活动目录部署
使用Windows 界面安装新的域的步骤:
1.单击“开始”,然后单击“服务器管理器”。
2.在“角色摘要”中,单击“添加角色”。
3.如必要,请查看“开始之前”页上的信息,然后单击“下一步”。
4.在“选择服务器角色”页上,单击“Active Directory 域服务”复选框,
然后单击“下一步”。
5.如必要,请查看“Active Directory 域服务”页上的信息,然后单击“下
一步”。
6.在“确认安装选择”页上,单击“安装”。
7.在“安装结果”页上,单击“关闭该向导并启动Active Directory 域
服务安装向导(dcpromo.exe)”。
8.在“欢迎使用Active Directory 域服务安装向导”页上,单击“下一
步”。
可以选中“使用高级模式安装”复选框以获得其他安装选项。
9.在“操作系统兼容性”页上,查看有关Windows Server 2008 域控制
器的默认安全设置的警告,然后单击“下一步”。
10.在“选择某一部署配置”页面上,单击“现有林”和“在现有林中新建域”,
然后单击“下一步”。
11.在“网络凭据”页上,键入计划安装新域的林中任何现有域的名称。在“请
指定用于执行安装的帐户凭据”下,单击“我的当前登录凭据”或单击“备用凭据”,
然后单击“设置”。在“Windows 安全”对话框中,提供可用来安装新域的帐户的用户名和密码。若要安装新域,您必须为Enterprise Admins 组的成员。提供凭据后,单击“下一步”。
12.在“命名新域”页上,键入父域的完全限定的域名(FQDN) 以及子域的
单标签名称,然后单击“下一步”。
13.如果在“欢迎使用”页上选中“使用高级模式安装”,则会出现“域
NetBIOS 名称”页。在此页上,键入域的NetBIOS 名称(如果需要),或接受默认名称,然后单击“下一步”。
14.在“设置域功能级别”页上,为计划在域中任意位置安装的域控制器选择
适当的域功能级别,然后单击“下一步”。
15.在“请选择一个站点”页上,从列表中选择站点或选择站点中与其IP 地
址相对应的选项来安装域控制器,然后单击“下一步”。
16.在“其他域控制器选项”页上,选择域控制器的其他任何选项,然后单击
“下一步”。
默认情况下,“DNS 服务器”选项已选中,因此您的域控制器可以作为DNS 服务器。将自动为该域创建DNS 区域以及该区域的委派。
默认情况下不选择“全局编录”选项。如果您选择该选项,请注意该域控制器还将承载新域的域范围操作主机角色,包括结构主机角色。除非域中的所有域控制器都是全局编录服务器,否则托管子域中全局编录服务器上的结构主机角色可能会出现问题。
17.如果在“欢迎使用”页上选中“使用高级模式安装”,则会出现“源域控
制器”页。选择“任何可写的域控制器”或选择“此特定的域控制器”以指定可通过其复制配置和架构目录分区的域控制器,然后单击“下一步”。
18.在“数据库、日志文件和SYSVOL 的位置”页上,键入或浏览到数据库
文件、目录服务日志文件和SYSVOL 文件所在的卷和文件夹位置,然后单击“下一步”。
Windows Server Backup 按卷备份目录服务。为了有效地备份和恢复,请将这些文件存储到不包含应用程序或其他非目录文件的其他卷上。
19.在“目录服务还原模式的Administrator 密码”页上,键入并确认还原
模式密码,然后单击“下一步”。此密码必须用于在目录服务还原模式下启动AD DS 才能完成必须脱机执行的任务。
20.在“摘要”页上,检查您的选择。如有必要,请单击“上一步”更改任何
选项。
若要将选定的安装设置保存到可用于自动后续AD DS 安装的答案文件,请单击“导出设置”。为答案文件键入名称,然后单击“保存”。
确认所做选择正确无误之后,请单击“下一步”安装AD DS。
21.在“完成Active Directory 域服务安装向导”页上,单击“完成”。
22.还可以选中“完成后重新启动”复选框使服务器自动重启,也可在收到系
统提示后重启服务器完成对AD DS 的安装。
AD组策略设计
全域安全性策略
默认域管理员账户
将默认域管理员账户administrator 改名,分配强口令。在日常管理工作中不使用该账户。同时禁用Guest 帐户。
域和企业管理员组
严格控制Domain Admins 和Enterprise Admins 组成员。
域管理员组
审慎分配域管理员权限,对于并非需要域管理员才能完成的操作,通过权限委派来实现。
日志策略
在域控制器上配置日志文件足够的尺寸,根据需要调整/关闭日志覆盖。
身份鉴别
通过口令/ USB等方式验证用户,用户身份具有唯一标识符。
口令策略
建议建立强壮口令策略,包括至少6位以上的口令,口令复杂性(大写,小写,字母和特殊字符至少包含其中的三类),定期口令修改等。
绑定用户IP地址
使用的静态IP,分部门和区域划分VLAN。
关闭管理工具
为了避免用户自己使用管理工具误操作对系统安全和稳定造成的损害,可以通过组策略,关闭用户对一些管理工具的访问。建议关闭:
控制面板(全部控制工具或者一部分);
对网络配置的修改(IP配置);
管理控制台(MMC);
注册表编辑器;
其他需要关闭或者限制的工具。
配置Windows update
所有计算机的自动更新都指向企业内部的WSUS服务器。
对打印设备进行权限控制
可以针对用户进行打印设备的权限控制。
IE设置
可以通过组策略对用户的Internet Explorer进行集中式设置,建议设置项为:
设置代理服务器;
修改收藏夹;
调整安全设置(如禁止ActiveX控件和JavaScript脚本运行)。
通过以上设置,可以配置用户使用代理服务器访问Internet,限制用户访问某些网站,避免用户受到网页蠕虫的攻击等,极大地提高安全性。
控制应用程序
通过组策略,还可以限制特定用户运行指定的应用程序,或者只能运行制定的应用程序。
外观管理
根据企业形象的需要,可以对用户的壁纸进行统一管理,自动使用指定的壁纸。类似的,可以对用户的桌面外观,风格进行统一配置。
审核策略
开启对用户账户登录,用户账户管理和管理权限使用等事件的审核。
禁止外部人员访问服务器
对于可能有外部人员访问企业网络(比如供应商的雇员),为了提高安全性,可以通过设置安全策略,调整:
关闭GUEST账户;
