2、 制定域规划
规划域结构时,始终遵循“简单是最好的投资”的设计原则,尽管增加某些复杂结构可以增值,但是简单的结构更易于说明、维护和调试。一开始时总是仅考虑每个森林中仅有一个域,然后为每一个增加的新域提供详细的理由,确保添加到森林中的域都是有益的,因为它们会带来相应的管理开销而导致一定程度的成本上升。
创建更多的域的三种可能的原因是:
? 希望实现相对分散式得IT管理模式:多域结构更容易进行相对独立的管理、委派
和权限控制。另外,不同的用户帐户在一个域内是不能出现重名的,多域之间就没有限制。对于人士管理相对独立的集团下属公司,多域结构具有更好的灵活性。 ? 希望实现不同管理策略要求:包括用户口令策略、账户锁定策略和EFS加密策略。
例如,要求某些人必须取8个字符以上的口令,而其它人不做限制。为此,必须将这些需要不同安全策略的用户放在单独的域中。 ? 希望减小WAN上的复制流量:域控制器域间复制将产生比域内复制少的多的流量。
如果公司很大,具有跨地区的组织结构,且处于同一个森林内,则在不同地理位置上的机构可能使用慢速的WAN链路连接。为减少WAN上的DC复制流量,可以在不同的地理位置设置不同的域。 ? 根据以上考虑,我们建议,企业Windows 2003 AD域逻辑结构可以采用“单森林、
单域”的结构设计。
4.3. 确定AD物理结构
Windows 2003 AD物理结构主要是规划站点拓扑,用于帮助您决定在网络的什么地方放置域控制器,以及管理域控制器之间的复制流量和用户登录流量。
考虑到企业的地理分布情况,应该考虑使用多站点拓扑来规划Windows 2003 AD物理结构。从绘制基本的网络拓扑布局图着手工作,绘制所有可能的站点(Site)和站点链接(Site Link)。
? 速度快(10Mbps以上)、连接可靠的LAN网络总是放置在单站点中。
站点定义为一组通过快速、可靠的线路连接起来的 IP 子网。一般而言,具有 LAN 速度或更快速度的网络被认为是快速网络。 ? 窄带的、或不太可靠的连接可以使用站点链接建立多站点网络。
通常,WAN连接一般被认为是窄带连接。如果建立站点链接,实现多站点网络模式,则:
? 客户计算机在登录到域时首先试图与位于同一站点的DC通信; ? Windows 2003 AD复制使用站点拓扑产生复制连接。
4.4. 规划OU结构和组策略
组织单元(OU)是一个用来在域中创建分层管理单位的容器。在域中创建OU结构时,必须注意始终按照“谁管理什么”的原则,从IT管理的需要出发,划分管理模型的结构,而不是简单按照公司业务单位和它的不同分支、部门和项目来创建OU结构。考虑 OU 的
下列特性是很重要的:
? OU 可以是嵌套的。
一个 OU 可以包含子 OU,使得可以在域中创建一个分层的目录树结构。但是嵌套太多将导致管理复杂和低效,所以建议以二级嵌套为最理想,最多不应超过四级嵌套。 ? OU 可以用来委派管理和控制对目录对象的访问。
? 不能使 OU 成为安全组的成员,也不能因为用户被委派管理OU或驻留在OU中
而自动获得访问资源的权限。 ? 可以在OU上实施组策略。
组策略是基于Windows 2003注册表的修改,从而集中控制用户和计算机的工作环境、桌面配置、软件自动安装和删除的管理手段。一般而言,安全策略必须在域级别实施,其它策略主要在OU级别实施。 ? 不鼓励用户在 OU 结构中浏览。
没有必要设计一个吸引最终用户的 OU 结构。尽管用户有可能浏览一个域的 OU 结构,但对于用户查找资源来说,这并不是一个最有效的方法。在目录中查找资源的最有效的方法是查询全局编录。 有两个理由需要在Windows 2003域中创建 OU 结构: ? 创建 OU 以管理对象和委派授权。 ? 为组策略创建 OU。
一个完全为管理和委派而设计的 OU 结构与一个完全为组策略而设计的 OU 结构是不同的。OU 结构将很快变得相当复杂。每次添加一个 OU 到规划中时,要记下创建的具体原因。这有助于确保每个 OU 有一个目的,并将帮助阅读规划的人理解结构所基于的理由。
4.5. 创建 OU 以管理和委派
在单位中委派管理有一些好处。以前,在单位中除了 IT 之外的组可能必须将更改请求提交到高级管理员,高级管理员代表他们进行更改。委派特定的权限可以将责任分散到单位中的各个组,使您可以将必须有高级访问权限的用户的数量降到最少。权限受到限制的管理员所发生的事故或错误所产生的影响只限于他们负责的范围。
这一工作包括以下步骤: ? 确定创建何种 OU
创建的 OU 结构将完全取决于管理是如何在单位中委派的。委派管理的三种方法是:按物理位置、按业务单位(公司部门)、按角色或任务。三种方法经常结合使用。 ? 修改访问控制列表:
修改 OU 的访问控制列表 (ACL)可以授予一个组对 OU 的特定权限,从而实现对该OU的委派管理。尽量委派权限给组账户而不是单独的用户,如果可能,委派到本地组而不是全局组或通用组。
