 (4)
3.2建设内容 (6)
3.2.1建⽴基础平台 (6)
3.3建设策略 (6)
4解决⽅案实施 (7)
4.1AD域命名和DNS的规划 (7)
4.2确定AD逻辑结构 (7)
4.3确定AD物理结构 (9)
4.4规划OU结构和组策略 (9)
4.5创建OU 以管理和委派 (10)
4.6创建OU ⽀持组策略 (11)
4.7应⽤组策略选项 (12)
4.8硬件设备选型建议 (13)
5解决⽅案优势 (14)
5.1为什么选择微软 (14)
5.2Windows Server 2008 R2 活动⽬录的优点 (14)
6服务内容 (17)
6.1可⾏性调查 (17)
6.2规划活动⽬录部署⽅案 (17)烯合金
6.3部署活动⽬录服务 (18)
6.4制订活动⽬录管理维护规范 (18)
6.5⼯程师定时上门进⾏活动⽬录⽇常维护 (18)
6.6处理活动⽬录紧急情况 (18)
6.7整理和存档资料 (19)
6.8培训系统管理员 (19)
7服务质量保证 (20)
8部分成功案例......................................................................................... 错误!未定义书签。
1概述
1.1 背景介绍
本解决⽅案将从XX的IT环境现状出发,分析现有环境,提出XX关⼼的关键问题及未来的挑战,并根据相关问题详细阐述对应解决⽅案,帮助XX快速解决问题,以信息技术提升企业⽣产⼒。 1.2 现状描述毛皮加工
当前国内企业内部⽹络环境多数仍为松散的管理状态,IT环境中硬件设备伴随着组织中⼈员数量的增加每年都在增长,⼤⼒的信息化建设使硬件和应⽤软件单纯从技术层⾯上讲都达到了较⾼的⽔平,但实际环境中⽆论是⼯作⽤桌⾯计算机还是服务器都是采⽤⼯作组模型,各⾃独⽴。IT环境中的软硬件资源都⽆法实现充分利⽤。
经历了⼤规模⽹络和硬件投资建设之后,多数企业的信息技术部门开始转向关⼼信息化建设投资的“效益”,——究竟过去投⼊建成的这些设备,能够形成哪些应⽤,带来什么效益?这已经成为信息技术部门与企业管理⼈员最为关⼼的重点问题。
从信息技术部门⼈员来说,如何整合现有IT环境中的资源,将IT环境的管理由松散⽅式变为集中管理的⽅式,减轻⽇常管理维护负担,提升IT⽣产⼒。从最终⽤户来说,如何能够实现单⼀的⾝份验证,快速的访问企业内部的各种资源,较少的宕机时间也是最⼤的愿望。
1.3 问题分析
由于历史和技术发展⽅⾯的原因,现有企业内部的IT环境是逐步建⽴起来的,⽽且在早期建⽴时由于没有整体架构的科学指导,导致⽬前的松散型IT环境越来越“臃肿”,客户端、服务器各⾃独⽴,形成⼀个个信息“孤岛”,⽆法统⼀管理。在松散型管理的系统⽹络环境中,⼀旦某个节点出现问题需要定位出现问题的位置,并需要繁琐费时的恢复过程来实现修复。⽣产系统应⽤软件的⼤规模部署需要相关⼈员在各个计算机上逐⼀⼿⼯安装,极⼤耗费⼈⼒与时间。
企业内部的各种资源存在于员⼯的客户端桌⾯计算机,服务器,以及其他各种设备之中,⽤户需要获取相关资源需要⾸先确定资源在哪⼀台计算机中,并且要针对不同资源提供不同的登录凭据(如⽤户名/密码等)来访问。另外存在数据资源重复现象,造成硬件资源的不合理占⽤。
信息技术部门制定的IT管理规范⽆法完全被最终⽤户执⾏,IT管理规范的制订是为了防⽌信息系统出现如安全问题等不稳定状况,但松散型管理模式的IT环境中由于信息技术⼈员⽆法监控与统⼀管理企业内部的桌⾯计算机与服务器等,该规范变为⼀纸空⽂,⽆法被贯彻实施。
现阶段,部分企业对IT环境的发展仍然缺乏整体和长远考虑,还是按照⽼思路,简单考虑硬件及应⽤软件的采购与建设,照此建设思路⾛下去,将会使⽬前的IT环境更加“臃肿”,更难于管理,最终导致⽣产⼒的降低。
2总体功能需求
随着以上阐述的问题在企业内部IT环境中越来越突出,企业存在以下需求:
2.1集中的组织与管理⽹络内的服务器及客户端
