基于Windows Server 2003的活动目录集成方案

目录

基于Windows Server 2003的活动目录集成方案.... 2

前言 ... 2

一、企业IT 环境的管理需求 ... 2

二、方案设计 ... 3

1 ．用户管理 ... 3

2 ．资源管理 ... 3

3 ．应用授权管理 ... 3

三、企业活动目录实施的步骤： ... 3

1 ．服务器规划 ... 3

2 ．组策略定义 ... 4

3 ．维护和拓展体系建立 ... 4

4 ．应用整合 ... 5

5 ．管理制度地建立和后期培训 ... 5

四、方案成效： ... 5

1 ．实现人的身份管理 ... 5

2 ．设备的管理 ... 6

3 ．提升系统安全管理水平 ... 9

4 ．灾难备份与恢复 ... 9

五、后续增值效益 ... 10

 

基于Windows Server 2003的活动目录集成方案书

前言

随着计算机和互联网的普及，以及社会信息化的发展，越来越多的企业开始迈入“信息化”的行列。随着企业规模日益扩大，业务日益增多， IT 管理上的许多弊病逐渐暴露出来。由于企业管理力度和管理制度不完善以及缺乏先进的管理工具和技术等原因，使得 IT 部门的管理者（ Administrators ）对本企业的 IT 情况和 IT 安全隐患等难于了解和监控，对突发的 IT 环境管理事故缺乏应变能力，对安全问题等缺乏必要的应变手段和措施。所以，企业不得不面对一个低效甚至是难于控制的 IT 环境管理局面。在企业核心义务的应用比重日渐加大的今天，对 IT 环境的安全而有效地管理已成为企业业务的重要组成部分。加强企业的 IT 环境的管理，已成为大部分企业当务之急。

企业活动目录架构是一个企业目录管理服务平台。他可以将企业不同系统之间的资源以目录集成的方式进行统一管理，集成电子商务运营，包括数据、应用程序、业务流程以及门户等各个方面。让所有的系统在共享功能方面由一个独立的目录系统进行统一管理，形成一个强壮灵活的现代企业 IT 架构。

建设集中化的企业目录基础架构不仅可以维护统一的用户管理和认证，提升信息化管理水平；降低企业桌面系统的管理维护成本；面对未来业务应用的发展，更具有高度的可扩展性和灵活性，能够大大降低新系统的开发成本和建设部署周期。系统整体的架构主要是集中部署的 AD 域控制器提供企业目录服务

一、企业IT环境的管理需求

作为一个高效的现代化企业，其 IT 环境管理应能实现：

1) 具备集中可视化管理，避免或最小停机时间，使人为故障率为“零”。

2)IT 管理技术具备可靠的体系结构和可伸缩的基础架构。

3) 具备对 IT 环境（操作系统 / 网络结构）的洞察力以及能进行全球的分布式控制，能快速确定问题所在并对问题做出快速的响应，或者完全避免出现问题的可能性。即使出现故障的时候，也能立即知道它产生的原因，以尽可能快地纠正和恢复，并且避免问题进一步的恶化。

4) 能及时的了解一个基础架构的健康状况，了解现有的服务器之间的负载平衡是否良好的运行，找出提高服务器使用效率的模式，了解资源的使用情况，理解整个企业究竟有多少潜力可以利用，从而能科学地规划服务器资源，并因此进一步降低企业成本。

5) 除此之外，企业 IT 环境管理还要能实现跨平台管理，向 IT 部门的 Administrator 提供其 IT 架构所必需的信息，使总体拥有成本（ TCO ）的最小化，可靠性和性能的最大化。

二、方案设计

根据企业的需求 , 本方案主要从以下三方面入手：

1．用户管理

在 AD 中，根据所属部门或科室，域中用户被划分到不同的组织单元（ OU ），其相应享有的权限归属于不同的组（ Group ）。系统管理人员（ Administrator ）在部署初期，根据各部门或科室的业务需要，编制相应的组策略（ Group Policy ）赋予或限制一定的用户使用某应用系统或数据资源的权限。所以，用户只要在登录域时输入唯一的身份账号和密码，系统就会按照 Group Policy 定义的该用户所属 OU 或 Group 的要求，自动赋予该用户对某些应用系统的使用权限。这样，用户在这些应用系统中将不必再次输入账号和密码了。

