《2022年2022年活动目录解决方案 .pdf》由会员分享,可在线阅读,更多相关《2022年2022年活动目录解决方案 .pdf(21页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、活动目录解决方案成都伊登软件技术有限公司二一七年九月八日名师资料总结-精品资料欢迎下载-名师精心整理-第 1 页,共 21 页 -1 目 录1概述.21.1背景介绍.21.2现状描述.21.3问题分析.22总体功能需求.32.1 集中的组织与管理网络内的服务器及客户端.32.2 统一的数据组织与资源管理.32.3 单一登录的网络环境.42.4 集中化的软件部署与运行限制.42.5 功能强大并易于扩展的IT 基础架构.43解决方案建议.43.1概念描述.43.2建设内容.63.2.1建立基础平台.63.2.2整合现有信息技术环境.63.3建设策略.64解决方案实施.74.1AD域命名和DNS的规
2、划 .74.2确定 AD 逻辑结构 .74.3确定 AD 物理结构 .94.4规划 OU 结构和组策略.94.5创建OU 以管理和委派.104.6创建OU 支持组策略.114.7应用组策略选项.124.8硬件设备选型建议.135解决方案优势.145.1为什么选择微软.145.2Windows Server 2008 R2 活动目录的优点.146服务内容.176.1可行性调查.176.2规划活动目录部署方案.176.3部署活动目录服务.186.4制订活动目录管理维护规范.186.5工程师定时上门进行活动目录日常维护.186.6处理活动目录紧急情况.186.7整理和存档资料.196.8培训系统管理
3、员.197服务质量保证.208部分成功案例.错误!未定义书签。名师资料总结-精品资料欢迎下载-名师精心整理-第 2 页,共 21 页 -2 1概述1.1 背景介绍本解决方案将从XX的 IT 环境现状出发,分析现有环境,提出XX关心的关键问题及未来的挑战,并根据相关问题详细阐述对应解决方案,帮助XX快速解决问题,以信息技术提升企业生产力。1.2 现状描述当前国内企业内部网络环境多数仍为松散的管理状态,IT 环境中硬件设备伴随着组织中人员数量的增加每年都在增长,大力的信息化建设使硬件和应用软件单纯从技术层面上讲都达到了较高的水平,但实际环境中无论是工作用桌面计算机还是服务器都是采用工作组模型,各自
4、独立。IT 环境中的软硬件资源都无法实现充分利用。经历了大规模网络和硬件投资建设之后,多数企业的信息技术部门开始转向关心信息化建设投资的“效益”,究竟过去投入建成的这些设备,能够形成哪些应用,带来什么效益?这已经成为信息技术部门与企业管理人员最为关心的重点问题。从信息技术部门人员来说,如何整合现有IT 环境中的资源,将 IT 环境的管理由松散方式变为集中管理的方式,减轻日常管理维护负担,提升IT 生产力。从最终用户来说,如何能够实现单一的身份验证,快速的访问企业内部的各种资源,较少的宕机时间也是最大的愿望。1.3 问题分析由于历史和技术发展方面的原因,现有企业内部的IT 环境是逐步建立起来的,
5、而且在早期建立时由于没有整体架构的科学指导,导致目前的松散型IT 环境越来越“臃肿”,客户端、服务器各自独立,形成一个个信息“孤岛”,无法统一管理。在松散型管理的系统网络环境中,一旦某个节点出现问题需要定位出现问题的位置,并需要繁琐费时的恢复过程来实现修复。生产系统应用软件的大规模部署需要相关人员在各个计算机上逐一手工安装,极大耗费人力与时间。名师资料总结-精品资料欢迎下载-名师精心整理-第 3 页,共 21 页 -3 企业内部的各种资源存在于员工的客户端桌面计算机,服务器,以及其他各种设备之中,用户需要获取相关资源需要首先确定资源在哪一台计算机中,并且要针对不同资源提供不同的登录凭据(如用户