? 委派步骤。从域中的默认结构开始,按下列主要步骤创建 OU 结构: - 通过委派完全控制创建 OU 的顶层; - 创建 OU 的下层来委派每个对象类别控制。
4.6. 创建 OU 支持组策略
使用 Windows 2003,可以使用组策略定义用户和计算机配置,并将这些策略与站点、域或 OU 关联。是否要创建附加的 OU 以支持组策略的应用取决于制定的策略以及所选择的实现方案,包括:
? 定义客户计算机的管理与桌面配置标准 ? 定义软件的自动分发 ? 特殊组策略应用配置与管理
在 Windows 2003 中,组策略设置是管理员启用集中更改和配置客户计算机管理的主要方法。可用组策略为某个特定的用户组和计算机组创建指定的安全限制和桌面环境配置。 Windows 2003 组策略有 100 多种与安全有关的设置和 450 多种基于注册表的设置,为您管理用户计算机环境提供了众多选项。Windows 2003 组策略:
? 可根据活动目录定义或在计算机本地进行定义;
? 可用 Microsoft 管理控制台(MMC)或 *.adm 文件保存和管理; ? 是安全的;
? 不会在实施的策略改变时把设置留在用户配置文件中;
? 可应用于指定的活动目录容器(站点、域与 OU)中的用户或计算机; ? 可由安全组的用户或计算机成员进一步控制;
? 可用来配置多种类型的安全设;
? 可用于实施登录、注销、启动及关闭脚本; ? 可用于安装和维护软件;
? 可用于重定向文件夹(如 My Documents 和 Application Data 文件夹); ? 可用于在 Microsoft Internet Explorer 中执行维护。 可以按下列三个步骤配置和管理组策略:
? 管理站点、域或 OU 的组策略链接:
默认情况下,只有域管理员组和企业管理员组可以配置站点、域或部门的组策略。可在站点、域或 OU 的“属性”页的“组策略”选项卡中指定链接至站点、域或 OU 的组策略对象。Active Directory 支持以每个属性为基础的安全设置。 ? 创建组策略对象:
默认情况下,只有域管理员组、企业管理员组和组策略创建者(所有者)组的成员可以创建新的组策略对象。如果域管理员想使一个非管理员用户或组能够创建组策略对象,则可将该用户或组添至组策略创建者(所有者)安全组中。这样,他们就可以创建、修改自己的组策略对象,并成为该组策略对象的创建者和所有者。 ? 编辑组策略对象:
默认情况下,组策略对象接受域管理员、企业管理员及组策略创建者(所有者)组成员的完全控制,课以便机组策略,但非管理员用户没有设置组策略链接的应用权。
4.7. 应用组策略选项
如果能认真应用组策略选项,即使开始用数据极其多的文件夹重定向选项和软件安装
选项,也能够改善网络的响应时间。应恰当地应用组策略选项,尤其在刚开始时,更要仔细测试所有建议的更改,以确保不损坏网络性能。下面是一些可用的选项:
? 安全组筛选选项:
可针对某个特定组策略对象实施筛选,使之不能对筛选的计算机和用户组生效。 ? 不许替代(强制继承)和阻止继承选项:
例如,如果在域层次定义了一个指定的组策略对象,并已指定组对象是强制的(不许替代),那么组策略对象所包含的策略设置就会应用于该域中的所有 OU;层次较低的容器 (OU) 将无法替代此域的组策略,一般用于安全设置。
也可阻止从父 Active Directory 容器继承组策略。但是,不许替代(强制继承)策略选项始终比阻止继承策略选项优先。 ? 处理“环回”策略设置的策略选项:
默认的设置使计算机策略优先于用户策略起作用,但有时必须要优先实施用户策略,组策略的环回功能使管理员能够实现这一设置。主要用在软件安装这一类的策略上。 ? 低速链接处理的选项:
许多用户,如使用便携式计算机的用户、远离建筑物或在分部工作的用户,有时会用低速连接至网络。可对组策略进行配置,使部分策略不能生效,以减少网络开销。这些组策略设置包括:
? ? ? ? ? ? 软件安装与维护 脚本
磁盘配额 IP 安全
Dfs 故障恢复策略 Internet Explorer 维护
? 周期刷新选项:
可指定定时地处理组策略。默认情况下,DC计算机策略每 5 分钟刷新一次,而成员服务器和客户计算机每 90 分钟刷新一次,并带有 30 分钟的随机偏移量。可根据需要改变此刷新频率。
4.8. 硬件设备选型建议
为实现Windows 2003 AD系统的部署实施,建议至少配置两台服务器:
? Windows 2003 AD主域控制器:1台,同时兼作DNS、DHCP、WINS服务器; ? Windows 2003 AD备份域控制器:1台,同时兼作DNS、WINS服务器; 上述服务器硬件配置建议如下: ? 2颗P4 3.0GHZ 以上CPU。 ? 2GB以上内存。
? 73GB SCSI硬盘:建议使用2个硬盘,实施镜像(RAID-1);
或者3个以上的硬盘,实施RAID-5。