通过对⽹络内的服务器与客户端计算机进⾏集中式的管理,有助于消除早期“松散型”管理带来的安全漏洞及其他影响IT系统稳健运⾏问题,能够保证企业制订的IT管理规范可以通过计算机的逻辑⽅式派发给各个被管理的节点,并且通过集中管理的模式可以有效降低客户端的维护⼯作量。
2.2 统⼀的数据组织与资源管理
实现统⼀的数据组织,如共享⽂件夹的发布,共享打印机的发布等等,并且能够提供较为简单的信息检索⽅式,快速查询并定为所需的各种资源,实现资源的⾼效利⽤。另外统⼀的数据组织与资源管理可以有效减少数据冗余与资源浪费,减轻IT环境的维护难度,提升企业⽣产⼒。
2.3 单⼀登录的⽹络环境
企业内的普通员⼯计算机应⽤能⼒有限,如何使员⼯⼀次登录计算机后就可以访问其有权限访问的各种资源是提升⽣产效率,对于普通员⼯来说更能感受到应⽤信息技术能够带来更加快捷的⼯作效率,有助于提升信息系统的使⽤率。
2.4 集中化的软件部署与运⾏限制
企业希望在⼤规模部署某个应⽤软件时可以避免⼿⼯逐⼀安装的低效率模式,⽽采⽤服务器/客户端的⽹络分发模式,并能对软件的版本更新做到⼀定控制,并且可以制定哪些软件可以被安装在哪些⽤户的计算机上。通过对软件的运⾏限制,限制客户端计算机上所运⾏的应⽤软件,使⼯作⽤计算机仅可以运⾏特定应⽤程序,与⼯作⽆关的应⽤程序将会被禁⽌运⾏,提升系统安全性与最⼤化企业IT系统效能。
2.5 功能强⼤并易于扩展的IT基础架构
企业希望现有的IT基础架构能够提供较强的功能,如安全的⾝份验证,资源整合,软硬件集中监控、管理等,并且希望该基础架构⽀持较多的上层应⽤,具有较强的可扩展性,在未来的⼏年中可以在现有底层IT架构上实现更多的价值。实现IT投资的保值。
3解决⽅案建议
基于上述情况,结合国内外企业信息化的发展趋势和经验,同时参考IT技术的现有能⼒和发展⾛向,建议贵公司统筹安排、统⼀规划,通过分步实施、集中建设的⽅式,构建⼀个集中、统⼀、互联互通⾼可管理性的基于活动⽬录的企业核⼼IT基础架构。
3.1 概念描述
活动⽬录是Windows Server⽹络体系结构中⼀个基础且不可分割的部分。它提供了⼀套为分布式⽹络环境设计的⽬录服务,使得组织机构可以有效地对有关⽹络资源和⽤户的信息进⾏共享和管理。另外,⽬录服务在⽹络安全⽅⾯也扮演着中⼼授权机构的⾓⾊,从⽽使操作系统可以轻松地验证⽤户⾝份并控制其对⽹络资源的访问。
“基于活动⽬录的⽹络基础架构”建设⽅案中,不仅要建设⼀系列丰富的,互联的底层基础架构,同时还将构建集中统⼀的软件基础设施、完整互通的基础数据库,⽆缝整合现有信息应⽤系统,并建⽴“企业信息技术基础架构——活动⽬录”与外部信息系统的互联互通机制。
3.2 建设内容
根据“基于活动⽬录的⽹络基础架构”的建设定位,我们设计了“基于活动⽬录的⽹络基础架构”的整体功能框架,为实现“基于活动⽬录的⽹络基础架构”的建设⽬标提供应⽤功能基础。
3.2.1建⽴基础平台分布式光学孔径系统
选择合适的硬件及软件来准备⽤于⽬录服务的服务器,硬件性能要尽量强劲,以满⾜⽇后⽇益增加的客户端连接处理数量;软件要尽量选择较新版本,以获取最新的技术⽀持及更多新特性。
3.2.2整合现有信息技术环境
整合现有信息技术环境,就是将客户端与服务器由现有的⼯作组模式的环境平滑迁移⾄基于活动⽬录的域模式,统⼀管理及⾝份验证信息,将信息统⼀由服务器发布,减少信息孤岛,增强信息技术易⽤性和安全性。
3.3 建设策略
“企业信息技术基础架构—活动⽬录”的建设,是⼀项建设完成后需要长期稳定使⽤的⼯程,需要依靠⼀个可持续发展的战略合作伙伴的⽀持。因此,建议联合国内外有实⼒的,重视,专注企业信息技术基础架构的IT企业,形成战略合作关系,借助企业的经验和实⼒,为平台建设提供规划建议和实施⽅案,保证项⽬的可持续发展。
具体实施⽅式为,⾸先对本公司信息化建设的基本现状进⾏调研,然后在调研分析的基础上,再提出“企业信息技术基础架构”的具体建设规划⽅案。