2．资源管理

资源管理包括对企业内各种硬件资源和软件资源的管理。对于企业的 IT 管理人员来说，资源管理的挑战不仅是来自于对主机服务器的管理，也不仅是来自对网络设备的管理，因为这些都可以由专业人员集中管理解决。 IT 管理人员面临的真正最大的挑战是对分散在企业各个部门的数以百计的 PC 的管理。

在 AD 下，企业系统 Administrator 可以通过 Group Policy 全面地管理连接到网络上的各种资源，包括设定是否可以自行安装应用程序，是否可以无限制地访问本地磁盘，是否可以访问特定的应用等等。所有这些管理都是通过中心系统 Administrator 在服务器端完成，而不需要到每个计算机终端上去进行这些配置。

而对于企业内员工在各部门间调动的问题， AD 特有的智能镜像（ Intelli Mirror ）技术可以使应用管理做到“ My Application Follow Me ”。所有和其新岗位相关的应用会自动地安装到他的 PC 上，同时他不再需要的有些应用会自动地被删除。

3．应用授权管理

对于企业来说，开发应用系统时授权管理是一件非常令人头痛的事情，尤其当企业业务繁忙，应用是跨地域的分布式系统时尤其如此 ,AD 的部署可以让应用系统的开发人员非常方便地扩展目录服务系统，把各种应用授权管理纳入统一的目录服务中来，彻底地解决了应用授权问题。

三、企业活动目录实施的步骤：

项目的实施将根据系统功能分为如下五大阶段：

1．服务器规划

根据公司现状，规划整个公司 Windows Server 服务器的数量以及部署位置 , 搭建 Server 2003 Enterprise 服务器。

一般来说，根据地理位置划分域（ Domain ）是比较理想的作法。要保证核心业务的稳健运作，必须在该处部署“双服务器模式”，即：双域控制器（ AD-DC ） + 双文件服务器 (AD-FS) ，从而达到尽量减少 Down 机时间的要求。

此外，在主控制端还要预留一台较高配置的 Server 作为 Portal （硬盘组容量至少为 30 GB × 2, 内存为 4 GB ） , 便于在其上搭建 Windows 2003 SQL ，用于公共数据的存储。

具体部署如下：

定义组织、部门名称，建必须的各网络和安全服务，如： DNS 、 DHCP 、安全密码验证、网络数据加密等

一般情况下，在项目测试实验阶段使用固定的 IP 地址，组建小型的域网，便于项目规划人员根据实际情况进行调试。但是，当活动目录开始在整个公司范围正式实施时，则应采取 DHCP （动态主机配置协议）自动分配客户 PC 的 IP 地址。

2．组策略定义

在企业组织结构图的基础上，划分适当的 OU 层次，定义 OU 的名称和 Group 的代号。理论上， OU 层次可以为 5 ～ 8 层，但实际上 3 层 OU 已经是极限了。所以尽可减少 OU 数量可以加快用户登录速度。

根据各部门实际应用情况和管理层的要求，建立不同的 Group Policy, 使之对每台客户机进行有效的管理，对用户权限按照所属部门分类。

对于一般用户，系统仅携带足以支持其日常办公需要的软件或工具（如： IE6.0 、 MS Outlook 、 MS Office 、 Acrobat Reader 、 Winzip 、 ACDSee 、 MacFee 等），无须配备目前用户热衷的娱乐工具。而且，完全限制一般用户擅自安装软件，从而避免通过软驱、光驱或其他移动介质安装和运行可能携带病毒的程序模块。若用户需安装某与其业务相关的应用软件，则必须报请 IT 部门的技术人员，由其用 Administrators 账号登录安装。

3．维护和拓展体系建立

规划备分和灾难恢复机制

在实施 AD 项目后，用户可以按照部门或分部集中组织并存储重要文件到文件服务器（ Files Server ）上，即使在病毒危害客户端的情况下，我们也可以像以前恢复 OS 一样，将其在 Server 上存储的文件和数据恢复到客户端。

此外，为了保持数据的时效性，采用目录备份（ Directory Back Up ）每天或每周更新数据。对于系统崩溃的情况，一般是用 Ghosts 对系统进行恢复，或由 IT 部门的技术人员用光盘恢复，或直接由 Server 上恢复。