6、名/密码等)来访问。另外存在数据资源重复现象,造成硬件资源的不合理占用。信息技术部门制定的IT 管理规范无法完全被最终用户执行,IT 管理规范的制订是为了防止信息系统出现如安全问题等不稳定状况,但松散型管理模式的IT 环境中由于信息技术人员无法监控与统一管理企业内部的桌面计算机与服务器等,该规范变为一纸空文,无法被贯彻实施。现阶段,部分企业对IT 环境的发展仍然缺乏整体和长远考虑,还是按照老思路,简单考虑硬件及应用软件的采购与建设,照此建设思路走下去,将会使目前的IT 环境更加“臃肿”,更难于管理,最终导致生产力的降低。2总体功能需求随着以上阐述的问题在企业内部IT环境中越来越突出,企业存在以
7、下需求:2.1 集中的组织与管理网络内的服务器及客户端通过对网络内的服务器与客户端计算机进行集中式的管理,有助于消除早期“松散型”管理带来的安全漏洞及其他影响IT系统稳健运行问题,能够保证企业制订的IT 管理规范可以通过计算机的逻辑方式派发给各个被管理的节点,并且通过集中管理的模式可以有效降低客户端的维护工作量。2.2 统一的数据组织与资源管理实现统一的数据组织,如共享文件夹的发布,共享打印机的发布等等,并且能够提供较为简单的信息检索方式,快速查询并定为所需的各种资源,实现资源的高效利用。另外统一的数据组织与资源管理可以有效减少数据冗余与资源浪费,减轻IT 环境的维护难度,提升企业生产力。名师
8、资料总结-精品资料欢迎下载-名师精心整理-第 4 页,共 21 页 -4 2.3 单一登录的网络环境企业内的普通员工计算机应用能力有限,如何使员工一次登录计算机后就可以访问其有权限访问的各种资源是提升生产效率,对于普通员工来说更能感受到应用信息技术能够带来更加快捷的工作效率,有助于提升信息系统的使用率。2.4 集中化的软件部署与运行限制企业希望在大规模部署某个应用软件时可以避免手工逐一安装的低效率模式,而采用服务器/客户端的网络分发模式,并能对软件的版本更新做到一定控制,并且可以制定哪些软件可以被安装在哪些用户的计算机上。通过对软件的运行限制,限制客户端计算机上所运行的应用软件,使工作用计算机
9、仅可以运行特定应用程序,与工作无关的应用程序将会被禁止运行,提升系统安全性与最大化企业IT系统效能。2.5 功能强大并易于扩展的IT 基础架构企业希望现有的IT 基础架构能够提供较强的功能,如安全的身份验证,资源整合,软硬件集中监控、管理等,并且希望该基础架构支持较多的上层应用,具有较强的可扩展性,在未来的几年中可以在现有底层IT 架构上实现更多的价值。实现IT投资的保值。3解决方案建议基于上述情况,结合国内外企业信息化的发展趋势和经验,同时参考IT 技术的现有能力和发展走向,建议贵公司统筹安排、统一规划,通过分步实施、集中建设的方式,构建一个集中、统一、互联互通高可管理性的基于活动目录的企业
10、核心IT基础架构。3.1 概念描述活动目录是Windows Server 网络体系结构中一个基础且不可分割的部分。它提供了一套为分布式网络环境设计的目录服务,使得组织机构可以有效地对有关网络资源和用户的信息进行共享和管理。另外,目录服务在网络安全方面也扮演着中心授权机构的角色,从而使操作系统可以轻松地验证用户身份并控制其对网络资源的访问。名师资料总结-精品资料欢迎下载-名师精心整理-第 5 页,共 21 页 -5“基于活动目录的网络基础架构”建设方案中,不仅要建设一系列丰富的,互联的底层基础架构,同时还将构建集中统一的软件基础设施、完整互通的基础数据库,无缝整合现有信息应用系统,并建立“企业信
