活动目录方案建议书

《活动目录方案建议书》由会员分享，可在线阅读，更多相关《活动目录方案建议书（17页珍藏版）》请在装配图网上搜索。

1、精品范文模板 可修改删除撰写人：_日 期：_浙江省地方税务局网络基础服务和活动目录方案建议书微软（中国）上海分公司技术方案专家部2005.11文档说明浙江省地方税务局网络基础服务和活动目录方案建议书制作者宋烨审核者制作日期2005.11.23更新日期版本1.0密级散发范围浙江省地方税务局信息中心一、 项目概况随着浙江省地方税务局业务的扩展和IT应用的增加，维护整个网络系统的稳定、安全、高效越来越重要。微软是企业IT基础架构领域的技术领先者，其活动目录技术被业界广泛认可，世界财富五百强的跨国公司大多采用活动目录技术来提供IT基础架构服务。浙江省地方税务局和微软有着良好的合作关系，在IT应用的各个

2、领域都有很多微软的解决方案。为利用新技术全面提升IT管理能力，决定在此次项目中全面部署基于Windows Server 2003的网络基础服务和活动目录服务。Windows 2003 操作系统集成了IT基础架构所需要的各种网络服务，让政府部门来建立和管理网络、连接远程工作人员、连接分支机构并且建立兄弟单位的外部网。Windows 2003 Server在开放的平台上遵循标准的协议，它提供了增强的安全性和策略控制，同时提高性能并且简化了系统的安装、管理和使用。此次项目将以建立完善的网络基础服务，集中统一规划结构合理的基于Windows Server 2003活动目录为目标，微软将和服务合作伙伴一

3、起帮助浙江省地方税务局建立更加强大的IT基础架构，以适应业务的高速发展。二、项目方案下文中将就网络基础服务、活动目录服务两个方面进行详细介绍。2.1 网络基础服务2.1.1 背景简介Windows Server 2003的基础的网络服务包括以下两大方面：地址分配 地址分配即IP地址的分配和管理。 目前浙江省地方税务局的不少部门的IP地址分配采用静态方式，其添加和维护工作由IT人员在现场手工完成。 建议在此次项目中使用DHCP，实现动态地址分配，动态主机配置协议（DHCP）是用于管理TCP/IP网络的工业标准，可以通过服务器对工作站进行动态的IP地址分配。使用DHCP可以大大减轻系统管理员的工作

4、负担，使其方便地网络工作站的地址进行配置和管理。名称解析 名称解析是指在访问网络资源（包括文件服务器和打印机）时，如何将资源的名称转换成对应的IP地址的服务。 目前浙江省地方税务局的内部用户在访问网络资源时通过直接的IP地址来定位资源，这样带来的问题时每个用户必须记住要访问资源的IP地址，使用效率不高而且管理成本较高。 通过DNS和WINS的服务，相关的服务器会自动将某个名称转换成实际的IP地址，用户只需记住容易辨识的资源名称即可进行相应的访问。这样网络资源的共享和使用效率将得到很大程度的提高。下文将对相关的部分进行详细的介绍。2.1.2 地址分配对浙江省地方税务局的DHCP的规划如下 建议在

5、以下区域设置DHCP服务器：总部大楼，66个地市分局单位 其中，总部建议部署两台服务器来保证冗余，其余地区各设一台服务器。地税局总部内两台服务器的DHCP Server配置将完全相同。但是，只有一台服务器的DHCP服务将在平时工作。另一台服务器只是作为灾难发生时的备份。两台服务器上关于DHCP的配置将完全一样。 在其他物理区域，建议在DHCP服务器上配置80%的地址。余下的20%将设在总部的两台服务器上以保证冗余性。 地址的租约期将为8天（缺省设置）。 在每一个物理区域，所有的客户端都在交换机上被划分到不同的VLAN上以实现不同的IP子网划分。为了使在同一网段（同一VLAN）的客户端能够获得相

6、同子网的IP地址，需要在交换机上启用DHCP中继（DHCP Relay）功能。 每一个服务器上的Scope设定举例：对于每一个子网(192.168.x.0/24)，在DHCP服务器上设有一个对应的区域，包含的地址如下：总部的服务器其余地区（的服务器）192.168.x.31 192.16说明：需要根据浙江省地方税务局整个内网的及其数量和未来发展规模来确定子网IP地址的取值范围。预期效果 浙江省地方税务局总部所有的客户端都将通过总部的DHCP获得IP地址，在此服务期出现问题的时候，如果解决问题的所需时间较短（6天以内），将不做任何改动，客户端在8天以仍可以使用原地址进行正常的工作。如果解决问题的