规划组织结构和人员变动时的应对方案

4．应用整合

通过唯一一个用户账号，系统会对用户权限进行验证和审核，同意用户在企业内能进行有效访问。使企业内部的 IT 应用达到“ Single-sign-on ”。

5．管理制度地建立和后期培训

当运行测试成功后，须建立和实施一定的管理制度对企业员工进行相应的要求，并且，通过一系列培训使整个企业的内部应用能充分发挥功能。

四、方案成效：

微软企业咨询服务的活动目录技术，提供统一用户身份管理和认证，统一网络资源实体的管理，同时也为后续的各种应用的统一认证和授权管理奠定了坚实的基础。其应用成效主要表现在以下几点：

1 ．实现人的身份管理 ――通过集中的企业目录系统，统一用户管理和提供统一认证服务。

（ 1 ）通过文件夹重定向或漫游用户配置文件实现统一的桌面环境管理。多个用户可以使用同一台计算机，当用户登录到其各自的工作站时，用户将收到上次注销时的桌面设置，并且一个用户对桌面环境的自定义设置不会影响到其他用户的设置。

（ 2 ）设立文件共享不再需要特别设定共享密码。缺省只有域用户才可以访问，文件共享者也可以通过设定特定的域用户组和特定用户，只允许他们才可以访问该文件。当用户去访问文件服务器，不再需要输入用户名和密码。 Windows 会利用域账户自动去验证。

　具体应用：比如在工作组下面有3台计算机，分别是A、B、C，各有一个账号a、b、c，如果B上有一个文档要给a用户访问，b就要在B计算机上创建一个账号a’给a，让a用a’去访问，或者b把自己的账号密码告诉a，让a来访问，同理，其他资源也是一样处理。结果就是每一个用户要记好几个账号密码来访问不同的资源，或者就是网络里有很多额外的账号密码存在，或者很多人的密码告诉给其他人，最终网络安全变成一句空话。

但是如果实现了域就不一样了，b只要在资源上设置a的访问权限就可以了，不用额外创建账号，也不用把自己的账号密码告诉别人，a来访问的时候，如果权限合适就可以直接进行操作。用户a也不需要记录额外的账号密码。

（ 3 ）发布 DFS ，用户寻找文件更加方便，用户不必记住文件服务器的 IP 地址，只需要记住服务器名称即可，利用 DFS 统一到一个地方去存取文件，而不用担心文件物理放在哪台文件服务器上；另外 DFS 可配置多达 32 台服务器的冗余备份，从而减小单点故障引起的文件无法访问问题，当某一台服务器 Down 后，可自动连接到其他服务器完成资源存取。

（ 4 ）发布共享打印机，使用户寻找打印机更加方便。用户甚至不必记住打印机服务器的名字，利用“寻找打印机”就可以迅速找到离自己位置最近的打印机，极大的方便工作。

（ 5 ）限制各部门之间的互相访问，如财务部不能被其他部门成员访问，对有需要的部门领导可给予具有较高权限的账号，以便访问其他部门。

（ 6 ）可以通过各种方式在目录结构中查询自己所需要的网络资源。尤其是对个人而言，用户可以实现单点登陆，用户每次只需要登陆到域中，当访问后台应用时，就不再需要重复输入用户名和密码。这样一方面可减轻用户记住多套用户名和密码的负担，同时也可避免每次访问应用时都要再重复输入一遍用户名和密码。

（ 7 ）员工通过拨号上网，工作期间严格控制其上网时间，收发邮件可通过邮件服务器实现。如：通过组策略设置普通员工的拨号时间为 20 ： 00―22 ： 00

（ 8 ）可自定义 MMC 管理小工具，委派给各部门进行活动目录日常操作，以分担域管理员的管理压力。如：各部门间有人员上的调动，或是某门有新员工加入，可由委派的管理员进行用户账户的创建和配置。

（ 9 ）另外，关于远程操作系统的安装、委托管理、远程桌面协助等各种功能也能在统一的管理下轻松实现。同时，活动目录充当管理用户身份和网络资源控制访问验证的统一认证机构，支持业界标准协议 Kerberos 认证协议，并可集成证书服务 , CA 和 智能卡 (Smart Card) 认证。用户的访问便可以根据企业的统一认证服务被准许或拒绝。同时，从用户使用来看，一套用户认证系统建立了 Single-Sign On SSO( 单点登录 ) 的基础，增加用户的便利性和安全性。