11、息技术基础架构活动目录”与外部信息系统的互联互通机制。名师资料总结-精品资料欢迎下载-名师精心整理-第 6 页,共 21 页 -6 3.2 建设内容根据“基于活动目录的网络基础架构”的建设定位,我们设计了“基于活动目录的网络基础架构”的整体功能框架,为实现“基于活动目录的网络基础架构”的建设目标提供应用功能基础。3.2.1建立基础平台选择合适的硬件及软件来准备用于目录服务的服务器,硬件性能要尽量强劲,以满足日后日益增加的客户端连接处理数量;软件要尽量选择较新版本,以获取最新的技术支持及更多新特性。3.2.2整合现有信息技术环境整合现有信息技术环境,就是将客户端与服务器由现有的工作组模式的环境平
12、滑迁移至基于活动目录的域模式,统一管理及身份验证信息,将信息统一由服务器发布,减少信息孤岛,增强信息技术易用性和安全性。3.3 建设策略“企业信息技术基础架构活动目录”的建设,是一项建设完成后需要长期稳定使用的工程,需要依靠一个可持续发展的战略合作伙伴的支持。因此,建议联合国内外有实力的,重视,专注企业信息技术基础架构的IT企业,形成战略合作关系,借助企业的经验和实力,为平台建设提供规划建议和实施方案,保证项目的可持续发展。具体实施方式为,首先对本公司信息化建设的基本现状进行调研,然后在调研分析的基础上,再提出“企业信息技术基础架构”的具体建设规划方案。在具体项目建设过程中,遵循“总体规划、分
13、步实施、关注重点、解决问题”的思路,从“总体规划”做起,规划综合企业信息技术基础架构的未来发展远景和功能应用;对“总体规划”所描绘的蓝图,采取“分步实施”的策略,按照“关注重点、解决问题”的原则,不仅要建设稳定而强大的企业信息技术基础架构,同时还要充分重视夯实综合应用服务平台的“软件公共基础平台”,为未来的建设奠定一个可持续发展的基础。名师资料总结-精品资料欢迎下载-名师精心整理-第 7 页,共 21 页 -7 4解决方案实施4.1 AD 域命名和DNS 的规划Windows 2008 AD 域命名和DNS 的规划之所以放在首要地位,是因为AD 作为整个IT架构的基础,不应该轻易被调整。尽管安
14、装后,Windows 2008 AD 仍然可以重组和改名,这一点比 Windows 2000 AD 有了很大的进步,但是我们仍然建议做一个长远规划,使得域命名和 DNS服务能够满足企业3-5 年的需求,尽量避免配置好后改作调整地巨大人力物力浪费。此外,部署Windows 2008 AD,还必须确定DNS服务器,确保它们满足域控制器定位器系统的要求。一个支持AD 的 DNS至少需要满足以下要求:必须支持服务定位资源记录(SRV)应该支持DNS 动态更新协议(RFC 2136)Windows 2008 Server 提供的DNS 服务同时满足这些要求,并且还提供下列重要的附加功能和改进:Activ
15、e Directory 集成:DNS 服务把区域数据存储在目录中,使得DNS 复制创建多个主域,也减少了对维护一个单独的DNS 区域传送复制拓扑的要求。安全动态更新:使得一个管理员可以精确地控制哪些计算机可以更新哪些名称,并防止未经授权的计算机从DNS 获得现有的名称。条件转发:根据不同的对外访问的域名后缀,可以将用户的DNS名称解析请求转发到不同的外部DNS服务器。存根区域:可以定时地刷新和外部DNS服务器的连接,及时发现那些可能有故障、不再响应用户请求的服务器,提高用户DNS名称解析的效率。4.2 确定 AD 逻辑结构Windows 2008 活动目录的逻辑结构由三个基本组件组成:森林、域
16、和OU。4.2.1.确定森林规划森林是 Windows 2008 AD 域的集合。在很多情况下,单一森林就足够了。单一森林环名师资料总结-精品资料欢迎下载-名师精心整理-第 8 页,共 21 页 -8 境易于建立和维护,森林间的域自动建立双向可传递内部信任关系,不要求手动建立外部信任配置,在安装Exchange 2008 Server 等应用程序时,只需应用一次架构更改即可影响所有域。如果各个单位有下列管理要求,就必须建立一个以上的森林:不互相信任管理员。希望限制信任关系范围。不同意某种森林架构更改策略。架构更改、配置更改会影响到森林中所有的域。如果单位不同意一个公共架构策略,它们就不能共存于
