AD域控规划方案

《AD域控规划方案》由会员分享，可在线阅读，更多相关《AD域控规划方案（18页珍藏版）》请在装配图网上搜索。

1、活动目录AD规划方案1.1 .活动目录介绍活动目录是Windows网络体系结构中一个基本且不可分割的部分，它为网络的用户、管理员 和应用程序提供了一套分布式网络环境设计的目录服务。活动目录使得组织机构可以有效地对有关网 络资源和用户的信息进行共享和管理。另外，目录服务在网络安全方面也扮演着中心授权机构的角 色，从而使操作系统可以轻松地验证用户身份并控制其对网络资源的访问。同等重要的是，活动目录 还担当着系统集成和巩固管理任务的集合点。活动目录提供了对基于Windows的用户账号、客户、服务器和应用程序进行管理的唯一点。 同时，它也帮助组织机构通过使用基于Windows的应用程序和与Window

2、s相兼容的设备对非 Windows系统进行集成.，从而实现巩固目录服务并简化对整个网络操作系统的管 理。公司也可以使用 活动目录服务安全地将网络系统扩展到Internet上。活动目录因此使现有网络投资升值，同时，降低 为使Windows网络操作系统更易于管理、更安全、更易于交互所需的全部费用。活动目录是微软各种应用软件运行的必要和基础的条件。下图表示出活动目录成为各种应用软件 的中心。MWlndcnwVrdo岸Ute电泊WfnovnlV/7d。屋 CliEsMdile -iwrtkinfoOtherDir 111 ctori ew M卜i2问严; E- Commerce2Active Dire

3、ctory AOther NOS* User registry* Security PolicyEMsil 9rjrsk Mailbox Ho Address book focal Point Tor:i ManAgeabilit/ Security InteroperabilityNetwork JmuieeM-ConfigurationQoS policy Security policyImliuaticm -Server ccrifig Single Sign- Or App-spacAic directory info* Policy点* Conflgurstiori-Security

4、 Rolicy VPN policy(Internet 阳WindowsWi厂富 Services Printers File shares Policy1.2.应用 Windows 2012 Server AD 的好处Windows 2012 AD简化了管理，加强了安全性，扩展了互操作性。它为用户、组、安 全服务及 网络资源的管理提供了一种集中化的方法。应用Windows 2012 AD之后，企业信息化建设者和网络管理员可以从中获得如下好处：1、方便管理，权限管理比较集中，管理人员可以较好的管理计算机资源。2、安全性高，有利于企业的一些保密资料的管理，比如一个文件只能让某一个人看，或者指定人

5、员可以看，但不可以删/改/移等。3、方便对用户操作进行权限设置，可以分发，指派软件等，实现网络内的软件一起安装。4、很多服务必须建立在域环境中，对管理员来说有好处：统一管理，方便在MS软件方面集成， 如ISA EXCHANGE （邮件服务器）、ISA SERVER （上网的各种设置与管理）等。5、使用漫游账户和文件夹重定向技术，个人账户的工作文件及数据等可以存储在服务器上，统一进 行备份、管理，用户的数据更加安全、有保障。6方便用户使用各种资源。7、SMS （ System Management Serve）能够分发应用程序、系统补丁等，用户可以选择安装，也 可以由系统管理员指派自动安装。并能

6、集中管理系统补丁（如Windows Update，不需每台客户 端服务器都下载同样的补丁，从而节省大量网络带宽。8、资源共享用户和管理员可以不知道他们所需要的对象的确切名称，但是他们可能知道这个对象的 一个 或多个属性，他们可以通过查找对象的部分属性在域中得到一个所有已知属性相匹配的对象列 表，通过域使得基于一个或者多个对象属性来查找一个对象变得可能。9、管理A、域控制器集中管理用户对网络的访问，如登录、验证、访问目录和共享资源。为了简化管理，所 有域中的域控制器都是平等的，你可以在任何域控制器上进行修改，这种更新可以复制到域中所有 的其他域控制器上。B、域的实施通过提供对网络上所有对象的单点