7、所需时间较长（例如需要更换硬件），则可以激活备份DHCP服务期上对应的scopes来保证在相当长的一段时间内客户端仍可以得到IP地址，虽然个别客户端有可能和先前使用的有些不同。 其他地市分局和税务所所有的客户端都将通过本地的服务器得到IP地址，万一本地服务器出现问题的时候，如果解决问题的所需时间较短（6天以内），将不做任何改动，客户端在8天以仍可以使用原地址进行正常的工作。如果解决问题的所需时间较长（例如需要更换硬件），可以启用广域网路由器上的DCHP中继功能并修改交换机上的相关设置，使当地的客户端可以从总部的DHCP服务期上获得属于自己子网的 IP地址。2.1.3 名称解析DNS内部名称解析

8、 建议在每一个物理区域都设一台DNS服务器。该服务器同时也是域控制器。换而言之，所有的域控制器同时也都将是DNS服务器。 建议浙江省地方税务局内部网络的域名为 DNS服务器都将DNS数据放在本地的AD数据库中，但是作为独立的Application Partition来参与域控制器之间的目录复制(Directory Replication)从而同步DNS数据库。 所有域控制器都将自己设为首选的DNS服务器，将总部的一台域控制器设为次选的DNS服务器。每个物理区域的客户端将通过DHCP，将本地的DNS设为首选，将总部的一台域控制器设为次选。WINS 在整个网络内将只设有两台WINS服务器提供Net

9、BIOS的名称解析。这两台服务器同时也是总部区内的域控制器（DC1和DC2）。服务器之间将通过双向的复制来保证数据的统一性。 客户端将通过DHCP自动获得服务器的IP地址。说明：由于WINS服务器之间的复制较为复杂，只设两台服务器有助于降低管理的成本并达到一定的冗余性。这个方案带来的唯一缺陷是会有一部分的名称解析的流量是通过广域网的，特别是Windows 9x客户端较多的区域。预期效果所有内网的客户端都将通过DNS来进行名称解析。包括登入域和访问文件服务器或其他客户端。每一个加入域的客户端都通过动态注册在DNS服务器上注册自己的主机纪录(A)和指针纪录(PTR)。管理员在服务器上可以轻松的了解

10、所有客户端的注册情况。此外，在本地服务器的DNS服务出现暂时不可用的情况时，可以依靠总部的服务器来进行必要的名称解析。2.2 活动目录服务2.2.1 背景简介Windows 2003 的活动目录(Active Directory)服务是Windows 2003网络结构的一个必要和不可分离的部分，该服务是特别为分布式的网络环境而设计的。活动目录可以让政府部门有效地共享和管理网络资源和用户的信息。此外，活动目录扮演着网络安全性的主要权威的角色，它让操作系统准备好验证用户的身份并且控制他或她对网络资源的访问。同等重要的是，活动目录起到了把系统集成到一起的结合点并且巩固管理任务的作用。新版Window

11、s 2003的活动目录服务在Windows 2000版本的基础上，保留了大部分体系结构，但在安全性，稳定性和扩展性上又有很大的进步。设计Windows 2003活动目录服务主要包括以下几方面： 域结构 组织单元结构 账号和口令管理 站点结构 FSMO角色2.2.2 域结构和DC位置规划域结构设计是活动目录中最重要，也是最基础的工作，是多种因素权衡的结果，它既要尽可能贴近用户的管理模式和组织结构，也要考虑网络情况及今后的各种变化。建议此次在浙江省地方税务局IT环境内采用单树结构，这个单树以作为树的根域，由于根域在活动目录网络环境中非常重要，因此不建议在此域中管理具体的网络资源，部署共12个子域，

12、分别对应着浙江省地方税务局的总部和11个地市，以缩写为域名，例如总部取名为：，温州地税取名为：，依此类推。以下是单树结构相对于其他结构的优点： 使用Enterprise Administrators组集中管理整个集团的安全策略。 利用域里的组织单元反映具体的管理结构。 当机构重组时可以非常灵活的进行调整。 当资源和用户需要在组织机构内迁移时可以非常灵活的调整。单树结构示意图如下：每个域结构中，域控制器部署示意图如下：2.2.3 组织单元结构组织单元的设计将遵循两点原则： 反映浙江省地方税务局内部的组织结构 有利于通过组策略进行细化的终端管理 由于用户帐号（在这里包括用户组账号）和计算机账号分数

