如果要安装AD域的话,首先要安装DNS服务器、DHCP服务器
1、为了防止出现灾难,2DC/2DNS是不可少的
2、备份也不可以少
3、使用性能监视器建立baseline,在日后的工作中对性能进行调解
多域控制器环境下Active Directory灾难恢复:
http://www.microsoft.com/china/community/program/originalarticles/TechDoc/Adrecover.mspx
配置 DNS 服务器以使用转发器:
http://technet.microsoft.com/zh-cn/library/cc773370(WS.10).aspx
性能监视器建立baseline:
http://www.cnblogs.com/lovko/archive/2009/05/25/1488671.html
先说说基本情况:朋友的公司是一个合资工厂,现在在筹建期间,他就属于总管一类的角色,除了技术,杂七杂八的事都归他管。现在的公司电脑是不可少的,大约60多台。很可气的一点,公司各部门各工种人员配置非常齐全,可老板不愿招IT支持人员。所以他要求尽量减少员工对电脑进行更改的机率,并都能顺利的互相访问、打印文件,还要上网(唉,这是他为自己准备的)。
先做吧……
注:请不要在意文中的数字,我想数目不能决定什么,关键是设计思路和实现方法)
一、 域的组建1.服务器配置因为只有本地办公,所以只需要单域就够了。服务器是三台IBM 服务器,*作系统是WINDOWS 2000 SERVER版(也不一定要三台,实际上一台也能完成这些服务,至于用不用高级服务器版随你便了)。
SERVER(192.168.0.1):主域控制器,域名final.com,IP192.168.0.1;并配置为主DNS服务器(转发DNS请求到ISP的DNS服务器IP,这样当客户机的DNS指向SERVER时不仅可以正常使用局域网也可以访问Internet);安装WINS服务。
SERVER2(192.168.0.2):备份域控制器,DHCP服务器,建立作用域192.168.0.0/24,提供192.168.0.10~192.168.0.100(具体提供多少IP地址请根据需要自定,关键是请留出一部分IP给服务器用);配置作用域选项,其中网关为192.168.0.254(宽带共享路由器),DNS、WINS服务器地址为192.168.0.1. SERVER3(192.168.0.3):备用。
如果为了稳定,可以在SERVER2上配置为DNS为主DNS的备份区域及GC,这样即使SERVER因调试重启或故障暂时不能使用时保证客户机仍可正常使用网络。
请不要问我如何安装DC、DNS、DHCP、WINS服务,微软的设计简直就是*瓜化的安装。
2.OU的建立公司有人事部、行政部、财务部、工程部、市场部五个部门(虚拟的)。
为了管理及配置策略方便,建立以下OU层级。
建立一级OU名为“FINAL”,“FINAL”下建三个二级OU,分别为“管理员”、“公司领导”、“部门”。在“部门”下按部门名称建立五个部门OU.在每个二级OU和**OU下分别建立安全组和用户,并把用户加入相应的安全组。
用户帐号建立原则:以公司花名册为准,用员工工号为登录名建立用户帐号,建立后移动到相应的部门OU,并加入相应的安全组,员工的帐号均为Domain Users组。
如在“管理员”OU里建立“管理组”,建立用户“000”,并把用户“000”加入安全组“管理组”;在OU“部门”-“人事部”下建立用户“004”,加入安全组“人事组”。
建立用户帐号的时候请完整输入用户的姓名资料,以便日后若安装Exchange时使用。
请注意:这时OU里并没有计算机帐号,因为在设计OU时客户机并没有安装,请看后面的客户机安装。
3.组策略及网络使用按以上设计的OU层级,可以在公司、管理层次、功能部门分别设计相应的组策略。以下举两个实例以供参考。
例一:限制客户机登录用户客户机加入域后(客户机的安装及配置见后),默认情况下任何一个域帐号可以在任何一台客户机登录到域使用该台客户机。可我朋友公司的人竟然不接受这个观点,说这样子岂不是每个人的电脑其他人都可以打开了,不安全,要给每台电脑再加上CMOS开机密码。
在我几番耐心讲解,告诉他们“电脑应做为公司一种共享的办公设备,而不是某个单用的电脑。任何一个连入网络的设备(电脑、打印机)都是网络的一部分,都是公司的资源”。终于达成以下协议,每个部门的人只能登录该部门的电脑。这一点从一定程度上增加了客户机的安全性。
在**OU,如“人事部”上创建组策略,在“计算机设置”-“本地策略”-“用户权利指派”-“在本地登录”,设置Domain Admin组和“人事组”有效,这样只有管理员和人事部的人才能登录人事部的电脑了。其他部门分别添加相应组策略。
例二:网络共享的设计及文件夹重定向由于给用户的是Domain User的权限,所以用户不能共享本地的文件,那么如何解决用户文件共享的需要呢?这就要求在服务器上有管理员统一设置了。
服务器上的共享:在SERVER3上建立一个文件夹“DATA”,并完全共享,共享名为默认的“DATA”。在“DATA”文件夹下建立“SHARE DOCUENT”文件夹,在此文件夹建立每个部门的文件夹并设置NTFS权限。
其中DATA,Share document文件夹设置Domain Admin组,SYSTEM完全控制,Everyone只读;部门文件夹的NTFS权限设置为Domain admin组和本部门安全组有完全控制权限,Everyone只读。
用户帐号配置:建立用户帐号时,为用户配置“主文件夹”,连接到服务器上的本部门文件夹。
图中的部门文件夹路径应为完整的UNC,如 “server3datashare document人事部”。
这样设置当用户登录后在“我的电脑”里会多一个网络映射Z盘,映射到用户本部门共享文件夹,用户可以把需要共享的文件拷贝到Z盘,其他用户就可以通过共享访问。
放在共享里的文件,本部门人的有完全控制权限,其他部门人具有只读权限。用户可以进一步在本部门文件夹内建立自己的文件夹,并设置更严格的权限。有些用户可能没有固定的电脑,个人文件放在部门共享文件夹里会有一些问题出现。一是安全性有待进一步设计,二是用户对共享不是很熟悉,多数人不会去设置文件夹安全属性。考虑到这一点,再加上文件存放的方便性,我做了文件夹重定向。
在一级OU FINAL上添加组策略,这是为了保证域内所有的用户的My Document文件夹都存放到服务器上。
组策略-用户配置-Windows设置-文件夹重定向,设置My Document属性,设置"基本-将每个人的文件夹定向到同一位置","目录文件夹位置"为file://Server3/Data/User Document/%username.以上的设计完成了两个通过网络共享方案:(1)存放在My Document里的文件,用户无论在哪台客户机登录时均可正常访问,且只有自己可以访问;(2)各部门可在服务器上共享文件,且只有本部门有修改权限。
还可以在服务器上再建立一个文件夹,让所有用户均可以任意读写的权限。
再提一点,为了防止用户在服务器上存放垃圾文件并提高服务器的利用率,在Server3上启用磁盘限额,每个用户默认限制使用100M.这里的100M是用户存放在My Document和部门共享文件夹里的文件总和。
组策略的设计关键在于你有什么需求,有了需求再去设计该用什么策略来完成它。
首先,要确定所需策略设置的类型。策略设置通常划分为以下几部分:
l 安全设置。
l 要部署的应用程序包。
l 计算机系统设置。
l 用户环境设置。
l 特定于应用程序的设置。