17、同一个森林中。4.2.2.制定域规划规划域结构时,始终遵循“简单是最好的投资”的设计原则,尽管增加某些复杂结构可以增值,但是简单的结构更易于说明、维护和调试。一开始时总是仅考虑每个森林中仅有一个域,然后为每一个增加的新域提供详细的理由,确保添加到森林中的域都是有益的,因为它们会带来相应的管理开销而导致一定程度的成本上升。创建更多的域的三种可能的原因是:希望实现相对分散式得IT 管理模式:多域结构更容易进行相对独立的管理、委派和权限控制。另外,不同的用户帐户在一个域内是不能出现重名的,多域之间就没有限制。对于人士管理相对独立的集团下属公司,多域结构具有更好的灵活性。希望实现不同管理策略要求:包括
18、用户口令策略、账户锁定策略和EFS加密策略。例如,要求某些人必须取8 个字符以上的口令,而其它人不做限制。为此,必须将这些需要不同安全策略的用户放在单独的域中。希望减小WAN 上的复制流量:域控制器域间复制将产生比域内复制少的多的流量。如果公司很大,具有跨地区的组织结构,且处于同一个森林内,则在不同地理位置上的机构可能使用慢速的WAN 链路连接。为减少 WAN 上的 DC复制流量,可以在不同的地理位置设置不同的域。根据以上考虑,我们建议,贵公司Windows 2008 AD 域逻辑结构可以采用“单森林、单域”的结构设计。名师资料总结-精品资料欢迎下载-名师精心整理-第 9 页,共 21 页 -
19、9 4.3 确定 AD 物理结构Windows 2008 AD 物理结构主要是规划站点拓扑,用于帮助您决定在网络的什么地方放置域控制器,以及管理域控制器之间的复制流量和用户登录流量。考虑到企业的地理分布情况,应该考虑使用多站点拓扑来规划Windows 2008 AD 物理结构。从绘制基本的网络拓扑布局图着手工作,绘制所有可能的站点(Site)和站点链接(Site Link)。速度快(10Mbps 以上)、连接可靠的LAN 网络总是放置在单站点中。站点定义为一组通过快速、可靠的线路连接起来的IP 子网。一般而言,具有LAN 速度或更快速度的网络被认为是快速网络。窄带的、或不太可靠的连接可以使用站
20、点链接建立多站点网络。通常,WAN 连接一般被认为是窄带连接。如果建立站点链接,实现多站点网络模式,则:客户计算机在登录到域时首先试图与位于同一站点的DC通信;Windows 2008 AD 复制使用站点拓扑产生复制连接。4.4 规划 OU 结构和组策略组织单元(OU)是一个用来在域中创建分层管理单位的容器。在域中创建OU 结构时,必须注意始终按照“谁管理什么”的原则,从IT 管理的需要出发,划分管理模型的结构,而不是简单按照公司业务单位和它的不同分支、部门和项目来创建OU 结构。考虑OU 的下列特性是很重要的:OU 可以是嵌套的。一个 OU 可以包含子OU,使得可以在域中创建一个分层的目录树
21、结构。但是嵌套太多将导致管理复杂和低效,所以建议以二级嵌套为最理想,最多不应超过四级嵌套。OU 可以用来委派管理和控制对目录对象的访问。不能使OU 成为安全组的成员,也不能因为用户被委派管理OU 或驻留在OU 中而自动获得访问资源的权限。名师资料总结-精品资料欢迎下载-名师精心整理-第 10 页,共 21 页 -10 可以在 OU 上实施组策略。组策略是基于Windows 2008 注册表的修改,从而集中控制用户和计算机的工作环境、桌面配置、软件自动安装和删除的管理手段。一般而言,安全策略必须在域级别实施,其它策略主要在OU 级别实施。不鼓励用户在OU 结构中浏览。没有必要设计一个吸引最终用户