13、两种不同的资源类型，所以也需要分开管理。具体的组织单元结构在进行后续部署时进行细化。2.2.4 账号和口令管理账号管理可以分为个人账号管理、组账号管理和机器账号管理。个人账号管理个人账号可以分为两类： 第一类为普通账号，采用一人一号的方式，为每一位员工建立自己的账号。当员工加入或者离开时，按照一定的规则增加或者删除用户的账号。 第二类为特殊账号，通常不属于某一位员工，而是为了满足某些特殊的功能，比如系统管理、匿名访问等等。特殊账号有以下几个： Administrator，系统管理员账号，具有最高的权限，可以进行任何管理操作，该账号不能被删除，只能更改用户名。为了提高系统的安全性，建议将管理员账

14、号的用户名更改，比如hqadmin（仅仅是建议，系统管理员可以自行决定）。 Guest，匿名登录的账号，为了提高系统的安全性，建议将Guest账号禁止。 服务的账号，在Windows 2003中，每一个服务都需要一个账号，通常这些账号采用系统账号，无须关心，但有一些服务需要特殊的用户账号。 每个个人账号都有一个口令来保护，为了防止口令被盗用和攻击，建议在整个域中启用相应的密码策略以保证每个密码都符合一定的复杂度，具体要求如下： 长度不得小于7个字符 必须包含大写和小写字母 必须包含特殊字符（例如：!#$%&*()_+） 个人账号的命名规则，用户名称将使用中文名，帐号名称为: 采用姓名的拼音全称

15、，如有重复则在末尾加用户所在部门名称的首字母，若仍有重复则在末尾加数字以示区别。 例如：姓名姓名拼音 帐户名张刚(杭州)Zhang GangZhanggangHZ张钢(宁波)Zhang GangZhanggangNB计算机账号管理所有加入到域中的计算机都需要一个计算机账号，通过该帐号，可以对计算机的各种配置进行管理。建议的计算机命名规则为：部门+序号。例如：HZ-001（杭州地税第一台计算机）。组账号管理分组管理是重要而有效的管理策略。在Windows 2003中有三种组帐户：通用组（Universal Group）、全局组（global group）和域本地组（Domain local gr

16、oup），全局组可以包括本域的用户帐户（user account），域本地组可以包括本域和资源域的用户帐户和全局组帐户，通用组的使用则没有任何限制。良好的分组策略可以降低管理的复杂性，避免安全上的漏洞，大大提高管理的可靠性。采用这样的分组策略：1. 按照职位分组。2. 按职能分组，例如所有的财务人员，所有的科技人员，所有的系统管理员等等。3. 对员工分类，比如普通员工，临时员工等等。由于维护用户和组账号是一项日常的工作，这项工作将由浙江省地方税务局的IT人员，依据管理的需求来创建。此次项目中，建议为每一个部门创建一个管理员组，用来进行一些日常的管理工作，包括安装额外的硬件，共享文件和打印机，等

17、等。首先将所有用户分到各个不同的组织单元(OU)下面。每个组织单元下还包含一个用户组，该用户组的成员即是该组织单元内的所有用户，这样可以较为轻松的管理用户资源。2.2.5 管理控制委派总部集中的管理并不以为着所有与IT相关的操作、配置都必须由总部的IT人员完成，Windows Server 2003的活动目录提供了很好的委派管理机制，可以有效地减少总部的管理负担，实现既中央集权，又分布管理。对于一个大型的政府机构而言，管理IT资源的人员不可能局限于一两个人。在有多个管理员同时存在的情况下，如何分配管理权限是一个重要的问题。如果权限过于疏松，个别的人为误操作或恶意攻击将对整个企业的环境产生威胁；

18、而权限过于严格，又会产生诸多不便，影响工作效率并增加管理负担。Windows 2003提供了一种叫做管理控制委派 (Delegation of Administrative Control) 的机制来解决这一问题。通过对不同管理控制的委派，可以轻松的让某一个或某一组普通用户帐号管理一定的资源，同时又不放松对整个域和其他重要资源的控制。通过一定的委派，这些帐号都有权限管理自己分支机构所对应的OU下面所有的用户帐号和计算机账号，包括改名，改密码，创建用户和组，或加入计算机到域内。但是，对于域内的其他资源而言，这些帐号只是普通的用户帐号，没有权限进行任何改动。同时，这些帐号都将加入一个用户组，名称是