设置“从网络上访问此计算机”的权限;
来限制未加入域的计算机和未登录到域的用户,对指定服务器的访问,如在访问服务器时,需要输入有效域用户账户和口令,或者直接提示不允许访问。这将消除潜在威胁。
控制对重要服务器的访问
对某些非常重要的服务器,可以通过安全策略,对“从网路访问”、“本地登录”、“匿名访问”进行限制,只允许经过授权的合法用户访问。
备份和恢复策略
建立定期备份Active Directory 数据的机制。
应用在严格管理部门的策略
最小化权限
为普通用户授予Users权限,为需要完成某些管理工作的用户账户委派完成工作所需的最小范围内的最小权限
限制用户安装、卸载程序及设备
User权限无法装载和卸载设备及软件
禁止用户本地登录
收回本地管理员用户密码,组策略限制用户交互式登录
禁止USB端口使用
通过脚本限制用户使用USB存储设备,但是不影响USB鼠标键盘的使用。
限制网络用户在本地的权限。
文件系统
通过登录脚本可以进行网络驱动器映射,使用户无论登录哪台计算机均可访问自己的共享目录;
活动目录 2010年9月1号行为规范月————————————附件一2010年9月10号财经一家人————————————附件二2010年12月4号冬季越野赛————————————附件三2011年3月8号雷锋进宿舍———————————附件四2011年3月9号学雷锋、树新风、讲文明——————附件五2011年3月11号“公寓促和谐、绿色筑我家”植树活动—附件六2011年3月12号早说晚写作品展示—————————附件七2011年3月21号宿舍文化艺术节——————————附件八2011年4月11号美化校园活动———————————附件九2011年4月22号学院春季运动会——————————附件十2011年5月4号五四文艺晚会———————————附件十一2011年5月10号兵乓球赛—————————————附件十二2011年6月14号合唱比赛—————————————附件十三2011年9月1-2号迎新生————————————-_附件十四2011年9月14号新生军训————————————附件十五2011年9月21号财经一家人之曙光活动——————附件十六2011年10月20-21号学院秋季运动会————————附件十六2011年10月24号学生会竞选———————————附件十七
附件一 活动记录
附: 财经系开展“行为规范月”活动的方案 为进一步贯彻我院从严制系的精神,增强学生遵纪守法的自觉性,逐步实现由他律到自律的转变,规范自身行为,自觉遵守学院的规章 制度,培养树立良好的系风,财经系决定在9月份以2010级同学为重点,开展“行为规范月”活动,具体事宜如下: 一、活动目标 1.提高学生的文明水平,促进学生行为规范。 2.教育学生遵守公德、严于律己,养成良好的行为习惯。 3.振奋全体师生精神,使其以饱满的热情、昂扬的斗志、崭新的姿态投入到学习和工作中。 二、组织领导 为切实把活动组织好,全面推动系的学生工作上一个新台阶,成立“行为规范月”活动领导小组: 组长:李志强 副组长:钱长松张子学 成员:李东平张丽张建明傅晓玉刘明敏班主任(辅导员) 三、活动内容 “行为规范月”活动内容主要围绕“从严治系”要求,对学生的日常行为进行规范,使学生的日常行为规范化。主要内容包括:(一)开展行为规范教育 1.教室行为规范:按时上课,不迟到、不早退、尊敬师长、认真听讲,上课不睡觉、不说话、不换位。保持教室卫生,禁止“课桌文化”。. 2.宿舍行为规范:按时就寝,不影响他人休息,无彻夜不归。保持寝室卫生清洁,用品摆放整齐,无乱贴乱画,无违章用电,无吸烟赌博,无打架斗殴。“寝室文化”格调高雅。 3.就餐行为规范:遵守秩序,文明就餐,自觉排队。爱惜粮食,节约用水。
活动目录AD规划方案 1.1. 活动目录介绍 活动目录是Windows网络体系结构中一个基本且不可分割的部分,它为网络的用户、管理员和应用程序提供了一套分布式网络环境设计的目录服务。活动目录使得组织机构可以有效地对有关网络资源和用户的信息进行共享和管理。另外,目录服务在网络安全方面也扮演着中心授权机构的角色,从而使操作系统可以轻松地验证用户身份并控制其对网络资源的访问。同等重要的是,活动目录还担当着系统集成和巩固管理任务的集合点。 活动目录提供了对基于Windows的用户账号、客户、服务器和应用程序进行管理的唯一点。同时,它也帮助组织机构通过使用基于Windows的应用程序和与Windows相兼容的设备对非Windows系统进行集成,从而实现巩固目录服务并简化对整个网络操作系统的管理。公司也可以使用活动目录服务安全地将网络系统扩展到Internet上。活动目录因此使现有网络投资升值,同时,降低为使Windows网络操作系统更易于管理、更安全、更易于交互所需的全部费用。 活动目录是微软各种应用软件运行的必要和基础的条件。下图表示出活动目录成为各种应用软件的中心。
1.2. 应用Windows 2012 Server AD的好处 Windows 2012 AD简化了管理,加强了安全性,扩展了互操作性。它为用户、组、安全服务及网络资源的管理提供了一种集中化的方法。 应用Windows 2012 AD之后,企业信息化建设者和网络管理员可以从中获得如下好处: 1、方便管理,权限管理比较集中,管理人员可以较好的管理计算机资源。 2、安全性高,有利于企业的一些保密资料的管理,比如一个文件只能让某一个人看,或者指定人员可以看,但不可以删/改/移等。 3、方便对用户操作进行权限设置,可以分发,指派软件等,实现网络内的软件一起安装。 4、很多服务必须建立在域环境中,对管理员来说有好处:统一管理,方便在MS 软件方面集成,如ISA EXCHANGE(邮件服务器)、ISA SERVER(上网的各种设置与管理)等。 5、使用漫游账户和文件夹重定向技术,个人账户的工作文件及数据等可以存储在服务器上,统一进行备份、管理,用户的数据更加安全、有保障。 6、方便用户使用各种资源。 7、SMS(System Management Server)能够分发应用程序、系统补丁等,用户可以选择安装,也可以由系统管理员指派自动安装。并能集中管理系统补丁(如Windows Updates),不需每台客户端服务器都下载同样的补丁,从而节省大量网络带宽。 