2 ．设备的管理 �D�D加强终端管理，降低运维费用

（ 1 ） 信息的安全性大大增强

建立企业目录管理系统，通过活动目录组策略继承的方式，将终端使用策略主动的继承到各个终端。只要用户登录进入域，域管理服务器就会自动继承该用户所需要的终端设置。这样就可以实现约束业务人员终端使用，加强企业终端管理、维护手段的主动性，降低终端人为导致软件故障的发生率，从而降低运维费用。例如：对普通用户禁用注册表、禁用组策略、隐藏 C 盘、删除开始菜单中的运行等。

具体应用：比如单位里面为了放置病毒感染和信息安全，要求所有的计算机只能使用USB的鼠标和键盘，U盘和移用硬盘不能使用。为了控制USB接口的使用类型，工作组下面就只有一台一台计算机去设置组策略了，而AD下仅仅一条组策略就可以完成，花费不到10秒钟!

再比如，为了防止员工修改系统配置导致系统崩溃，或为了禁止员工上班时间玩游戏，需要禁止某些组件的使用，用 AD自带的组策略功能也非常方便。至于给所有员工发送一个信息或安装一个软件之类的常规性管理任务， AD的组策略也很容易就实现。而且这些策略的设置可以依据单位的部门或职称架构来实现。非常方便 !

 

（ 2 ）禁止普通用户自己安装软件，办公软件、杀毒软件以及各部门专用软件由管理员通过活动目录统一指派或发布。可以某个 OU 为单位进行软件的指派或发布，如：财务部需要安装 Excel, 则可将 Excel 的安装程序指派给财务部的机计算机，计算机在下次启动时便会自动安装 Excel, 当软件安装到计算机后除非有管理员权限的用户，其他用户不能删除该软件，但仍可通过“添加删除程序”选项来进行软件的修复或重装。也可以将 Excel 指派给某个特定的用户，当该用户在下一次在任可计算机登录时，可在“开始”菜单中看到该软件的快捷方式，用户可通过点击快捷方式来下载安装 Excel ，用户可以选择删除该软件，但下次启动时软件还会指派到该用户，用户可以不使用该软件，但不能阻止接收该软件。还可将 Excel 发布给用户，下一次用户在任何计算机登录时，该软件就会出现在“添加删除程序”中，供用户下载使用。

（ 3 ）在这种统一管理下，用户还能实现多种远程管理。比如用户可以不必在 Windows 客户机上安装打印机驱动程序就能够使用打印机，可以很容易地进行网络打印以及管理打印机服务器了。再比如委托管理，各事业部可自行管理，包括创建本部门用户，计算机，打印机，文件服务器等，如：域管理员可将财务部的管理权限委派给财务部经理，日常操作可由财务部经理完成，不必什么事都由域管理员去做，减轻了域管理员的负担，也能提高工作效率。

（ 4 ）安装 Exchange 2000 server ，设置收件服务器和发件服务器。在公司内部，员工收发邮件不必连接到 Internet ，可由公司内部的邮件收发服务器来完成。

（ 5 ）磁盘管理，限制磁盘配额，防止员工将无关信息上传服务器，给系统运行带来严重压力。例如：只允许后勤部使用 100M 空间，防止他们上传无关信息，如电影等

（ 6 ）创建磁盘卷，以备份重要数据，实现容错功能。当用户将资源保存在磁盘上时，它会自动同步备份到另一个磁盘上，即使该磁盘因某种故障而无法正常工作时也不会影响到用户，可由另一磁盘提供相同的资源。

（ 7 ）安装服务器群集，用服务器群集实现故障转移功能，避免单点故障影响访 问。服务器群集是一组协同工作并运行 Microsoft 群集服务（ Microsoft Cluster Service ， MSCS ）的独立服务器。服务器群集为资源和应用程序提供高可用性、故障恢复、可伸缩性和可管理性。

服务器群集允许客户端在出现故障和计划中的暂停时，依然能够访问应用程序和资源。如果群集中的某一台服务器由于故障或维护需要而无法使用，资源和应用程序将转移到可用的群集节点上。

