企业IT基础架构规划方案
件的中心。
通过上图,可见Windows 2008 Server的核心是一组基于Active Directory(目录服务,简称“AD”)的基础结构服务。Windows 2008 AD简化了管理,加强了安全性,扩展了互操作性。它为用户、组、安全服务及网络资源的管理提供了一种集中化的方法。
应用Windows 2008 AD之后,企业信息化建设者和网络管理员可以从中获得如下好处: ? 系统平台基础架构
基于Windows 2008 AD规划网络基础架构,使企业获得一个稳定、可扩充的网络基础平台。不单单是满足当前的网络需要,更关键的是预计了今后3-5年内可能的发展需要,使得将来的网络规划建设无需再次重复投资。
? 单一登录
可以统一用户帐户设置和用户身份验证,实现用户单一登录,用户访问网络中的资源不再需要反复输入用户名称和口令。同时,它还是企业应用集成的基础。基于AD的单一登录功能,便于实现在不同程序之间的协作和集成应用。
? 网络安全
可以基于AD,集中设置和统一管理用户、组、资源的操作权限,方便维护管理。
35
企业IT基础架构规划方案
? 集中管理和委派授权
基于Windows 2008活动目录OU实施委派授权管理,未来向下属企业推广时,分级维护,集团各部门、下属公司可以对所辖范围内的部分参数进行维护,如增加用户、设置权限、增加栏目、自定义流程等。
? 用户桌面管理
通过规划部署Windows 2008 OU和组策略,可以统一规划用户桌面和用户操作环境,实现对客户计算机的集中控制管理,加强信息管理的安全可靠性。
? 软件自动分发
通过规划部署Windows 2008 OU和组策略,还可以实现应用程序的自动分发、升级和删除,不但可以实现客户机软件的统一安装管理,而且大大减轻了软件安装配置的工作量。
根据一般集团公司的管理结构。本方案采用Windows系统提供的域模式来组织和管理全部系统资源,采用域的模式,不仅可以集中存储网络对象,并且管理简单,即实现了集中管理,又可以满足不同公司自身的安全需求。方案中将集团按公司单位划分不同的模块,集团总部作为域林的根,每个子公司为一个独立的域或者域树,形成一个完整的树状结构。采用这种结构,可以将网络中的全部资源,分散到每个域的域控制器中存储,减少了每台域控制器的信息存储,从而减少复制流量和网络对象的查询时间。具体的实现如下图:
36
企业IT基础架构规划方案
根域:my.com 森林 同一个站集团总部 分公司:my1.com 子公司1:one.my.com 子公司2:two.my.com 分公司:my2.com 子公司3:three.my.com 子公司4:four.my.com 在此构架设计中,集团需要自己的独立的域名,所以在设计林中树,子公司作为总部的子域,分公司可以考虑作为一单独的域树, 由于所有的资源都位于局域网内,具有高速的网络连接,因此所有的域均在一个站点内。即使域中的一台域控制器发生故障,仍然能保障系统的正常运行。并且提高了用户身份验证的速度。
操作主机分配:操作主机域中扮演着重要的角色,直接影响到域是否能够正常工作,在Windows2008的域中,一共有五种操作主机,分别是构架主机,域名主机,RID主机,PDC仿真器,结构主机。其中前面2种在林范围内起作用,后面3种在域范围内起作用,为了使用所有的操作主机更好的工作,保障正常的工作并且不产生大的复制流量,方案采用了Windows系统默认的设置,根域中第两台DC承担了五种操作主机的角色,每个子域中的 第一台DC承担了域范围内的三种操作主机角色。
系统管理设计:在系统设计时包括三个部分,分别是OU,用户及组的设计,为了更好的满足集团的需要,便于系统管理员方便管理企业中的所有用户,系统管理结构与集团的管理结构相匹配,方案中采用了如下所述的设计。
OU的设计:集团的OU设计目的是为了使用用户管理更有效率,结构更加清晰,并能够使系统的管理结构与集团的商业模型相匹配。在本方案中按部门划分OU的方法,将每个公司中以部门为单
37
企业IT基础架构规划方案
位创建OU,并在部门OU中保存该部门的用户帐户,计算机帐户及组采用这种设计的方法,可以在系统管理中清楚的体现公司的管理结构,一般情况下,一个部门内部中的用户常常有相似的安全需求,利用这样的设计方法,也可以方便的将安全策略应用到某个部门。
用户管理:为了规范用户帐户的管理,系统中所有的用户采用统一的命名规范,每个用户在网络中拥有唯一的登陆名。用户帐户在所属的部门的OU中创建。
组的管理:为了满足集团用户管理的需求,更好的在网络中管理用户权限的分配,使系统的管理得到最大的简化,方案中采用AGDLP策略及AGUDLP策略。在每个域中创建全局组,用与组织本域的帐户,在没个域中创建域本地组,用于完成权限的指派。在本域内的权限的分配,可以使用AGDLP策略,在域间的权限分配,使得AGDLP策略,依次将用户加入全局组,将全局组加入通用组,在将通用组加入域本地组,最后可以根据需要将权限授予指定的域本地组,采用这样的方式,不仅可以使用户的组织和权限分配简单,也可以减少域间的复制流量,从而提高系统的性能。如图所示:
2.4.7 企业邮件系统选型规划方案
目前企业邮箱的建设一般有两种途径可以选择:
1) 企业内部自建邮件服务器,然后通过互联网域名进行发布。
选型参考:Microsoft Exchange系统,Microsoft Exchange是微软出品的电子邮件和协作系统,它通过电子邮件来交换信息,实现工作组成员间的相互协作。Microsoft Exchange支持SMTP、POP3、IMAP4等多种协议,是被众多国内企业采用的一种流行的电子邮件系统。能够与Windows AD域完美的结合,并支持Http访问、简单的图形化管理工具。 部署方案参考:如下图
38
企业IT基础架构规划方案
2) 通过购买电信运营商或ISP商的企业邮箱服务,不需要企业自建和维护邮箱系统服务器。 选型参考:中国万网企业邮箱服务。
2.4.8 企业内部通信系统选型规划方案
企业通信系统包括企业即时通信工具(如腾讯RTX)、短信平台(如企业自建短信平台、金蝶
39