8、资源共享 用户和管理员可以不知道他们所需要的对象的确切名称,但是他们可能知道这个对象的一个或多个属性,他们可以通过查找对象的部分属性在域中得到一个所有已知属性相匹配的对象列表,通过域使得基于一个或者多个对象属性来查找一个对象变得可能。 9、管理 A、域控制器集中管理用户对网络的访问,如登录、验证、访问目录和共享资源。为了简化管理,所有域中的域控制器都是平等的,你可以在任何域控制器上进行修改,这种更新可以复制到域中所有的其他域控制器上。 B、域的实施通过提供对网络上所有对象的单点管理进一步简化了管理。因为域控制器提供了对网络上所有资源的单点登录,管理远可以登录到一台计算机来管理网络中任何计算机上的管理对象。在NT网络中,当用户一次登陆一个域服务器后,就可以访问该域中已经开放的全部资源,而无需对同一域进行多次登陆。但在需要共享不同域中的服务时,对每个域都必须要登陆一次,否则无法访问未登陆域服务器中的资源或无法获得未登陆域的服务。 10、可扩展性 在活动目录中,目录通过将目录组织成几个部分存储信息从而允许存储大量的对象。因此,目录可以随着组织的增长而一同扩展,允许用户从一个具有几百个对象的小的安装环境发展
目录 一、活动目录配置基本知识.................................................... 1、活动目录的重要概念……………………………………… 2、活动目录安装前准备……………………………………… 3、活动目录安装……………………………………………… 二、windows2000/2003活动目录配置………………………… 1、windows2000活动目录配置……………………………… 2、windows2003活动目录配置………………………………
一、活动目录配置基本知识 1、活动目录的重要概念 (1)目录服务是一个什么东西 一个目录就是一个用于储存用户感兴趣对象信息的信息源。如一个电话号码目录储存了有关电话用户的信息。在一个文件系统中,目录就储存了有关文件的信息。 在一个分布式计算系统中或是一个公共计算机网络(如Internet)中,就有许多用户感兴趣的对象,如打印机、传真服务器、应用程序、数据库以及其他用户。用户想找到和使用这些对象,而管理人员则想管理对这些对象的使用。 在此文档中,术语目录和目录服务指在公共和私人网络中的目录。目录服务与目录的不同在于,它既是目录的信息源,而它的服务又可以使用户得到和利用信息。 (2)什么是活动目录 活动目录是Windows 2000 Server的目录服务。它扩展了以前基于Windows的目录服务,还加入了一些全新的特点。活动目录是安全的、分布式的、可分区的及可复制的。它设计成为可以在任何规模安装下良好工作,从带有几百个对象的单一服务器到成千个服务器和上百万个对象。活动目录加入了很多新的特性,使得在大规模信息的管理及在其中漫游变得很简单,为管理者和终端用户都节省了时间。 (3)为什么需要目录服务 目录服务是扩展的计算机系统的最重要组成元素之一。使用者及管理者经常不知道他们感兴趣对象的精确名字。他们可能知道对象的一个或更多属性,而且可以查询目录来得到符合属性的对象列表,例如:"查找在26楼中的所有双工打印机。"目录服务允许用户按指定属性查找任何对象。 目录服务可以: ?提高管理者定义的安全性来保证信息不受侵入者的损害。 ?将目录分布在一个网络中的多台计算机上。 ?复制目录使得更多用户获得它并且减少错误。 ?分配一个目录于多个存储介质中使得可以存储规模非常大的对象。 目录服务既是管理工具又是终端用户工具。当网络中对象的数目增加时,目录服务变得很重要。目录服务是一个大的分布系统的转换中心。 ①重要概念 用来描述活动目录的概念和术语中有些是新的,而另外一些则不是。不幸的是,一些已经采用一段时间的术语被用来表明不止一个特定事物。在继续前进之前,理解下面这些概念和术语在活动目录背景中如何定义是重要的。 ②范围
中国银行活动目录方案建议书 上海赛卫思信息技术有限公司 客户服务部 2007-03-28 V1.0 上海浦东向城路15号锦城大厦11E 中国银行活动名目部署建议书 上海赛卫思信息技术有限公司客户服务部
讲明 本文档中所包含的内容是上海赛卫思信息技术有限公司为中国银行提供的活动名目部署方案,其中可能用到了赛卫思公司产品和技术的专有信息。这些信息仅在中国银行活动名目部署过程中使用,不应该被扩散到中国银行以外,同样也不应该在参考此手册的前提下,复制、使用和扩散本手册。 Microsoft Windows Server、Internet Security and Acceleration Server 200 6、Microsoft SQL Server 或其它本手册中提及的 Microsoft 产品,是Microsoft 的商标或注册商标。本文档所提到的真实的公司和产品名称可能是其各自所有者的商标。
项目概况 随着中国银行业务的扩展和IT应用的增加,爱护整个网络系统的稳固、安全、高效越来越重要。 微软是企业IT基础架构领域的技术领先者,其活动名目技术被业界广泛认可,世界财宝五百强的跨国公司大多采纳活动名目技术来提供IT基础架构服务。中国银行和微软有着良好的合作关系,在IT应用的各个领域都有专门多微软的解决方案。为利用新技术全面提升IT治理能力,决定在此次项目中全面部署基于Windows Server 2003的网络基础服务和活动名目服务。 Windows 2003 操作系统集成了IT基础架构所需要的各种网络服务,让企业来建立和治理网络、连接远程工作人员、连接分支机构同时建立兄弟单位的外部网。Windows 2003 Server在开放的平台上遵循标准的协议,它提供了增强的安全性和策略操纵,同时提升性能同时简化了系统的安装、治理和使用。 此次项目将以建立完善的网络基础服务,集中统一规划结构合理的基于Windows Server 2003活动名目为目标,赛卫思将关心中国银行建立更加大大的IT基础架构,以适应业务的高速进展。 二、项目方案 下文中将就网络基础服务、活动名目服务、远程安装服务三个方面进行详细介绍。 2.1 网络基础服务 2.1.1 背景简介 Windows Server 2003的基础的网络服务包括以下两大方面: 地址分配 地址分配即IP地址的分配和治理。