（ 8 ）支持存储区域网（ SAN ），管理员可通过 SAN 友好的按键辅助功能可以控制卷的挂载，保护卷不被无意访问，容错性能大大加强，并且备份数据不会因为大量的数据传输而把网络拖垮，因为备份只在 SAN 次网络上流动，而不会影响主网络的运行。

（ 9 ）加密文件系统（ EFS ），对重要的文件系统加密，防止普通用户读取。

（ 10 ）组策略设置可以让管理员以逻辑单元（例如部门或办公地点）的形式组织用户和对象，然后给这些逻辑单元分配相同的设置，包括安全、外观和管理选项，这个过程可以简化相应的管理任务。如：使用 AGDLP 策略，假设 TEST.COM 中的 5 个财务人员和 BOOK.COM 中的 3 个财务人员 (A) 都需要访问 BOOK.COM 中的“ Software ”文件夹 , 则可在 BOOK.COM 中建一个“域本地组” (DL) ，在 TEST.COM 和 BOOK.COM 中各建一个“全局组”（ G ），然后把两个“全局组”加入到“域本地组”中，再给“域本地组”赋予权限（ P ），这样他们便可以访问“ Software ”资源，当有其他员工或是新进员工也需要访问“ Software ”时，只需要 TEST.COM 或 BOOK.COM 的委派管理员将其用户账户加入到各自的“全局组”即可 , 从而简化了相应的管理任务 , 也减轻了域管理员的沉重负担。

（ 11 ）另外，在活动目录的支持下，当用户需要重新安装操作系统，可以利用“远程 OS 安装”的特性在不到半小时里自行安装一个新的操作系，而且对于使用 Windows XP Professional 的机器而言，当软件出现问题时，可以不必等待 IT 维护人员亲自跑到机器面前维护，用户可以发出远程邀请桌面协助，这样用户和 IT 人员可以立即共享 Windows 桌面诊断问题，加快问题的响应速度，提高用户的满意度。

（ 12 ） 具有很强的可扩展性

WIN2003 的活动目录具有很强的可扩展性，管理员可以在计划中增加新的对象类，或者给现有的对象类增加新的属性。计划包括可以存储在目录中的每一个对象类的定义和对象类的属性。例如，在电子商务上你可以给每一个用户对象增加一个购物授权属性，然后存储每一个用户购买权限作为用户账号的一部分。

　　具体应用：比如单位将来用实现邮件系统和企业内部通讯系统，实现依据网络来完成企业内部的文件，信息，语音等等的通讯，这样可以大大节省企业运行成本。利用活动目录的可扩展性，只不过是在用户账号上多了邮箱属性或MSN属性而已，用户甚至可以使用IE来安全的收发邮件，连Outlook都不需要!

 

（ 13 ） 具有很强的可伸缩性

活动目录可包含在一个或多个域，每个域具有一个或多个域控制器，以便您可以调整目录的规模以满足任何网络的需要。多个域可组成为域树，多个域树又可组成为树林，活动目录也就随着域的伸缩而伸缩，较好地适应了单位网络的变化。目录将其架构和配置信息分发给目录中所有的域控制器，该信息存储在域的第一个域控制器中，并且复制到域中任何其他域控制器。当该目录配置为单个域时，添加域控制器将改变目录的规模，而不影响其他域的管理开销。将域添加到目录使您可以针对不同策略环境划分目录，并调整目录的规模以容纳大量的资源和对象。

 

（14） 与 DNS 集成紧密

活动目录使用域名系统 (DNS)来为服务器目录命名，DNS 是将更容易理解的主机名(如 Mike.Mycompany.com)转换为数字 IP 地址的 Internet 标准服务，利于在TCP/IP网络中计算机之间的相互识别和通讯。DNS 的域名基于 DNS 分层命名结构，这是一种倒置的树状结构，单个根域，在它下面可以是父域和子域(分支和叶子)。

　　具体应用：任何一台计算机加入到域之后，就获得了一个唯一限定名(FQDN)，由于域名称是层次结构的，所以该名称在整个企业中也是唯一的，这样当我们需要查找任何计算机都可以使用该名称。