7、管理进一步简化了管理。因为域控制器提供了对网络 上所有资源的单点登录，管理远可以登录到一台计算机来管理网络中任何计算机上的管理对象。在 NT网络中，当用户一次登陆一个域服务器后，就可以访问该域中已经开放的全部资源，而无需对同 一域进行多次登陆。但在需要共享不同域中的服务时，对每个域都必须要登陆一次，否则无法访问 未登陆域服务器中的资源或无法获得未登陆域的服务。10、可扩展性在活动目录中，目录通过将目录组织成几个部分存储信息从而允许存储大量的对象。因 此，目录可以随着组织的增长而一同扩展，允许用户从一个具有几百个对象的小的安装环境发展成 拥有几百万对象的大型安装环境。11、安全性域为用户提供了单

8、一的登录过程来访问网络资源，如所有他们具有权限的文件、打印机 和应用程序资源。也就是说，用户可以登录到一台计算机来使用网络上另外一台计算机上的资源，只 要用户具有对资源的合适权限。域通过对用户权限合适的划分，确定了只有对特定资源有合法权限 的用户才能使用该资源，从而保障了资源使用的合法性和安全性。12、可冗余性每个域控制器保存和维护目录的一个副本。在域中，你创建的每一个用户帐号都会对应 目录的一个记录。当用户登录到域中的计算机时，域控制器将按照目录检查用户名、口令、登录限制 以验证用户。当存在多个域控制器时，他们会定期的相互复制目录信息，域控制器间的数据复制， 促使用户信息发生改变时（比如用户

9、修改了口令），可以迅速的复制到其他的域控制器上，这样当 一台域控制器出现故障时，用户仍然可以通过其他的域控制进行登录，保障了网络的顺利运行。1.3.明确系统规划目标企业的Windows 2012 AD系统规划构建是为企业信息化建设服务的，需要达到以下战略目 标：围绕企业的战略发展需要，进行企业信息化建设系统规划，满足企业3-5年的业务发展对 IT建设的要求；以业务为驱动，通过有效的信息系统，加强信息共享和协同办公，提高工 作效率，降低成本；整合企业现有信息资产，加强企业管理与监控；从信息中挖掘知识，提高经营决策与驾 驭风险的能力；推进知识管理理念，建立知识型企业，增强企业的核心竞争力。Wind

10、ows 2012 AD系统规划实施的具体目标如下：规划和部署基于Windows 2012 AD的企业目录服务，首先实现用户的单一登录，保障网 络系统安全；通过AD实现用户桌面的集中和自动管理，分发软件补丁；进一步部署微软的相关应用平 台软件，如实现基于Exchange 2003的企业内部邮件和协作服务，14活动目录设计方案为企业设计一个域，用户的所有计算机(服务器和客户机)全部加入到域，用户实现单一登录和管理员通过域组策略实现安全及桌面管理。AD架构拓扑如下o域制胃二15活动目录优势1 .计算机工作组管理和AD管理比较对于基于Microsoft Windows操作系统的计算机运行和管理在两种模

11、式下：工作组(workgroup) 和域(domai n)。在工作组模式下，计算机处于一个孤立状态，使用计算机的用户登录帐号和计算机的管理均须在 每台计算机上创建或进行。见下图。Workgroup当计算机超过20台以上时，计算机的管理变得越来越困难，并且要为用户创建越来越多的访问网 络资源的帐号，用户要记住多个访问不同资源的帐号。而在域的模式下，用户只需记住一个域帐号，即可登录访问域中的资源。并且管理员通过组策略，可以轻松配置用户的桌面工作环境和加强计算机安全设置。域模式下所有的域帐号保存在域控制器的活动目录数据库中。见下图。DomainSingle UserAccountActive Dir