Windows Server 2012活动目录的概述与部署 1、域架构重要性 2、活动目录的逻辑结构 3、活动目录的物理结构 三个概念: 域:用来描述一种系统架构,用来描述环境的,和“工作组”相对应,由工作组升级而来的高级架构,在域架构中,域最大优势就是可以实现统一化管理。 域的优势:可以实现统一化管理,怎么个统一化?比如张三王五赵六都要安装OFFICE,如果你部署了域架构,就没有必要跑到他们面前一个一个去安装,你只要在服务器上写一条策略,那第二天早上那三个人计算机自动装好。所以对于重复性的劳动只要做一次就可以了,只要在域控制器把安装OFFICE指令分发下去。那么他们下次开机时就会运行这个指令,在大环境上,域架构大大的节约了工作量提高了工作效率。 活动目录:是微软提供的目录服务(查询,身份验证),活动目录的核心包含了活动目录数据库,在活动目录数据库中包含了域中所有的对象(用户,计算机,组。。。。。) 域是一个广义上的概念,而活动目录就是把这广义上的概念做了具体化,活动目录做主要的事情就是用来身份验证。 域控制器:在域架构中用来管理所有客户端的服务器,是域架构的核心,每个域控制器上都包含了活动目录数据库。 所谓windows架构就两种,要么工作组,要么是域。 域是一种非常宏观的概念。 我们可以说我们的公司计算机是工作组的。他们公司是域架构的。 工作组环境管理效率是比较低的,适合比较小的环境当中。 计算机上百台的可以考虑上域架构来管理 域是架构、活动目录是服务、域控制器是服务器
在Windows server 2012 r2只有数据中心版和标准版。 文件系统必须要是NTFS格式?为什么?活动目录数据库有可能大于4GB, 下面开始建设域控制器 建设之前有个前提条件,第一步要把IP地址设好,如果第一台域控制器,而DNS要指向自己,比如IP地址是192.168.1.2,那么DNS服务器首选也要设置为192.168.1.2,或者为127.0.0.1,第二步就是要把计算名设置好,如下图。
活动目录系列之一:基本概念 目录服务可以集中实现组织、管理、控制各种用户、组、计算机、共享文件夹、打印机各种资源等。使用LDAP(端口389)轻量级目录访问协议工作,在域环境下所有用户及计算机等帐户信息均保存在一个数据库中,这个数据库位置%systemroot%\ntds\ntds.dit。 AD(活动目录)的逻辑结构包含如下组件:域/子域/树/森林/OU等。主要侧重于对网络资源的组织。 AD的物理结构包含如下组件:DC(域控制器)/site(站点)/OM(操作主机)。主要侧重于对网络资源的配置和优化。下面介绍有关几个重要的概念: 1.DN:(可辨别名称)--用来表示一个对象在AD中具体存储位置,类似于文件的绝对路径。 如:cn=user1,ou=sails, dc=blog,dc=com 该用户存在https://www.doczj.com/doc/cd18147099.html,域的sails OU下,用户名为user1. cn=users (默认的容器users也以cn表示) dsadd user cn=test,ou=sails,dc=blog,dc=com 利用DN来创建用户的例子。 2.UPN(用户主名)用户名@域名,即用户登录时可以采用,如jack@https://www.doczj.com/doc/cd18147099.html,,也可以更改此后缀。 修改:domain.msc后,在根右击--属性--更改UPN后缀,
然后在用户属性-帐号中选择其后缀。用户登录可以使用此UPN.但必须在用户属性里进行相应的更改(即启用此Upn 后缀) 3.SID (安全标识符)用户/组都有唯一 whoami /user 当前用户的SID whoami /all 当前用户的详细信息(包含所属组的SID)getsid \\dc1 test \\dc1 test (安装suptools) psgetsid \\dc1 test 下载工具包。 4.AD数据库的目录分区:(AD数据库虽然是一个文件,但却是以目录分区的形式组成的) schema 架构分区---森林的对象类和属性,在森林级别复制。 configuration 配置分区--所有DC的位置、site,在森林级别复制。 domain 域分区--每个域的各种对象等信息,在域级别复制。application 应用程序分区—DNS,可以自定义。 通过adsiedit.msc来查看前三个目录(事先装支持工具)5.site:在物理位置上区分,一组高速可靠的一个子网或多个子网。(管理AD复制) 优点:
IT基础架构优化活动目录设计
目录 一、域结构设计 (3) 二、站点设计 (4) 三、活动目录数据同步 (5) 四、操作主机角色设计 (6) 五、组织单元结构设计 (7) 六、组策略设计 (8) 七、权限设计 (9) 八、用户和群组 (11) 九、容灾和备份 (12)
一、域结构设计 1.域结构概述 域结构设计是活动目录中最重要,也是最基础的工作,是多种因素权衡的结果,它既要尽可能贴近用户的管理模式和组织结构,也要考虑网络情况和未来的变化. IT部门的最终目标是能够实现集中管理.对比单域结构和目录林结构: 1)集中管理整个公司的安全策略 2)集中管理整个公司的组策略 3)完全利用组织单元反映企业的管理结构 4)当公司机构重组时可以非常灵活的进行调整 5)当资源和用户需要在组织机构内迁移时可以非常灵活 6)简单的名字空间设计 7)查找AD信息时相对简单 2.域结构设计 根据公司实际环境,采用单域多站点的模式. 3.域功能级别 Windows 2008R2 4.Domain Name
二、站点设计 1.站点的概念: “站点”由一个或数个IP子网(subnet)所组成,这些子网之间是通过”高速且可靠的链接”串联起来的,子网之间的链接速度要够快,稳定且符合需要,否则,需将他分别规划为不同的站点.具体表现为: A.一个LAN之内的各个子网之间的链接都符合速度快(高于10MB)且高可靠度的要求, 可以将一个LAN规划为一个站点: B.WAN(广域网)内的各个LAN之间的链接速度一般都不快.因此WAN之中的各个LAN应 分别规划为不同的站点 2.站点的设计 A.公司总部位于深圳,各分公司分别位于: 沈阳,大连,天津,重庆,成都,云南,后续根据业 务发展还会有新的分公司 B.总部和分公司之间通过2M专线连接 根据以上信息, 站点设计参考下图:
活动目录常见故障排错工具 “兵欲善其事,必先利其器”,这句话放在网络排错上可谓是再合适不过了,如果你去问一名从事网络工程师,在平时的网络排错中最希望得到什么?我估计十有八九都会跟你说――好工具!的确,对于技术人员而言,工具就像是一款精良的武器,可以帮助你迅速掌握网络情况,找到问题的症结所在。在本文中,笔者结合平时对活动目录排错的经验,来向广大读者展示一些非常实用的工具,希望能够起到抛砖引玉,举一反三之功效。 在这里,笔者拿一个简单的活动目录域作为案例:现在有一家企业,AAA集团,为了提高企业效益和员工的生产力,该集团组建了自己的办公网络,申请了一个域名:http://aaa.ad。(在这里,笔者用虚拟的域名来做演示)。AAA集团的网络管理采用了Windows 2003活动目录域。为了方便员工间的交流和对外宣传,AAA集团还搭建了基于Exchange平台的电子邮件系统。域的规模不是很大,域控制器和Exchange邮件服务器各两台, 场景一:每周的星期一,AAA集团的IT技术工程师都要对活动目录进行常规检查,就像医生给病人做体检一样,对于工程师来说,每一次的常规检查怎样才能做到迅速、准确呢? TOOL: l 活动目录状态检测工具:DCDiag 活动目录状态检测工具DCDiag可以说是一款检查活动目录状态的必备工具,它有助于工程师方便查看现有的活动目录状态以及今后可能出现的问题,做到未雨绸缪。这款工具可以在Windows 2000/2003的安装光盘support\tools下找到。双击SUPTOOLS软件包,安装好之后,开始菜单会生成一个Command Prompt,单击打开,键入dcdiag /?先来查看一下帮助,从长长的帮助信息中我们能够感受到该命令是非常强大的。不过,在实际使用中,我们更多的还是会用dcdiag /v > c:\ad.txt来把活动目录于域的详细状态导出到一个文本文件,便于我们今后查看。(其中,/v表示详细输出,c:\ad.txt可以根据实际情况调整导出位置及文件名。)Dcdiag检测的信息相当丰富,限于文章篇幅,笔者不可能一一解释,这里笔者只解释一些经常关注的信息,请看下表: 总的说来,DCDiag是一款功能强大,高效便捷的命令行工具,微软的网站上有专门的Dcdiag Examples,有兴趣的读者可以去看一看。这里,笔者给出其链接: https://www.doczj.com/doc/cd18147099.html,/technet/prodtechnol/windowsserver2003/library/TechRef/824f106c-a90b-421b-aa44-eb c1403c8b4c.mspx 信息搜集工具MPS Report 信息搜集工具MPS Report是用来搜集信息的工具,也是一款在微软历史悠久的工具。它比较适合每月(或更长时间)对域内的服务器(如Exchange、DC等)检测时使用,详尽的报告可以让你对你的服务器
使用活动目录服务的好处是什么? 完全集成到Windows 2000 服务器版中的活动目录为网络管理员、开发者和用户提供了访问目录服务的能力,这样可以: ●简化管理任务 ●加强网络安全性 ●通过互操作使用现存网络 简化管理 分布式系统常常导致时间的消耗和管理的冗余。当公司在他们的基础结构上添加应用程序并雇用新的职员时,他们需要适当地向各桌面系统分发软件并管理多个应用程序目录。通过在单一的位置管理用户、组和网络资源以及分发软件和管理桌面系统配置,活动目录可以显著降低公司的管理费用。例如,活动目录在同一个位置管理Windows 2000用户和Microsoft Exchange邮箱信息。基于下列原因,活动目录可以从以下方面帮助公司简化管理: ●消除冗余管理任务提供对Windows用户账号、客户、服务器和应 用程序以及现存目录同步能力进行单一点管理。 ●降低桌面系统的行程针对用户在公司中所担当的角色自动向其分 发软件,以减少或消除系统管理员为软件安装和配置而安排的多次行程。 ●更好的实现IT资源的最大化安全地将管理功能分派到组织机构的 所有层次上。 ●降低总体拥有成本(TCO)通过使网络资源容易被定位、配置和 使用来简化对文件和打印服务的管理和使用。 活动目录如何简化管理 以层次化组织用户和网络资源,活动目录使管理员拥有对用户账号、客户、服务器和应用程序进行管理的单一点。这就减少了冗余的管理任务,同时,通过让管理员管理对象组或容器而非每个独立的对象来增加管理的准确性。 图4:活动目录简化了网络资源的管理 活动目录允许管理员分派特定的管理权限和任务给单独的用户和组,以便更好地使用系统管理资源。如上图所示,特定的管理任务,例如重新设置用户密码,可以被分派给市场机构的办公室管理员。更多的特权功能,如"创建用户",可以为IT管理员保留。 活动目录也允许组织机构针对用户在公司中所担当的角色自动地将软件分 发给他们。例如,一个公司可以指定职员容器中的所有用户(无论是从哪里登录到网络上的)均可使用人力资源管理应用程序。活动目录集中存储这些信息,同时,应用智能镜像管理技术自动安装所分配的应用程序,并给予用户访问其桌面系统的能力而无论用户正在使用网络中的哪个工作站。
浅谈Windows Server 2008活动目录的组策略部署摘要:在windows server 2008 active directory环境中,组策略可以使it管理员自动管理用户和计算机,从而简化管理任务并降低it成本。如何部署和配置组策略,实施安全性的设置,是it管理员在实施网络安全管理的过程中至关重要的部分,能够使管理工作变得简单化、条理化。 关键词:windows server 2008;active directory活动目录;组策略 中图分类号:tp399 文献标识码:a 文章编号:1007-9599 (2011) 22-0000-01 group policy arrangement study of windows server 2008 active directory xu wenming (college of computer science&technology,huaqiao university,quanzhou 362000,china) abstract:in windows server 2008 active directory environment,group policy enables it administrators to manage users and computers automatically,simplifying management tasks and reduce it costs.how to deploy and configure group policy to implement security settings,it administrators in the implementation of network security management a vital part of the process,enabling management to become