22、的OU 结构。尽管用户有可能浏览一个域的OU 结构,但对于用户查找资源来说,这并不是一个最有效的方法。在目录中查找资源的最有效的方法是查询全局编录。有两个理由需要在Windows 2008 域中创建OU 结构:创建 OU 以管理对象和委派授权。为组策略创建OU。一个完全为管理和委派而设计的OU 结构与一个完全为组策略而设计的OU 结构是不同的。OU 结构将很快变得相当复杂。每次添加一个OU 到规划中时,要记下创建的具体原因。这有助于确保每个OU 有一个目的,并将帮助阅读规划的人理解结构所基于的理由。4.5 创建OU 以管理和委派在单位中委派管理有一些好处。以前,在单位中除了IT 之外的组可能必
23、须将更改请求提交到高级管理员,高级管理员代表他们进行更改。委派特定的权限可以将责任分散到单位中的各个组,使您可以将必须有高级访问权限的用户的数量降到最少。权限受到限制的管理员所发生的事故或错误所产生的影响只限于他们负责的范围。这一工作包括以下步骤:确定创建何种OU 创建的OU 结构将完全取决于管理是如何在单位中委派的。委派管理的三种方法是:按物理位置、按业务单位(公司部门)、按角色或任务。三种方法经常结合使用。修改访问控制列表:名师资料总结-精品资料欢迎下载-名师精心整理-第 11 页,共 21 页 -11 修改OU 的访问控制列表(ACL)可以授予一个组对OU 的特定权限,从而实现对该 OU
24、 的委派管理。尽量委派权限给组账户而不是单独的用户,如果可能,委派到本地组而不是全局组或通用组。委派步骤。从域中的默认结构开始,按下列主要步骤创建OU 结构:-通过委派完全控制创建OU 的顶层;-创建OU 的下层来委派每个对象类别控制。4.6 创建OU 支持组策略使用Windows 2008,可以使用组策略定义用户和计算机配置,并将这些策略与站点、域或OU 关联。是否要创建附加的OU 以支持组策略的应用取决于制定的策略以及所选择的实现方案,包括:定义客户计算机的管理与桌面配置标准定义软件的自动分发特殊组策略应用配置与管理在 Windows 2008 中,组策略设置是管理员启用集中更改和配置客户
25、计算机管理的主要方法。可用组策略为某个特定的用户组和计算机组创建指定的安全限制和桌面环境配置。Windows 2008 组策略有100 多种与安全有关的设置和450 多种基于注册表的设置,为您管理用户计算机环境提供了众多选项。Windows 2008 组策略:可根据活动目录定义或在计算机本地进行定义;可用 Microsoft 管理控制台(MMC)或*.adm 文件保存和管理;是安全的;不会在实施的策略改变时把设置留在用户配置文件中;可应用于指定的活动目录容器(站点、域与OU)中的用户或计算机;可由安全组的用户或计算机成员进一步控制;可用来配置多种类型的安全设;名师资料总结-精品资料欢迎下载-名
26、师精心整理-第 12 页,共 21 页 -12 可用于实施登录、注销、启动及关闭脚本;可用于安装和维护软件;可用于重定向文件夹(如My Documents 和 Application Data 文件夹);可用于在Microsoft Internet Explorer 中执行维护。可以按下列三个步骤配置和管理组策略:管理站点、域或OU 的组策略链接:默认情况下,只有域管理员组和企业管理员组可以配置站点、域或部门的组策略。可在站点、域或OU 的“属性”页的“组策略”选项卡中指定链接至站点、域或OU 的组策略对象。Active Directory 支持以每个属性为基础的安全设置。创建组策略对象:默认