在具体项⽬建设过程中,遵循“总体规划、分步实施、关注重点、解决问题”的思路,从“总体规划”做起,规划综合企业信息技术基础架构的未来发展远景和功能应⽤;对“总体规划”所描绘的蓝图,采取“分步实施”的策略,按照“关注重点、解决问题”的原则,不仅要建设稳定⽽强⼤的企业信息技术基础架构,同时还要充分重视夯实综合应⽤服务平台的“软件公共基础平台”,为未来的建设奠定⼀个可持续发展的基础。
4解决⽅案实施
4.1 AD域命名和DNS的规划
Windows 2008 AD域命名和DNS的规划之所以放在⾸要地位,是因为AD作为整个IT 架构的基础,不应该轻易被调整。尽管安装
后,Windows 2008 AD仍然可以重组和改名,这⼀点⽐Windows 2000 AD有了很⼤的进步,但是我们仍然建议做⼀个长远规划,使得域命名和DNS服务能够满⾜企业3-5年的需求,尽量避免配置好后改作调整地巨⼤⼈⼒物⼒浪费。
此外,部署Windows 2008 AD,还必须确定DNS服务器,确保它们满⾜域控制器定位器系统的要求。⼀个⽀持AD的DNS⾄少需要满⾜
以下要求:
●必须⽀持服务定位资源记录(SRV)
●应该⽀持DNS 动态更新协议(RFC 2136)
Windows 2008 Server 提供的DNS 服务同时满⾜这些要求,并且还提供下列重要的附加功能和改进:
●Active Directory 集成:DNS 服务把区域数据存储在⽬录中,使得DNS 复制创建
多个主域,也减少了对维护⼀个单独的DNS 区域传送复制拓扑的要求。
●安全动态更新:使得⼀个管理员可以精确地控制哪些计算机可以更新哪些名称,
并防⽌未经授权的计算机从DNS 获得现有的名称。
●条件转发:根据不同的对外访问的域名后缀,可以将⽤户的DNS名称解析请求转
发到不同的外部DNS服务器。
●存根区域:可以定时地刷新和外部DNS服务器的连接,及时发现那些可能有故障、
不再响应⽤户请求的服务器,提⾼⽤户DNS名称解析的效率。
4.2 确定AD逻辑结构
Windows 2008活动⽬录的逻辑结构由三个基本组件组成:森林、域和OU。
4.2.1.确定森林规划
森林是Windows 2008 AD域的集合。在很多情况下,单⼀森林就⾜够了。单⼀森林环
境易于建⽴和维护,森林间的域⾃动建⽴双向可传递内部信任关系,不要求⼿动建⽴外部信任配置,在安装Exchange 2008 Server等应⽤程序时,只需应⽤⼀次架构更改即可影响所有域。
如果各个单位有下列管理要求,就必须建⽴⼀个以上的森林:
●不互相信任管理员。
●希望限制信任关系范围。
●不同意某种森林架构更改策略。架构更改、配置更改会影响到森林中所有的域。
如果单位不同意⼀个公共架构策略,它们就不能共存于同⼀个森林中。
4.2.2.制定域规划
规划域结构时,始终遵循“简单是最好的投资”的设计原则,尽管增加某些复杂结构可以增值,但是简单的结构更易于说明、维护和调试。⼀开始时总是仅考虑每个森林中仅有⼀个域,然后为每⼀个增加的新域提供详细的理由,确保添加到森林中的域都是有益的,因为它们会带来相应的管理开销⽽导致⼀定程度的成本上升。
创建更多的域的三种可能的原因是:
●希望实现相对分散式得IT管理模式:多域结构更容易进⾏相对独⽴的管理、委派
和权限控制。另外,不同的⽤户帐户在⼀个域内是不能出现重名的,多域之间就车载厕所
没有限制。对于⼈⼠管理相对独⽴的集团下属公司,多域结构具有更好的灵活性。
●希望实现不同管理策略要求:包括⽤户⼝令策略、账户锁定策略和EFS加密策略。
例如,要求某些⼈必须取8个字符以上的⼝令,⽽其它⼈不做限制。为此,必须
将这些需要不同安全策略的⽤户放在单独的域中。
●希望减⼩WAN上的复制流量:域控制器域间复制将产⽣⽐域内复制少的多的流
量。如果公司很⼤,具有跨地区的组织结构,且处于同⼀个森林内,则在不同地
理位置上的机构可能使⽤慢速的WAN链路连接。为减少WAN上的DC复制流量,
可以在不同的地理位置设置不同的域。
●根据以上考虑,我们建议,贵公司Windows 2008 AD域逻辑结构可以采⽤“单森
林、单域”的结构设计。