活动目录解决方案 成都伊登软件技术有限公司 二〇一七年九月八日
目录 1概述 (2) 1.1背景介绍 (2) 1.2现状描述 (2) 1.3问题分析 (2) 2总体功能需求 (3) 2.1集中的组织与管理网络内的服务器及客户端 (3) 2.2 统一的数据组织与资源管理 (3) 2.3 单一登录的网络环境 (4) 2.4 集中化的软件部署与运行限制 (4) 2.5 功能强大并易于扩展的IT基础架构 (4) 3解决方案建议 (4) 3.1概念描述 (4) 3.2建设内容 (6) 3.2.1建立基础平台 (6) 3.2.2整合现有信息技术环境 (6) 3.3建设策略 (6) 4解决方案实施 (7) 4.1AD域命名和DNS的规划 (7) 4.2确定AD逻辑结构 (7) 4.3确定AD物理结构 (9) 4.4规划OU结构和组策略 (9) 4.5创建OU 以管理和委派 (10) 4.6创建OU 支持组策略 (11) 4.7应用组策略选项 (12) 4.8硬件设备选型建议 (13) 5解决方案优势 (14) 5.1为什么选择微软 (14) 5.2Windows Server 2008 R2 活动目录的优点 (14) 6服务内容 (17) 6.1可行性调查 (17) 6.2规划活动目录部署方案 (17) 6.3部署活动目录服务 (18) 6.4制订活动目录管理维护规范 (18) 6.5工程师定时上门进行活动目录日常维护 (18) 6.6处理活动目录紧急情况 (18) 6.7整理和存档资料 (19) 6.8培训系统管理员 (19) 7服务质量保证 (20) 8部分成功案例......................................................................................... 错误!未定义书签。
APOLLO安保系统 设计方案 目录 第一章设计依据 第二章平面布防图 第三章系统构成框图 第四章系统功能说明 1、中央管理系统 2、出入门禁控制子系统 3、防盗报警子系统 4、CCTV监控子系统 5、电梯管理子系统 第五章系统工作环境条件 第六章工程实施与质量保障 第七章设备、器材配置明细表 第八章施工图纸 第九章测试和调试说明 第十章其他文件
第一章设计依据 1、《用户设计任务书》 2、《门禁系统招标文件》 3、《防盗报警控制器通用技术条件》GB12663-90 4、《安全防范系统通用图形符号》GT/T74-94 5、《安全防范工程程序与要求》GT/T75-94 6、《智能化建筑设计标准》DBJ08-47-95 7、《高层民用建筑设计防火规范》JGJ/T 16-92 8、《民用建筑电气设计规范》(JGJ/T16—92)。 9、《电气装置安装工程施工及验收规范》(G8J32—82)。 10、《安 全防范工程费用概预算编制办法》GT/T70-94 11、《不间断电源设备》 12、《建筑设计防火规范》 第二章平面布防图 见文件??平面布防图一、二、三。 第三章系统构成框图 见文件??系统构成框图一、二、三 门禁控制系统由三级数据存储来确保系统的可靠性。数据库作为主存储有全部数据(一级)。每个主控制器存储系统相关部分的数据:卡,事件,通行级别,时间区域,假日,如果/然后联动等等(二极)。如主控器实效,所有主控器都可继续保持全部的运行功能。每个门控器存储系统所有与其相关数据:卡,事件,通行级别,事件区域,假日,如果/然后联动等等。(三级)。如主控器实效,所有门控器将继续保持其全部运行功能。
Windows Server 2008 R2之活动目录服务部署 测试环境: 服务器:计算机名Win2008R2CNDC,已安装Windows Server 2008 R2。 IPV4:192.168.1.13,255.255.255.0,网关地址192.168.1.1 管理员:Bill.XU 实验要求:安装第一个企业根据域控制器域名为https://www.doczj.com/doc/cd18147099.html,。 部署过程: 以下操作都是以管理员Bill.XU登录完成 方法一:手动部署 1、使用事件查看器(EventVWR.MSC),查看日志情况。并要所查看情况,进行系统诊断,确保安装前系统的状态正常 2、打开网络连接,设置网卡的IP4地址为一静态地址,同时将DNS服务器地址设置为127.0.0.1 3、运行DCPROMO,出现设置向导。设置过程如下图 检测系统是否安装AD域服务二进制文件,如果没有,系统会自动安装(也可以在运行命令之前,通过服务器管理器,添加活动目录域服务角色来安装) 出现活动目录域服务安装向导,选择高级模式(如果不选择此项,安装过程中将无法对有些设置进行更改,如域Netbios名的更改等)
由于这是森林中的第一台服务器,所以选择在新林中新建域。
功能级别,所提供的功能不同。如要使用R2新增的活动目录回收站功能,必须将功能级别提升到2008 R2功能级别。要使用棵粒化密码策略,须将功能级别提升到2008。R2新增了一种功能级别即2008 R2级别。注意功能级别的操作是单向,即当提升到一个高功能级别后,它不能再降为低功能级别。除非得新安装AD域服务 具体见: Appendix of Functional Level Features