19、admins。这个组将加入域内每一台客户端的本地管理员组(administrators)中。这意味着这些帐号都可以登入到任何一台客户端上并具有本地管理员的权限。这样，这些帐号就可以用来代替每一个客户端的本地管理员账号来管理本地资源。三、附录：术语和概念 3.1目录服务（directory service）目录服务是一种存储网络信息的层次结构。目录是用来存储有用对象的信息源，例如电话目录存储关于电话用户的信息。在文件系统中，目录存储关于文件的信息。在分布式计算机系统或者象Internet这样的公用计算机网络中，有许多有用的对象，例如打印机、传真机、应用软件、数据库和其它用户。用户希望寻找并使用这

20、些对象。而管理员则希望管理这些对象的使用。这份文档中，术语directory（目录）和directory service（目录服务）指在公用和专用网络中的目录。“目录服务”不同于“目录”在于它既是目录信息源，也是使用户可以使用这些信息的服务者。3.2活动目录 (active directory)活动目录是包含了Windows2000 Server的目录服务。它扩展了以前基于Windows的目录服务的功能，并增加了一些全新的功能。活动目录是安全的、分布式、可分区和可复制的。它的设计保证能在任何规模的安装中正常工作，从只有几百个对象，一台服务器的小系统到拥有数百万对象，上千台服务器的庞大系统它都支

21、持。活动目录增加了许多新功能，这些功能使浏览并管理大量信息变得更容易，为管理员和终端用户都节约了时间。3.3域（domain）基于Windows NT的计算机网络的安全边界。活动目录由一个或多个域组成。在一个独立的工作站上，域就是计算机自身。域可以跨越多个物理区域。每一个域都有自己的安全策略和与其他域的安全关系。当多个域通过信任关系连接起来，并且共享一个模式、配置和全局目录的时候，它们组成一个域树。多个域树可以组成一个森林。参见域控制器，局部域小组。 域控制器(domain controller)-一个基于Windows NT的服务器拥有一个活动目录分区。3.4树（tree）通过可传递、双向信

22、任关系连接在一起的Windows NT域的集合，它们共享相同的模式、配置和全局目录。域必须组成层次式的名字空间，例如，是树根，是的孩子，是的孩子等等。活动目录是一个或多棵域树的组合。3.5森林（forest）相互信任的一个或多个活动目录树形成的小组。森林中的所有树共享一个模式、配置和全局目录。当一个森林包括多个树的时候，所有的树不是形成连续的名字空间。给定森林中的所有树通过信任关系的双向传递相互彼此信任。与树不同的是，森林不需要一个可分辨的名称(DN)。森林作为一组交叉引用的对象和成员树之间的信任关系而存在。森林中的树形成一层次信任关系。3.6组织单元（organizational unit，

23、简称OU）一个容器对象，它是活动目录可管理的划分。OU可以包含用户、小组、资源和其他OU。组织单元可以管理权限委托给目录中的子树。组织单元的结构限制在一个域内。3.7站点 (site)站点是网络中一个包含活动目录服务器的位置。站点定义为一个或多个连接良好的TCP/IP子网。“连接良好”指网络连接非常可靠和快速（例如10兆比特每秒或更高速的LAN）。定义站点为一组子网则允许管理员快速轻松地配置活动目录访问和复制拓扑，以便充分利用物理网络。当用户登录上网时，活动目录客户机将以用户的身份在同一个站点找到活动目录服务器。由于网络中同一个站点的机器彼此邻近，所以它们之间的通讯可靠、快速并且高效。由于用户

24、的工作站已经知道位于哪一个TCP/IP子网上并且能将子网直接转变为活动目录站点，所以在登录时确定本地站点就变得很容易。3.8域名系统（Domain Name System，简称DNS）一种层次分布式数据库，用来进行域名/地址转换。域名系统是Internet上使用的名字空间，用来将计算机和服务名称转换成为TCP/IP地址。活动目录在它的定位服务中使用DNS，以便客户端可以通过DNS查询找到域控制器。3.9可传递信任关系（transitive trust）Windows 2000域树或森林中的域、森林中的树、森林之间固有的存在信任关系。当一个域加入到一个已有的森林或域树时，自动的建立可传递关系。可

25、传递信任一般时双向的关系。在域树中的父子域、森林中域树的根域这一系列信任关系允许森林中的所有域相互之间彼此信任，这样的目的是授权。例如，如果域A信任域B，域B信任域C，那么域A可以信任域C。3.10局部域小组(domain local group)可以包含森林、通用小组和本域中的其他局部小组中的用户和全局小组。一个局部域小组只能在本域的ACL中使用。3.11通用小组（universal group）组的最简单的形式。通用组可以出现在森林ACL的任何地方。小型安装可以专有的使用通用小组而不要去关心全局和局部小组3.12模式（schema）整个数据库的定义；可以存储在数据库中的全局对象定义在模式中