27、情况下,只有域管理员组、企业管理员组和组策略创建者(所有者)组的成员可以创建新的组策略对象。如果域管理员想使一个非管理员用户或组能够创建组策略对象,则可将该用户或组添至组策略创建者(所有者)安全组中。这样,他们就可以创建、修改自己的组策略对象,并成为该组策略对象的创建者和所有者。编辑组策略对象:默认情况下,组策略对象接受域管理员、企业管理员及组策略创建者(所有者)组成员的完全控制,课以便机组策略,但非管理员用户没有设置组策略链接的应用权。4.7 应用组策略选项如果能认真应用组策略选项,即使开始用数据极其多的文件夹重定向选项和软件安装选项,也能够改善网络的响应时间。应恰当地应用组策略选项,尤其在
28、刚开始时,更要仔细测试所有建议的更改,以确保不损坏网络性能。下面是一些可用的选项:安全组筛选选项:可针对某个特定组策略对象实施筛选,使之不能对筛选的计算机和用户组生效。不许替代(强制继承)和阻止继承选项:名师资料总结-精品资料欢迎下载-名师精心整理-第 13 页,共 21 页 -13 例如,如果在域层次定义了一个指定的组策略对象,并已指定组对象是强制的(不许替代),那么组策略对象所包含的策略设置就会应用于该域中的所有OU;层次较低的容器(OU)将无法替代此域的组策略,一般用于安全设置。也可阻止从父Active Directory 容器继承组策略。但是,不许替代(强制继承)策略选项始终比阻止继承
29、策略选项优先。处理“环回”策略设置的策略选项:默认的设置使计算机策略优先于用户策略起作用,但有时必须要优先实施用户策略,组策略的环回功能使管理员能够实现这一设置。主要用在软件安装这一类的策略上。低速链接处理的选项:许多用户,如使用便携式计算机的用户、远离建筑物或在分部工作的用户,有时会用低速连接至网络。可对组策略进行配置,使部分策略不能生效,以减少网络开销。这些组策略设置包括:软件安装与维护脚本磁盘配额IP 安全Dfs 故障恢复策略Internet Explorer 维护周期刷新选项:可指定定时地处理组策略。默认情况下,DC 计算机策略每5 分钟刷新一次,而成员服务器和客户计算机每90 分钟刷
30、新一次,并带有30 分钟的随机偏移量。可根据需要改变此刷新频率。4.8 硬件设备选型建议为实现 Windows 2008 AD 系统的部署实施,建议至少配置两台服务器:Windows 2008 AD 主域控制器:1 台,同时兼作DNS、DHCP、WINS服务器;Windows 2008 AD 备份域控制器:1 台,同时兼作DNS、WINS服务器;名师资料总结-精品资料欢迎下载-名师精心整理-第 14 页,共 21 页 -14 上述服务器硬件配置建议如下:2 颗 P4 3.0GHZ 以上 CPU。2GB以上内存。73GB SCSI 硬盘:建议使用2 个硬盘,实施镜像(RAID-1);或者 3 个
31、以上的硬盘,实施RAID-5。5解决方案优势5.1 为什么选择微软活动目录核心基础架构建设属于大型基础的信息系统建设,需要有覆盖整个信息系统建设生命周期的方法论、建设和管理经验的支撑。国内外信息化建设的成功经验表明,建设大型核心基础信息化系统需要引入高质量的战略合作伙伴、系统集成商和产品供应商,形成信息化建设的良性生态环境。微软公司是全球公认的最优秀的信息技术公司之一,微软公司在全球许多国家和地区,拥有丰富的信息化核心基础架构建设经验,特别是建设“活动目录核心基础架构”的项目经验。我们可以借助微软公司在信息化建设的整体规划、系统设计、开发建设、安全部署、运行维护及项目管理等过程的经验和方法,有