12、ectory2 .为什么要提供目录服务？对更加强大、透明且高度集成的目录服务的不断需求是由爆炸性增长的网络计算所导致的。随着 局域网(LAN )、广域网(WAN)规模与复杂性的不断提高和这些网络不断被连入Internet，以及应 用程序对网络的依赖程度不断增强并不断被链接到协作企业网中的其它系统上，对目录服务的需求也 日渐增多。基于下列原因，目录服务成为扩展的计算机系统中最重要的部件之一：简化管理提供对用户、应用程序和设备的单致性的管理点。加强安全性向用户提供单一的网络资源登录，为管理员提供强大、一致性的工具以使他们能 够管理为内部台式机用户、远程拨号用户以及外部电子商务客户提供的安全服务。扩

13、展的互操作性向所有活动目录特性提供基于标准的存取方式以及对通用目录的同步支持。目录服务兼任管理工具和用户工具。随着网络中对象数量的增加，目录服务变得必不可少。目录 服务在一个庞大的分布式系统中发挥着网络集线器的作用。致力于这些需求，Windows 2000服务器版引入了活动目录-即一套用于改进Windows网络操作系统管理、安 全性和互操作性的完整的目录服 务集。下图描述了活动目录带来的计算机安全和管理上的一些最重要的好处。1 Single User Account 1Centralized Management手u3.AD简化了计算机系统管理分布式系统常常导致时间的消耗和管理的冗余。当公司在

14、他们的基础结构上添加应用程序并雇用 新的职员时，他们需要适当地向各桌面系统分发软件并管理多个应用程序目录。通过在单一的位置管理用户、组和网络资源以及分发软件和管理桌面系统配置，活动目录可以显著降低公司的管理费 用。例如，活动目录在同一个位置管理Windows用户和Microsoft Excha nge邮箱信息。基于下列 原因，活动目录可以从以下方面帮助公司简化管理：消除冗余管理任务提供对Windows用户账号、 客户、服务器和应用程序以及现存目录同步能力进行单一点管理。降低桌面系统的行程针对用户在公司中所担当的角色自动向其分发软件，以减少或消除系 统管理员为软件安装和配置而安排的多次行程。更好

15、的实现IT资源的最大化安全地将管理功能分派到组织机构的所有层次上。降低总体拥 有成本（TCO）通过使网络资源容易被定位、配置和使用来简化对文件和打印服务的管 理和使用。4.加强安全T生强大且一致的安全服务对企业网络而言是必不可少的。管理用户验证和访问控制的 工作往往单调乏味且容易出错。活动目录集中进行管理并加强了与组织机构的商业过程一致、且基于 角色的安全性。例如，对多身份验证协议（如Kerberos，X.509认证以及由灵活的访问控制模型组成的智能卡）的支持实现了对于内部桌面系统用户、远程拨号用户和外 部电子商务客户强大且一致的安全服务。活动目录使用以下方法增强安全性：改进了密码的安全 性和

16、管理通过向网络资源提供单一的集成、高性能且对终端用户透明的安全服务。保证桌面系统的功能性 通过根据终端用户角色锁定桌面系统配置来防止对特定客户主机操作 进行访问，例如软件安装或注册项编辑。加速电子商务的部署通过提供对安全的Internet标准协议和身份验证机制的内建支持，如 Kerberos,公开密钥基础设施（PKI）和安全套接字协议层（SSL）之上的轻便目录访问协议 （LDAP ）。紧密的控制安全性 通过对目录对象和构成他们的单独数据元素设置访问控制特权。1.6.重要组策略介绍1.软件分发策略通过组策略可以为域中的计算机或用户自动分发带有msi包的软件。见下图首 Befault Domain

17、 Folicy mainsrvp. si co. com策出 H 凰计算机配置L软件设置-：LJ Winh 啊 S帕1粘贴E凰：刷新电）导出列表s耳帮助ET无线网雪4lEEE302.il八略 W LJ公钥策略 * 软件限制策略国”履I IF安全策略-在Active EirectorA S LJ 背建梯彳复用户配置EU八件设置E（71 Windows 设管1* 口管理彳复2.将用户的个人数据从pc机上重定向到服务器上重定向有利于数据的安全以及集中备份。见下图。郅 Default Domain Policy mainsrv si co. com集出 L M 名称计算机配置I sr j软件设置 _J