26、。对于每一个对象类而言，模式定义了类实例必须具有的属性、可能有的附加属性和当前对象的父亲是基于什么类的。3.13复制（replication）在数据库管理系统中，通过例行公事的将整个数据库或数据库的子集拷贝到网络中的其他 服务器上而使分布式数据库同步的功能。有几种拷贝的方法，包括主站点复制、共享或传输所有权的复制、对称复制（也称为随时更新或对等复制）和失败恢复复制。参见不同复制方法的完整定义百科全书。 3.14轻型目录访问协议（LDAP）用来访问目录服务的一种协议。目前的 Web 浏览器和电子邮件程序中都实现了LDAP，这样就可以查询一个LDAP目录。LDAP是目录访问协议（Directory

27、 Access Procotol ，简称DAP）的一个简化版本，可以用来访问X.500目录。编写LDAP查询代码比DAP简单，但是LDAP的功能不是十分完善。例如，如果没有找到地址，DAP可以在其他的服务器上进行初始化寻找，但是LDAP就不具备这个功能。LDAP是活动目录的主要的访问协议3.15 Kerberos一种用来授权用户的安全系统。对于服务或数据库，Kerberos不提供授权；它在登录时授权用户身份，这在整个会话中都是要使用的。Kerberos协议是Windows 2000操作系统中的主要授权机制。3.16组策略(Group Policy)指将策略应用到活动目录容器中的计算机组和/或用

28、户。所包括的策略类型不仅是出现在Windows NT服务器4.0中的基于注册的策略，还可以是目录服务所允许的用来存储策略数据的多种类型，例如：文件配置、应用程序配置、登录和注销脚本、启动和关机脚本、域安全、Internet协议安全（Internet Protocol security，简称IPSec）等等。策略的集合称为组策略对象（Group Policy object，简称GPO）。 3.17组策略对象（Group Policy object，简称GPO）策略的虚拟集合。它有一个唯一的名称，例如一个全局唯一标识符（globally unique identifier，简称GUID）。GPO在

29、两个位置存储组策略设置：组策略容器（Group Policy container，简称GPC）（首选的）和组策略模板（Group Policy templet，简称GPT）。GPC是一个活动目录对象，存储版本信息、状态信息和其他策略信息（例如应用程序对象）。GPT用于基于文件的数据并且存储软件策略、脚本和配置信息。GPT位于域控制器的系统卷文件夹上。 一个GPO可以于一个或多个活动目录容器相关，例如站点、域或组织单元。多个容器可以与相同的GPO相关联同时一个容器可以与一个或多个GPO相互关联。 此外，缺省的，每一个计算机接受一个只包含指定安全策略的局部组策略对象（local Group Pol

30、icy object，简称LGPO）。管理员也可以在单个计算机上设置和应用不同的局部组策略。这对于那些不是域的成员或那些管理员希望删除从域中继承组策略的计算机的情况是有力的。参见组策略。 3.18组策略管理控制台（Group Policy Management Console，简称GPMC）Microsoft组策略管理控制台（GPMC）是一种用以帮助您通过更具成本效益的方式对企业进行管理的新型组策略管理解决方案。它由一个Microsoft管理控制台（MMC）嵌入式单元以及一套支持脚本编程方式的组策略管理接口所构成。GPMC将作为一种独立的Windows Server 2003组件予以提供。 G

31、PMC的设计意图在于通过提供对组策略核心领域进行管理的统一场所来简化组策略管理方式。您可以将GPMC视为一种管理组策略所需的一站式资源。 通过提供以下特性，GPMC能够满足目前所提出的组策略部署需求： 能够简化组策略使用方式的用户界面（UI）。 组策略对象（GPO）的备份与恢复。 组策略对象的导入/导出与复制/粘贴以及Windows管理规范（WMI）过滤器。 得以简化的组策略相关安全性管理方式。 针对GPO设置与策略结果集（RSoP）数据的HTML报表生成功能。 由这种工具所提供的GPO操作脚本编程方式但不支持针对GPO设置的脚本编程方式。 在GPMC出现之前，系统管理员必须同时使用几种不同的Microsoft工具来管理组策略。GPMC将这些工具所包含的现有组策略管理功能集成到一种统一控制台中，并且提供了以上所列出的新增功能特性。第 17 页 共 17 页免责声明：图文来源于网络搜集，版权归原作者所以若侵犯了您的合法权益，请作者与本上传人联系，我们将及时更正删除。