Windows域管控方案介绍.pptx

计算机域管控方案说明活动目录及加域方案目录活动目录介绍0201活动目录结构规划03活动目录实施计划04分公司加域方案05电脑加域后问题06资源需求01活动目录介绍活动目录介绍AD介绍 活动目录AD是Windows Server网络体系结构中一个基本且不可分割的部分，它为计算机用户、管理员和应用程序提供了一套分布式网络环境。活动目录使得组织机构可以有效地对有关网络资源和用户的信息进行共享和管理。另外，活动目录在网络安全方面也扮演着中心授权机构的角色，从而使操作系统可以轻松地验证用户身份并控制其对网络资源的访问。同时，它也帮助组织机构通过使用基于Windows的应用程序和与Windows相兼容的设备对非Windows系统进行集成，从而实现巩固目录服务并简化对整个网络操作系统的管理。活动目录介绍现状和问题 企业网络中计算机默认处于工作组（WorkGroup）网络模式，工作组网络是一种对等网络，网络中的计算机地位平等，计算机之间互不干扰，正因为工作组是一种对等网络，所以它存在以下问题。管理分散资源共享和账号管理分散，所有的设置都要在计算机本地进行设置，无法统一管理？“人机”不分若要登陆到计算机必须先创建账号数据安全性较差只要能登陆到计算机，就能查看、修改，甚至删除他人文件安全策略不统一计算机的安全策略必须在每台计算机本地设置补丁更新不能控制活动目录介绍域网络优势集中管理各类网络资源和账号资源安全性加强，权限管理更明确账户漫游和文件夹重定向方便用户使用各种共享资源SMS（System Management Server）系统管理服务微软系（MS） 软件方便集成活动目录介绍域网络和工作组网络对比项目工作组网络域网络登陆本地账号，本地登陆本地账号和域账号均可登陆，域账号由DC控制器统一验证，域账号可登陆任何一台域内计算机账号本地创建，本地修改统一创建和修改，且密码安全性更高桌面环境本机单独配置统一配置，可提升企业形象权限本机权限集中管理，分组授权分组修改网络资源访问多人共用一个账号或者为每个人单独创建访问账号，需要多次身份验证域账号单一验证，只需把账号加入不同权限分组网络连接性能高较低安全管理设置简单，只需要在本机设置，但若主机太多，无法统一管理设置较复杂，在服务器上设置统一的安全策略，再下发到客户机上，不需要在客户机上单独设置数据安全安全性低，只要能登陆主机就能查看，修改，删除其他人文件安全性高，文件所有者拥有对文件的绝对控制权，其他人不能访问单一登陆无法实现可以实现组策略无法实现不同分组，不同部门实行不同的安全策略02活动目录结构规划活动目录结构规划域结构设计基于对站点的安全和稳定性要求，计划在总公司机房架设两台域控制器，互为主备，主要用于全公司内的账号服务管理。根据公司情况，采用单域模式站点：XXX公司功能级别：Windows Server 2012 r2域名：（待定）活动目录结构规划域网络拓扑Server角色1、AD：DC1为主域控制器，DC2为辅控制器并与DC同步2、DNS：DC1与DC2均安装DNS服务，DC2与DC1同步3、WINS：DC1与DC2均安装WINS服务，并设置为复制伙伴4、DHCP：可以为客户端分配IP地址（可选服务）活动目录结构规划OU结构设计OU也称为组织单元，是一个容器对象，用于管理域中的对象。可以在域中创建组织单位的层次结构，组织单位可包含用户、组、计算机、打印机，共享文件夹以及其他组织单位，它能够反映企业内部的组织结构。对OU结构做如下规划：活动目录结构规划策略设计组策略是管理员为用户和计算机定义并控制程序、网络资源及操作系统行为的主要工具。通过使用组策略可以设置各种软件、计算机和用户策略。通过设置策略能更好地满足企业的系统安全、网络安全、数据保护及个性化等需求。策略具有如下功能：账户安全设定权限分配设定安全性脚本设定工作环境设定活动目录结构规划基本策略设计项目序号内容备注账号原则1.1取消用户本地账号的权限，用户必须使用域账号登录　　1.2用户计算机密码长度至少8位且符合复杂性要求。?　　1.3用户域账号密码有效期限为90天且提前7天前提示变更天数可按求调整　1.4用户域账号锁定阀值为5次，锁定时间为30分钟　　1.5定期变更用户计算机administrator账号密码　　1.6禁用用户计算机Guest账号　桌面管理2.1域计算机统一桌面背景　　2.2域计算机统一开始菜单样式　IE设定3.1禁止变更Proxy设定根据用户需求设定?　3.2禁用Internet连接向导根据用户需求设定?　3.3禁用IE更改主页设置根据用户需求设定?　3.4禁止变更IE安全性设定根据用户需求设定?信息安全设定4.1禁用USB存储设备特殊需求申请开通　4.2禁止访问网络连接的属性。?管理员群组例外　4.3开启远程桌面连接