ad活动目录,解决方案,ppt 篇一:活动目录AD解决方案 客户现状:现在客户在各地共有4个办公点。每个点采用的是独立的域环境。现在客户希望将分散在各地的办公点连接起来,能够实现各地间的访问与共享。 一、客户方案:通过VPN技术实现网络的互联,并通过林间的信任来实现各地间的互相信任,以达到共享与访问。 客户的方案如下:拓扑图如下: 由于客户各地点域已经建立,现在需要做的如下: 1、DNS的转发: 作用:处理本地没有应答的DNS查询。 方法:每个域内的DNS服务器都需要做到其他域的DNS 转发,以便于DNS的解析。 2、信任关系的建立 作用:为了使不同域可以互相访问。 方法:在每台DC的“Active Directory域和信任关系”中建立到不同域的双向信任关系。在这里建立A,B的相互信任,B,C的相互信任,C,D的相互信任,A,D的相互信任(一但前三个相互信任形成,则第四个A,D的相互信任自动形成。) 3、 WINS服务器的安装
作用:信任域间可以通过主机名称进行访问。 方法:每个域建立独立的WINS服务器,并与其他域内的WINS服务器建立“推/拉”伙伴关系,实现域间WINS服务器的同步。各域客户端WINS服务器指向本地服务器。 说明:每个域内的DC可以承担包括AD,DNS, WINS在内的服务以节省资源。 二、单域多站点结构 方案拓扑图: 方案描述如下: 所有站点处于同一个域下,每个站点的子网不相同。在A站点建立主DC服务器,其他站点分别建立额外DC,如, , 实现方法: 1. 子网划分:分配各个站点的子网,要求子网不能够相同,比如A站点/24 B站点 /24; C站点/24; D站点/24 2. 主DC的建立:A站点域控制器集成AD与DNS服务,并且在DNS 上做转发,实现对外网的访问。在A站点建立域内主DC,DNS地址指向本地地址。 3. 额外DC的建立:首先DC
实验背景:benet公司的网络中有100台计算机。公司需要集中管理计算机和用户账户以及网络资源,这就需要建立域环境来实现,域名为https://www.doczj.com/doc/cd18147099.html,。 公司网络拓扑: DC1 服务器角色:域控服务器IP:192.168.100.1/24 DC2 服务器角色:域控服务器IP:192.168.100.2/24 Client1 192.168.100.10 Client2 192.168.100.11 Client3 192.168.100.13 Client4 192.168.100.14 Client5 192.168.100.15 Client6 192.168.100.16行政部门\人事部门工程部门\销售部门\财务部门 需求描述: 在服务器dc1上安装https://www.doczj.com/doc/cd18147099.html,域 将客户机cient1-----client6加入域中 实验步骤: 一.搭建实验环境 根据实验要求我们搭建实验所需要的环境 准备两台虚拟机,一台为全新的windows server 2008,一台为全新的windows2003虚拟机,其中windows server 2008作为dc1的域控,windows server 2003作为client1客户机 1.准备两台全新的虚拟机 Windows server 2008
Windows server 2003 2.修改计算机名称 修改windows 2008计算机名称为dc1,修改windows 2003计算机名称为client1,修改完成后重新启动计算机 (1)修改windows 2008计算机名称为dc1 右击计算机,选择属性---高级计算机属性---计算机名称
XXXX集团 活动目录规划方案
目录 1. 前言 (3) 2. 活动目录规划 (3) 2.1. 活动目录介绍 (3) 2.2. 应用 Windows 2003 Server AD 的好处 (4) 2.3. 明确系统规划目标 (7) 2.4. 活动目录设计方案 (8) 3. 用户关心问题解答 (9) 3.1. 活动目录优势 (9) 3.2. 重要组策略介绍 (11) 3.3. 计算机从工作组加入到域可能存在的问题和解决方法 (15) 4. 活动目录方案实施 (16) 4.1. AD 域命名和 DNS 的规划 (16) 4.2. 确定 AD 逻辑结构 (16) 4.3. 确定 AD 物理结构 (17) 4.4. 规划 OU 结构和组策略 (18) 4.5. 创建OU 以管理和委派 (19) 4.6. 创建OU 支持组策略 (19) 4.7. 应用组策略选项 (20) 4.8. 硬件设备选型建议 (21) 5. 活动目录服务内容 (22) 5.1. 可行性调查 (22) 5.2. 规划活动目录部署方案 (22) 5.3. 部署活动目录服务 (22) 5.4. 制订活动目录管理维护规范 (23) 5.5. 工程师定时上门进行活动目录日常维护 (23) 5.6. 处理活动目录紧急情况 (23) 5.7. 整理和存档资料 (24) 5.8. 培训系统管理员 (24) 6. 服务质量保证 (25) 7. 部分成功案例 (28)
1.前言 本文档是张家港保税区金凯迪电脑贸易有限公司结合自身长期为客户提供全面的 IT 顾问咨询服务和应用解决方案积累起来的丰富经验,为企业规划 Windows 2003 AD 企业目录服务的解决方案建议。 由于计算机安全和管理的需要,IT 部门计划部署活动目录,希望所有的计算机分阶段加入到域,通过活动目录加强计算机安全和桌面管理,并为进一步部署 Exchange、SMS 等微软产品打下坚实的基础架构。 方案包括以下组成部分: 活动目录整体规划 用户关心问题解答 活动目录方案实施 活动目录服务项目 服务质量保证 2.活动目录规划 设计一个稳定、可靠和扩展性良好的活动目录架构对一个企业网络的管理及安全具有重大意义,并对部署微软的相关产品如 Exchange 等具有举足轻重和决定性的重要意义。 2.1. 活动目录介绍 活动目录是 Windows 2003 网络体系结构中一个基本且不可分割的部分,它为网络的用户、管理员和应用程序提供了一套分布式网络环境设计的目录服务。活动目录使得组织机构可以有效地对有关网络资源和用户的信息进行共享和管理。另外,目录服务在网络安全方面也扮演着中心授权机构的角色,从而使操作系统可以轻松地验证用户身份并控制其对网络资源的访问。同等重要的是,活动目录还担当着系统集成和巩固管理任务的集合点。 总的来说,活动目录的这些功能使组织机构可以将标准化的商业规则贯彻于分布式应用和网络资源当中,同时,无需管理员来维护各种不同的专用目录。
金航数码科技有限责任公司 Windows Server 2008 R2 AD活动目录 域控制器安装配置手册 2012年10月25日