32、效减小建设“活动目录核心基础架构”的技术风险、提高成功把握。事半功倍的完成公司所需,快速提升IT生产力。5.2 Windows Server 2008 R2 活动目录的优点我们选择的Windows Server 2008 R2 活动目录产品融合了一些新的技术特点,使我们有理由相信我们推荐的企业网目录管理服务方案最能适合企业的应用,这些特点包括:?DNS 集成活动目录使用域名系统(Domain Name System,简称 DNS)。这使得运行在TCP/IP 网络上的计算机可以识别和连接另一台计算机。DNS 域和Windows Server 2008 R2 的域自然而有机的结合在一起,使得整个目
33、录结构成树型分布,具有了DNS 的层次感觉,也使得Windows Serever 2008 R2 系统能够支撑庞大的目录结构,是的目录对象涵盖了整个网络元名师资料总结-精品资料欢迎下载-名师精心整理-第 15 页,共 21 页 -15 素:用户,计算机,打印机,共享文件夹,应用程序,管理策略等。?目录定位服务通过DNS 服务中的Service Resource Record(SRV RR)记录公布提供目录服务的服务器地址,SRV RR 中的附加信息指出了服务器的优先权及重要度,使得客户可以选择他们所需要的最好的服务器。DNS 记录也可以集成到目录中,随着目录复制而达到DNS 复制的目的。?全局
34、唯一的用户名在 域 内 一 个 用 户 对 象 只 能 有 一 个 用 户 主 名,而 这 个 用 户 名 是 可 以 用usernamedomainname 表示的,就好比一个用户的mail 地址一样。正是具有了这个特性,才能够实现在企业内只要一套用户认证系统就可以实现所有应用系统的单一认证问题。?可扩展性活动目录是可扩展的,就是说管理员可以向模式中添加新的对象类,也可以向已经存在的对象类添加新的属性。模式包括每一个对象类和对象类属性的定义,它们可以存储在目录中。例如,可以向用户对象添加购买机构属性,然后可以将用户的购买机构范围做为用户帐号的一部分进行存储。?灵活的查询用户和管理员可以使用
35、开始 菜单上的 查询 命令、桌面上的 我的网络 图标或者 活动目录用户和计算机连接 插件来根据对象的属性快速的查找网络上的对象。?身份联合ADFS(活动目录身份联合)提供了基于Web 的 extranet 验证/授权、单一签名登陆(SSO)和针对Windows Server 环境的联合的身份服务,从而提高了在涉及B2C extranet、intracompany(多森林的)联盟和B2B internet 联盟的场景中、现有活动目录部署的价值。?基于策略的管理名师资料总结-精品资料欢迎下载-名师精心整理-第 16 页,共 21 页 -16 组策略是在初始化时对计算机或者用户进行的配置。所有的小组
36、策略设置都包含在组策略对象(Group Policy Object,简称GPO)中,它可以应用于活动目录站点、域或组织单元中。GPO 设置确定对目录对象和域资源的访问、哪些资源域是用户可以访问的以及这些资源域应该如何使用。在利用企业网的目录管理服务提供单一的用户身份验证方面,总的来说,存在两方面的应用连接方式:?C/S 应用的连接方式?Web 应用的连接方式其中,Web 应用的连接方式比较统一,解决方法也比较成熟,而 C/S 应用的连接方式就比较复杂,需要根据特定的应用具体分析,举例来说,Domino/Notes 系统就是典型的C/S 应用。在综合了所有解决方案之后,通过对安全性,用户使用的方
37、便性,管理要求,实现技术的成熟性几方面的比较,最后推荐使用登录信息代理方式解决单一用户登录,统一认证(SSO)的问题。这种方式的实现原理是:应用的登录信息存储在目录数据库(AD)中,通过AD 的用户认证得到保护。在应用系统登录时从AD 中获得相关信息进行登录。这个过程通过SSO 插件透明进行,从而实现SSO。?UNIX 身份管理通过将AD 域控制器作为主NIS 服务器,并同步Unix 和 Windows 环境中的用户密码,UNIX 集成有助于在操作系统间建立不间断的用户访问和有效的网络资源管理。活动目录组成结构企业网目录管理服务的产品构成比较简单:Windows Server 2008 R2+