18、 Windows 设置I宙口管理模板F盛用户配置软件设置目软件安装FWindows设置聿远程安装服务囹脚本僵录/注销）j白口文件夹重定向II Appli eati on 口 I我的文档I口开始莱单j likterntt Explorer比o管理模板3.安全类组策略密码策略强制密码历史”设置确定在重用旧密码之前必须与用户帐户相关的唯一新密码的数 量配置密码最长使用期限”设置，以便密码在环境需要时过期。密码最短使用期限”设置确定了用户更改密码之前必须使用密码的天数。最短密码长度”设 置确保密码至少包含指定数量的字符。密码必须符合复杂性要求策略”选项检查所有新密码以确保它们符合强密码的基本要求。Be

19、fault Domain Policy （mainsrv. &ico. com集曲蹋密码必须符含宣杂悝要或猫毯码氏度八NS圜密码显觇使用期跟他密玛星短使用期限画强制彝码厉史用可还履的力0八来储存窖码5平和42天L天24亍记住的密阿F*磁田LI7TTMJTJ（Si计算机曲置.士J软件设宜Ell例谡置脚本（S动戾机1回筋安全谡蛊1 寻帐户策酪,苧帐户锁定策略苗1 Klirm-os策唱账号锁定策略帐户锁定策略是一项Windows Server 2012安全功能，它在指定时间段内多次登录尝试失败 后锁定用户帐户。允许的尝试次数和时间段是由为安全策略锁定设置配置的值 决定的。用户不能登 录到锁定的帐户。

20、帐户锁定时间”设置确定在未锁定帐户且用户可以尝试再次登录之前所必须经历的时间长度 帐户锁定阈值”设置确定用户在帐户锁定之前可以尝试登录帐户的次数。复位帐户锁定计数器”设置决定了帐户锁定阈值”复位为0以及帐户被解锁之前所必须经过 的时间长度。抵育走文 设百定丈 口欢无效道录Dtfiiilt Doih-aiit Poli ey （mbiitsrv. lied.eoih 韶计茸机酉膻+ 软件概置躅复位储尸领运计敷器H _J W i ndflvv E设置般I帐户锁定时间即脚苯08动空机）踽帖户锁定国值二.茅帐户集晤禁用本地管理员帐号默认情况下，每台加入到域中的计算机都有Administrator和Gu

21、est两个帐号，Administrator帐号在安装时口令为空。用户使用这个帐号权限过大，因此一般不会给用户使用这个管理员帐号，最好的做法就是 通过组策略禁用这个帐号，用户使用域的帐号。剧瞅拴制番：兀叶贩劳命探什网IT划仕汾TE X.0即采真罐户状卷没有走义IX使用空白密码的本M户只允许进传制台登录没有定义小矍重命名来宜帐户没有定义壬 W 重龄名累蜿管理贯尸浸有定义将域帐号加入到每台PC机的本地Power Users组中创建域帐号时，默认情况下这个帐号只属于Domain Users组中，该组属于每台PC机的本地Users组。本地Users组中的成员权限受到严格限制，比如共享文件夹，安装打印机驱

22、 动程序等工作的权限都没有。而经常有用户需要这些权限，可以通过组策略来实现。旨事件日志系统服务E_3注册表&L3文件系蜿ET无线网络rr.l |冷鼻日苗毗打开迫）添加/且复制粘贴（Z）卷汕胡牡工D翘嘎遥直定义谩真定义E frlfliicjrgofl Exch&Dga Ewra投有定良 设有定艮 la: -ifd9： b alTHAT! d 1 尽 jHJWf1苴他规则so IF安全策略.+ _|管理模板-：4P用户配置1 23软件设置+ ,_l Windows 设置1,J管理模板网络连接控制策略新建证书规则（）.新建唱希规则05）.Internet因或规则（X）.新建蹄径规则世）所有任务00禁

