公司域控实施方案一、服务器、磁盘柜、操作系统采购
二、域控服务器搭建(一个星期左右)
1、硬件安装及连接,如下图:
服务器与磁盘柜之间通过SAS连接线连接。
2、Windows server 2008操作系统安装
服务器上硬盘仅用来安装操作系统,AD数据及安装目录均存入磁盘柜中硬盘。
(1)、操作系统安装:通过光驱安装windows server 2008 标准版操作系统,两台服务器安装完操作系统后,安装系统补丁,更改计算机名,配置完整的网络配置参数(静态IP地址,备份域控的DNS地址设置为主域控IP地址);通过windows server backup对系统进行一次完整备份,再设置每天的增量备份。
(2)、安装域控制器:在主域控上安装DNS,域名设置为https://www.doczj.com/doc/4d15980459.html,;安装备份DC时,选择“现有域的额外域控制器”,其它配置相同。
设置目录还原密码,该密码用于还原活动目录,必须保证其复杂性。
3、域控服务器设置
(1)、用户账户管理:
●域管理员账号设置:
域管理员账号可以登录域内任何一台计算机或者成员服务器,且具有最大管理
权限,只为运维管理人员设置;域账号三次密码输入不正确会被锁定,需通过
另外的域管理员账号解除锁定。
●为现有员工添加域账号:
用户名为名字的全拼,设置初始密码,第一次登陆时,提示修改密码,密码必
须符合复杂性要求(9位,包括字母、数字、特殊字符),三个月之内更换一次
密码。密码三次输入错误,账号会被锁定,需通知管理员解锁,同时不得将自
己的账号和密码擅自泄露给他人。
●用户登录设置:
一般情况下,用户的域账号只能登录至自己的计算机,特殊情况下,单个账号
可以登录多台计算机;同时可以设置登录时间段,如:白天上午9点至下午6
点可以正常登录,除此时间段之外,无法登录至计算机。
●新员工和离职人员账户操作:
为新加入的员工,设置新的域账号,离职员工在离职的最后一天停用其域账号。
●账户名称变更:假使某甲要离职,由新进人员某乙接替其职位。则管理员无须
先建立某乙的账户、再删除某甲的账户,可以直接将某甲的账户名称更改为某
乙的账户名称,如此不但省事,在权限方面也不易出错。
(2)、组织单元划分:
按部门划分组织单元,下面包括计算机组和用户组。如客服部,下面包括客服部的计算机组和该部门的用户组;用户组包括该部门员工的域账号,计算机组包括该部门所有的正在使用的计算机,如下图所示:
(3)、权限控制:以下权限控制均通过组策略来实现
●USB接口控制:通过组策略来控制计算机上的USB接口是否可用。
●用户文件夹重定向:使域用户的文件存放在服务器上指定的位置,既可以避免
系统损坏带来的文件丢失情况,又可以在任意一台域成员机上访问到自己的文
件。
●软件权限限制:所有的域账号登录的计算机不具有安装和删除软件的权限,软
件的安装和卸载需通知域管理员进行。在实际生产环境当中,有少部分软件是
必须需要本地管理员权限才能运行的,对于这种情况,把域账号加入至本地管
理组中或者使用脚本的方式来运行这类型软件。
三、客户端设置:
收回本地计算机管理员权限,均采用域账号登录,所有计算机统一设置本地管理员,(须保证密码复杂性要求,且半年更换一次),由管理员统一保管且不能泄露给其他人。
1、加域前的必须操作:
●将桌面的相关文档(需要用到的资料)复制至除C盘以外的其他磁盘
●更改计算机名称,计算机名称按照“GZ+部门拼音第一个字母+数字”命名规则
依次进行(如:gz-cw-01、gz-cw-02、gz-kf-02)。计算机名称更改后,需要重启
计算机。
●更改网络配置信息:
设置静态IP地址,IP地址根据事先规划好的设置。
主DNS地址为主域控的IP地址。
备份DNS地址为从域控的IP地址。
2、如何加域:
右击“我的电脑”,选择“属性”,选择“计算机名”选项卡,点击“更改”在弹出的对话框中选择“隶属于”“域”,填写正确的域名后,点击确定。然后重启计算机即可。
四、测试阶段(3天左右)
测试方式:通过虚拟机虚拟出xp和win7的客户端加入到域中进行测试。
测试内容:
1、服务器方面的测试:
●备份测试,测试系统备份和AD数据备份是否正常进行。
●还原性测试,备份好的数据还原后是否可以正常使用。
●测试主从DC数据是否同步。
2、客户端方面的测试:
●测试能否正常加域。
●测试能否正常通过域账号登陆。
●测试用户账户管理策略是否能正常起作用。
●测试权限控制是否正常。
五、上线阶段(与客户端设置一并进行,3-4天)
1、将各客户端加入到域:客户端加入到域,需要域管理员账号才能进行;根据各部门
的情况,分部门,分时间段进行,进行操作之前先通知各部门,统一时间操作,以免影响正常工作。
2、客户端加域成功后,把个人用户名和密码分发给使用人。
3、用户通过域账号登录并更改自己的密码。
六、实施时可能遇到的问题:
1、员工对收回管理员权限持反对意见,不配合工作。
2、收回管理员权限后,在安装或更新软件时,需跟管理员联系,会感觉到不适应;同
时,也会给管理员带来更多的工作量,软件标准化的制定能有效缓解这些问题。