中国联通域管理系统介绍.ppt

  1. 1、本文档共33页,可阅读全部内容。
  2. 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
  3. 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载
  4. 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多
中国联通域管理系统介绍

* 省分局域网拓扑 架构设计 一个森林:统一管理 多个子域:相对独立的管理边界 域设计 森林根域位于集团,管理整个域的架构。 各省域作为子域和根域之间建立双向可传递的信任关系。 各省子域管理本省账户和计算机。 域管理系统-总体架构 本站点内数据实时复制 站点与站点间的数据,在压缩后定时进行复制 集团 Default站点作为中心站点 域管理系统-站点复制 DNS是域名系统(Domain Name System)的缩写 一种组织成域层次结构的计算机和网络服务命名系统 DNS与活动目录集成 定位DC、GC 动态更新 DNS系统设计 如果缓存中记录存在,直接从缓存中提取记录回应客户端 如果DNS服务器上的区域中存在记录,从区域提取记录回应客户端 如果DNS服务器从缓存和区域中都不能回答请求,它会根据配置请求其他DNS服务器 DNS查询顺序 Unicom GD Computer “ . ” DNS Namespace SH 使用SRV记录定位DC 无须知道目标的FQDN,就可以找到服务器并获得其IP 通过DNS如何定位DC DNS Server Client Domain Controller 例:_ldap._tcp.contoso.msft 600 IN SRV 0 100 389 london.contoso.msft 网络边缘设置公网DNS 设立企业根DNS服务器 集团、省份活动目录服务器兼做DNS服务器 DNS层次结构设计 时间同步 PDC Emulator PDC Emulator Client Computer Running Windows?NT 4.0 And Earlier Client Computer Running Windows XP Domain Controller Points to time server 域推荐策略 域策略包括系统策略、终端策略、用户策略、桌面配置策略、安全权限策略等建议各子域采用,但可以根据各省的现实情况进行一定修正的策略 由省内管理单位自行决定配置内容 域策略推荐配置 账户策略 密码策略 配置 密码必须符合复杂性要求 已禁用 密码长度最小值 0个字符 密码最短使用期限 0天 密码最长使用期限 0 强制密码历史 0个记住的密码 用可还原的加密来存储密码 已禁用 账户锁定策略 配置 复位账户锁定计数器 没有定义 账户锁定时间 没有定义 账户锁定阀值 0次无效登陆 Kerberos策略 配置 服务票证最长寿命 600分钟 计算机时钟同步的最大容差 5分钟 强制用户登陆限制 已启用 用户票证续订最长寿命 7天 用户票证最长寿命 10个小时 审核策略 配置 审核策略更改 成功,失败 审核登录事件 成功,失败 审核对象访问 成功,失败 审核过程追踪 无 审核目录服务访问 失败 审核特权使用 失败 审核系统事件 成功,失败 审核账户登录事件 成功,失败 审核账户管理 成功,失败 审核策略 用户权限分配 配置 备份文件和目录 本地管理员、备份操作员 更改时区 本地管理员组、备份操作员组和高级用户组 更改系统时间 本地管理员组、备份操作员组和高级用户组 关闭系统 本地管理员组、备份操作员组和高级用户组 管理审核机制与安全日志 没有定义 还原文件与目录 本地管理员、备份操作员 拒绝从网络访问这台计算机 匿名登录帐号、Guests组、Guest帐号 拒绝作为服务登录 Guests组、Guest帐号 拒绝作为批处理作业登录 Guests组、 Guest帐号 调试程序 管理员组 通过终端服务拒绝登录 Guests组、Guest帐号 通过终端服务允许登录 本地管理员组和远程桌面用户组 允许在本地登录 本地管理员组、备份操作员组和高级用户组 用户权利分配策略 安全选项 配置 帐号: Guest 帐号状态 禁用 帐号:限制本地帐号只能在控制台登录过程中使用空白密码 启用 设备:允许格式化与弹出可移动媒体 本地管理员组、高级用户组 设备:未经签署的驱动程序安装操作 警告但允许安装 域控制器:允许服务器操作员进行任务调度 禁用 域控制器:对来自安全通道的数据进行数字加密(在可能情况下) 启用 域控制器:对来自安全通道的数据进行数字签署(在可能情况下) 启用 域成员:最大计算机帐号密码存留期 30天 域成员:需要增强型(Windows 2000或更高版本)会话密钥 启用 交互式登录:不显示最后一个用户名 启用 交互式登录:无需使用CTRL+ALT+DEL 禁用 Microsoft网络服务器:对通信过程进行数字签署(始终) 启用 网络访问:不允许进行匿名SAM帐号与共享资源枚举操作 启用 网络访问:允许针对匿名用户应用Everyone权限 禁用 网络访问:针对本地帐号的共享与安全

文档评论(0)

taotao0c + 关注
实名认证
内容提供者

该用户很懒,什么也没介绍

1亿VIP精品文档

相关文档