第三章 活动目录设计
1. Active Directory基本概念
Active Directory 是 Windows Server的目录服务。它存储着网络上各种对象的有关信息,包括人、计算机、打印机、应用程序、其他网络的信息,这样易于管理员和用户查找及使用。Active Directory 目录服务采用结构化的数据存储作为目录信息的逻辑局次结构的基础。Active Directory服务为组织、管理和控制网络上的资源提供基础构造和功能,它广泛支持各种Internet标准协议。
2. 安全、统一的目录服务机制
目录服务提供一定空间,用于存储与于基于网络的实体相关的信息,例如应用程序、文件、打印机和人员。同时,该服务也提供用于命名、描述、定位、存取、管理及保证独立资源信息安全性的一致性方法。
采用安全、统一的目录服务机制的突出优势除了安全性外,还可实现“单一口令认证”(SSO,Single Signing On)功能。
单一口令认证是指企业用户在企业内部网络中只需登陆一次,就决定了其可能允许的操作,和可能存取的信息。
同时,为将不同的系统结合在一起并增强目录及管理任务,活动目录提供了一个中枢集成点。上述功能是依靠将Windows Server2008目录特性通过诸如LDAP、ADSI、JADSI及MAPI等基于标准的接口尽数开放来实现的,因此,公司能够加强现有的目录,并开发具备目录功
能的应用程序和基础结构。
活动目录的益处能够向Windows环境的外延扩展。活动目录中的开放同步机制确保了Windows平台上众多应用程序和设备的互操作性。例如,对LDAP、JADSI及ADSI接口的本地支持使诸如Cisco、SAP、BAAN、及3COM等领先供应商能够将其产品不活动目录相集成,以提供对跨平台产品简化与强大的管理功能。
3. 严格、周密的客户端桌面管理
在实现严格的安全、统一的目录服务机制的同时,活动目录(AD)给我们带来的优势还在不对客户端桌面系统进行严格、周密的统一控制、管理。
由于相对来说对桌面的管理较忽视,导致了大部分的病毒来源于内部用户的误操作,或安装了带病毒的软件。同时,很多企业IT人员的日常工作是帮助内部用户排忧解难,而这些又来源于内部用户对自己所属计算机配置的随意修改。
严格的桌面管理策略可以仍根本上杜绝上述想象,我们可以通过Windows Server 内嵌的 AD技术,并结合组策略(Group Policy)根据不同用户级别、使用范围进行细粒度的用户桌面控制,如:关闭普通用户对重要配置的修改能力、以及安装不必要的软件的能力、限制其登录桌面的显示界面等。仍而达到对客户端桌面实施严格、周密的管理。
4. 系统实现
部署Windows Server2008活动目录服务主要包括以下几方面: 1)域结构 2)站点设计 3)FSMO 角色设计
4)组织单元结构 5)账号和口令管理 ●域结构
域结构设计是活动目录中最重要,也是最基础的工作,是多种因素权衡的结果,它既要尽可能贴近用户的管理模式和组织结构,也要考虑网络情况及今后的各种变化。
目前用户办公地点相对比较集中。此外,用户IT部门的最终目标是能够实现完全集中管理。因此此次在用户环境内采用单域结构。以下是单域结构相对于其他结构的优缺点:
优点
1)集中管理整个企业的安全策略。 2)集中管理整个企业的组策略。
3)完全利用组织单元反映企业的管理结构。 4)当企业机构重组时可以非常灵活的进行调整。
5)当资源和用户需要在组织机构内迁移时可以非常灵活的调整。 6)相对其它方案,可以使用较少的域控制器。 7)简单的名字空间设计– 只需要1个DNS名字后缀. 8) 用户在查找AD内的信息时相对简单。 9)单一的组策略更容易实施。
出于冗灾的考虑,我们建议公司内部至少放置两台域控制器。 ●站点设计
用于控制AD的复制路由和限制Logon/off流量。SITE代表了一组在同一高速网络内的子网,而SITE之间则属于相对的低速连接。
目前,由于用户办公地点比较集中,所有的域控制器都在相同的物理位置,所以我们采用单站点的结构即可。
●AD FSMO主机角色设计
活动目录的Flexible Single-Master Operations机制用于避免对活动目录的更改发生冲突。总共有5个FSMO角色需要被管理。
1)Schema Master:森林中只有一个。指定一台DC用于接受活动目录Schema 的更改。这台机器应该属于森林根域,用于保证正确地访问控制。
2)Domain Naming Master:当增加、删除域时,处理对域目录树的更新。
Schema和Domain Naming master应当在同一台服务器上。Domain naming master应该在一台GC上。
3)PDC Emulator:处理早期版本客户端(如NT4)的口令更新,接受紧急口令锁
定复制等。本台服务器在用户的域环境中会处理大量的请求,必须非常可靠。
4)RID Master:维护RIDs (Relative IDs) 缓冲池,用于生成安全账户(用户、
组、计算机)。对于比较大的域,RID master和PDC emulator应该分处不同服务器。
5)Infrastructure Master:用于更新跨域的引用,必须不能在GC上。 在用户的环境中,相应的角色将被安排到以下的服务器:
C1 C2
●组织单无结构
一个组织单元是一个容器对象,用于管理域中的对象。可以使用组织单位在一个逻辑局
Schema Master,Domain Naming Master ,GC PDC Emulator,RID Master,Infrastructure Master
次中组织各种对象,这样能够体现企业基于部门的或基不地理分界的结构。可以在域中创建组织单位的局次结构,组织单位可包含用户、组、计算机、打印机、共享文件夹以及其他组织单位。
组织单元的设计原则为: 1)反映企业内部的组织结构
2)有利于通过组策略进行细化的终端管理由于用户帐号(在这里包括用户组账
号)和计算机账号为两种不同的资源类型,所以也需要分开管理。
图:AD 整体结构图 ●委派管理
考虑到目前用户的正处于企业发展阶段,将来管理IT资源的人员可能不局限个人。在有