　　而且由于该名称是由AD注册在DNS中，完全符合当前网络的状态(所有计算机都在AD中注册)，这一点在动态地址分配的情况下非常有利。而且由于DNS是不受地域和网络基础结构影响的，任何地点的任何用户都可以方便的访问到需要的资源。

另外，在AD中，每一个用户都有唯一的用户主名(UPN)，类似于邮件地址的用户主名不仅有利于用户记忆(在多域环境下特别有用)，而且和邮件系统挂钩，进一步简化了终端用户的使用。

 

（ 15 ）智能的信息复制能力

信息复制为目录提供了信息可用性、容错、负载平衡和性能优势，活动目录使用多主机复制，允许您在任何域控制器上而不是单个主域控制器上同步更新目录。多主机模式具有更大容错的优点，因为使用多域控制器，即使任何单独的域控制器停止工作，也可继续复制。由于进行了多主机复制，它们将更新目录的单个副本，在域控制器上创建或修改目录信息后，新创建或更改的信息将发送到域中的所有其他域控制器，所以其目录信息是最新的。域控制器需要最新的目录信息，但是要做到高效率，必须把自身的更新限制在只有新建或更改目录信息的时候，以免在网络高峰期进行同步而影响网络速度。在域控制器之间不加选择地交换目录信息能够迅速搞垮任何网络。通过活动目录就能达到只复制更改的目录信息，而不至于大量增加域控制器的负荷。

 

（ 16 ） 与其他目录服务具有互连性

由于活动目录是基于标准的目录访问协议，许多应用程序界面(API)都允许开发者进入这些协议，例如活动目录服务界面(ADSI)、轻型目录访问协议 (LDAP) 第三版和名称服务提供程序接口 (NSPI)，因此它可与使用这些协议的其他目录服务相互操作。LDAP 是用于在活动目录中查询和检索信息的目录访问协议。因为它是一种工业标准服务协议，所以可使用 LDAP 开发程序，与同时支持 LDAP 的其他目录服务共享活动目录信息。活动目录支持 Microsoft Exchange 2003客户程序所用的 NSPI 协议，以提供与 Exchange 目录的兼容性。

 

（17）具有灵活的查询功能

任何用户可使用“开始”菜单、“网上邻居”或“活动目录用户和计算机”上的“搜索”命令，通过对象属性快速查找网络上的对象。如您可通过名字、姓氏、电子邮件名、办公室位置或用户账户的其他属性来查找用户，反之亦然。

具体应用：比如在A地的一个员工要给B地的员工发送一份文档，他不需要将文档打印出来再快递过去，他完全可以在AD中搜索B地员工办公室(或附近办公地点)的某台打印机就可以了，然后直接将文档发送到那台打印机上，B的用户就可以直接拿到文档了。而A的用户不知道B地的打印机没有关系，他可以根据地名，楼层，办公室等等信息，很快定位到正确的打印机!

3．提升系统安全管理水平

（ 1 ）作为安全管理中心，活动目录服务利用安全组策略技术进行服务器和桌面机器的安全控制。通过有效的企业级或者部门级安全策略设定，在企业内部桌面系统加强安全约束，提供整体安全性，从而提升系统安全管理水平。

（ 2 ）性能监视，通过性能监视工具，事件查看器控制台，系统监视器，性能日志和警报等对活动目录进行实时监控，以及时发现故障，解决故障，并通过一定手段将故障发生率减到最小。

（ 3 ）监视共享文件的访问

监视网络资源使用

监视共享文件夹

监视打开的文件

发控制台消息

4．灾难备份与恢复

每周在一个固定的时间进行 AD 数据库的备份，并设置计划作业。当系统出现故障时能及时的恢复备份数据，将灾难引起的损失减到最小程度

五、后续增值效益

活动目录技术作为企业目录建设的基石，其本身的作用主要有三：

第一，它可以成为一个管理中心。通过对网络中的元素，如用户账户、计算机账户等信息进行收集、保存，作为其管理的对象。通过其本身提供的组策略等技术作为管理的手段，从而实现管理中心的功能；

第二，它可以成为一个安全中心。通过域环境的搭建，使其成为域中资源的安全边界。同时，可以扮演身份认证和授权中心的角色；

第三，它是一个开放的平台。通过对目录服务标准的支持，使得在其基础架构上，进行应用的开发、与其它应用和服务进行整合成为可能，从而不断扩展其功能。