Windows Server 2008 R2 AD活动目录域控制器安装配置手册 目 录 安装部署活动目录条件: (3) 硬件需求 (3) 软件需求 (3) 安装活动目录具体步骤: (4) 1.首先是“开始>运行”打开运行窗口 (4) 2.运行当中输入“dcpromo”开始安装活动目录 (5) 3.进入安装界面 (5) 4.新建域控制器 (6) 5.设置域控制器的域名 (7) 6.设置林功能级别 (8) 7.安装DNS服务器和全局服务 (9) 8.设置保存数据库、日志文件和SYSVOL的位置 (10) 9.设置目录还原模式的Administrator密码 (11) 10.安装完成自动重启 (12) 11.安装完成后的登陆界面 (13) 12.查看安装AD后的相关的服务,AD活动目录安装完成 (14)
安装部署活动目录条件: 硬件需求 硬件 需求 处理器 最低:1.4 GHz(x64处理器) 注意:Windows Server 2008 for Itanium-Based Systems 版本需要Intel Itanium 2处理器。 内存 最低:512 MB RAM 最大:8 GB(基础版)或32 GB(标准版)或2 TB(企业版、数据中心版及 Itanium-Based Systems 版) 可用磁盘空间 最低:32 GB或以上 基础版:10 GB或以上 注意:配备16 GB以上RAM的计算机将需要更多的磁盘空间,以进行分页处理、休眠及转储文件。 显示器 VGA(800 × 600)或更高分辨率的显示器 其他 DVD驱动器、键盘和Microsoft鼠标(或兼容的指针设备) 软件需求 软件 需求 安装权限 安装着必须具有本地管理员权限 操作系统 操作系统必须满足条件(除web版以外) 文件系统 本地磁盘至少有一个分区是NTFS文件系统 IP设置 有TCP/IP设置 DNS设置 有DNS服务器的支持 磁盘空间 有足够的可用磁盘空间
XXX公司 活动目录规划方案文档信息:
目录 ----------------------------------------------------------------------------------------- 第一章项目概述 (3) 1.系统目标 (3) 第二章基础服务规划 (3) 1.核心基础结构服务 (4) 2.辅助服务 (5) 3.W INDOWS S ERVER 基础服务 (7) 4.DNS名称解析 (7) 5.关键服务推荐布局 (9) 第三章活动目录设计 (9) 1.A CTIVE D IRECTORY基本概念 (9) 2.安全、统一的目录服务机制 (10) 3.严格、周密的客户端桌面管理 (10) 4.系统实现 (11) ●域结构 (11) ●站点设计 (12) ●AD FSMO主机角色设计 (12) ●组织单元结构 (13) ●委派管理 (14) ●账号和口令管理 (15) 5.客户端管理 (17) ●本地用户和组介绍 (17) ●默认安全设置(Administrators 组、Power Users 组、Users 组) (18) 6.实现功能描述 (20) ●主要功能实现 (20) ●组策略功能实现 (21) 7.灾难恢复考虑 (22) 第四章文件服务的规划 (22) 第五章物理实现 (24)
第一章项目概述 1. 系统目标 此次我们系统建设的目标为: 1) 提供一个安全、高效、灵活的企业级操作系统平台,为整个企业的IT应用奠定坚实基础。 2) XXX 3) XXXX 4)XXXX 第二章基础服务规划 通常一个企业的IT 环境从一个简单的IT 服务开始,这个服务一般旨在满足特定的当前业务需要,例如传真、电子邮件、业务应用程序或办公室的远程连接。随着时间的推移,由于新需求的出现,新的IT 服务会无规划的添加到这个环境中。这样创建的IT 环境在技术上种类烦杂、难以支持和运行,并且难以使用,因此给IT 管理人员和最终用户都带来额外的负担。 采用具有标准化IT 基础结构的IT 环境,这是一种运用IT 为企业创造价值的具有成本效益的方法。我们的方案将帮助中小企业构建此类IT 环境。采用此解决方案中提供的指南能带来下列好处: ●经过测试的可靠文档:此解决方案已经由微软及合作伙伴进行了测试,并且通过了大量客户部署的检验。
企业活动AD域控规划方案活动目录介绍 活动目录是Windows 2003网络体系结构中一个基本且不可分割的部分,它为网络的用户、管理员和应用程序提供了一套分布式网络环境设计的目录服务。活动目录使得组织机构可以有效地对有关网络资源和用户的信息进行共享和管理。另外,目录服务在网络安全方面也扮演着中心授权机构的角色,从而使操作系统可以轻松地验证用户身份并控制其对网络资源的访问。同等重要的是,活动目录还担当着系统集成和巩固管理任务的集合点。 总的来说,活动目录的这些功能使组织机构可以将标准化的商业规则贯彻于分布式应用和网络资源当中,同时,无需管理员来维护各种不同的专用目录。
活动目录提供了对基于Windows的用户账号、客户、服务器和应用程序进行管理的唯一点。同时,它也帮助组织机构通过使用基于Windows的应用程序和与Windows相兼容的设备对非Windows系统进行集成,从而实现巩固目录服务并简化对整个网络操作系统的管理。公司也可以使用活动目录服务安全地将网络系统扩展到Internet上。活动目录因此使现有网络投资升值,同时,降低为使Windows网络操作系统更易于管理、更安全、更易于交互所需的全部费用。 活动目录是微软各种应用软件运行的必要和基础的条件。下图表示出活动目录成为各种应用软件的中心。 1.1. 应用Windows 2003 Server AD的好处 Windows 2003 Server是微软最新推出的网络操作系统服务器,它沿用了Windows 2000 Server 的先进技术并且使之更易于部署、管理和使用。其结果是:其高效结构有助于使您的网络成为单位的战略性资产。 应用Windows 2003 Server的好处如下表所示: 优势描述 可靠性Windows Server 2003 是迄今为止最快、最可靠和最安全的Windows 服务器操作系统。 ●提供集成结构,用于帮助您确保商业信息的安全性。 ●提供可靠性、实用性和可伸缩性,使您可以提供用户需要的网络结构。