38、Active Directory(活动目录)+符合活动目录要求的客户端系统。名师资料总结-精品资料欢迎下载-名师精心整理-第 17 页,共 21 页 -17 6服务内容6.1 可行性调查调查、分析用户当前系统环境,提交环境调查报告网络拓扑结构服务器清单应用软件部署清单网络及系统存在的安全和管理上的问题网络及系统调整方案调查、分析用户实际和潜在的活动目录服务需求,提交用户需求报告活动目录为用户带来的商业利益分析用户登录认证需求网络安全需求系统管理需求大规模部署微软平台软件需求6.2 规划活动目录部署方案活动目录域及命名方案活动目录站点方案域用户帐号和计算机账号方案域安全组策略方案域管理组策略方案
39、活动目录实施过程方案活动目录冗余方案名师资料总结-精品资料欢迎下载-名师精心整理-第 18 页,共 21 页 -18 活动目录备份和灾难处理方案6.3 部署活动目录服务排定施工进度、步骤和里程碑任务安排项目负责人和施工人员制订施工手册调整、优化当前用户网络和系统环境施工并记录施工过程提交施工报告运行观察和记录6.4 制订活动目录管理维护规范活动目录管理操作规范活动目录运行状况检查规范活动目录数据备份规范制订紧急情况处理的规范6.5 工程师定时上门进行活动目录日常维护观察、记录活动目录的运行情况排除故障优化活动目录运行调整安全策略设置备份活动目录6.6 处理活动目录紧急情况(2 小时内到达现场、
40、8 小时内解决问题的紧急情况处理服务。)名师资料总结-精品资料欢迎下载-名师精心整理-第 19 页,共 21 页 -19 记录故障现象分析故障原因制订解决方案备份活动目录记录域服务器环境配置故障域服务器隔离安装、转移或升级新的域服务器排除故障还原系统、配置和数据活动目录回复到正常状态运行观察提交相关报告6.7 整理和存档资料网络拓扑图服务器硬件配置表服务器软件配置表活动目录运行状态日常检查记录表管理维护规范故障解决方案软件产品和程序补丁备份介质6.8 培训系统管理员活动目录基本概念和工作原理名师资料总结-精品资料欢迎下载-名师精心整理-第 20 页,共 21 页 -20 活动目录设计和部署安全
41、组策略和桌面管理组策略全面介绍活动目录的备份和灾难恢复活动目录的日常维护7服务质量保证XX 从事企业全面的IT 服务。服务内容包括计算机网络架构、网络安全系统、客户机/服务器部署和维护、活动目录、邮件系统、SQL/Oracle数据库、以及SMS/MOM 系统管理软件等。服务深度覆盖一个项目完整的生命周期:用户环境调查、用户需求分析、方案规划设计、系统部署实施、制定操作管理制度、日常管理维护、紧急故障处理、资料整理归档、售后技术培训等。XX努力追求为用户提供最有价值的服务品质,让企业 IT 投资回报最大化。瑞软参考 ITIL标准,规划和制定了为客户提供IT服务的作业流程,从而确保IT 服务能为企
42、业的业务运作提供更好的支持。ITIL(信息技术基础设施库)是一套IT 服务管理最佳实践指南,是 IT 业界在一系列实践和探索的基础之上,总结了IT 服务的最佳实践经验,所形成的一系列基于流程的管理和考核方法,用以规范 IT 服务的水平。ITIL为客户评判XX公司的 IT 服务提供了一个客观、严谨、可量化的标准和规范,客户可以从中获得优质服务的保障。瑞软公司在为用户提供IT服务时全力遵循以下基本原则:努力满足用户的商业和技术目标。制定明确的项目目标、角色和职责。实施迭代式的、由里程碑驱动的服务过程。对客户所面临的风险进行积极的管理。对客户要求做出及时和有效的响应。带给客户最大的附加价值名师资料总结-精品资料欢迎下载-名师精心整理-第 21 页,共 21 页 -