23、用系统服务我们为优化系统和安全性考虑，经常要禁用计算机的一些无需运行的服务。我们可以通过组策 略把这些服务禁用掉。匡注闵表国；卫宜样1妊* T 无躅网箱 CIEEE 802.11） A* 企珊;辟* 一I软件醍制黄陷囹-3 If 5?全集在 Kctiva Dir ttctori 橇Fl厨用P3塔F欢件设卷由Yindovs设直由二）常理阻楼软件限制策略对一些规定不得使用的软件可以通过组策略来禁用：路径规则：特殊文件路径下的软件不得使用：如 program files下的某些软件证书规则：只有系统管理员颁发过证书的软件可以使用，其他软件禁止使用哈希规则：对 禁止使用的软件通过哈希运算得到这个软件的

24、身份指纹，在组策略里设置只要是符合身份 指纹鉴定的软件就进行限制RA 2J软件限制策晤 _J安全级别用户经常会通过改变“网络连接”中的设置，绕过企业防火墙，建立自己的上网链 路，比如电 话拨号上网。这样会带来很大的安全隐患。可以通过组策略限制用户不得改变网络连接中的配置， 不允许用户通过其他方式连接互联网。Defiult DWm&in r*Licy |mbinsrv. ico. co a 凰计 if 策国 机配进申软件役詈EWindow 1设置i二j管理根僵3屈用户配3到;件设置号砌半安-I Zj Windpwf设置油远程安 装服害题哄暹录/注氏予安全设置申S丈件夹直定向FI 如 Intrnt

25、 ExclArfir 维护白J管理砚板F_2 Wind八E组件二I任务社和开抬菜单+二I桌面+卜二I控八面板 共享立件夹 I 她丈件设置争重希名LWT连接或重甜老所有用尸可用的远程谊问连接的.翻访间.UUI逵按殂件的属性 细集止访问适程.访问连授组件的JS性哥禁用TCP/IP高硼垣曾荼止到“禽级”菜单上的“满级设宜”的达何翔崇止肃加或删除用于LAB连接喊远程询问连按的组件爵票止询问LUfiSJSMJStl崇止启用/禁用LAH醛的组件；拿更曲所育用尸远提苗问连播的属性崇止更改专用远程访问连摄痢属性:*票止册除运程访问连接密舸除所有用户远程访问连接；*禁止连接和新开连援远程访问连接站启用/禁用UO

26、T连接的能力；*荼止访问“新连连接向导”箱重命名LAN连接的能力辛重潇名所百用户远程访问连接的人力这禁止重命名专用远程访问连摇东甘禁止访问“高缈薰里上的*远程访问首选顶”菜里的禁止直看活动连搐的状态$询管理员启用Wituhws 2000网瘩连搐设置必连接剌艮制戒无连搐时并闭道知网络连接17计算机从工作组加入到域可能存在的问题和 解决方法把计算机从工作组模式加入到域模式可能会出现以下二个问题问题：1 . 一些软件不能使用。有一些软件以登录者的管理员权限帐号运行，当计算机加入到域并对登 录帐号做了权限设置，或禁用了本地管理员帐号，这些需要管理员权限运行的软件就有可能 不能正常运行。2 .用户桌面环

27、境发生改变。由于加入域前后用户是用不同的帐号登录的，因此用户以前的桌面 环境无法使用。具体有桌面上放置的资料“我的文档”等放置的资料配置好的“网络打印机” E里设置好的“网站收藏夹”等。解决方法：3 .对问题1我们可以按以下两个方法来解决：(1)把域帐号加入到本地管理员组(2)卸载软件，用域帐号登录并安装4 .对问题2针对不同的问题分别解决如下：(1)把本地老帐号下的桌面内容全部备份下来，复制到新域帐号的桌面(2注巴本地老帐号下的“我的文档”内容全部备份下来，复制到新域帐号的“我的文档”(3)重新连接和创建“网络打印机”(4)用特殊软件把老帐号IE里的“网站收藏夹”备份下来，然后恢复到新域帐号

28、中2.活动目录方案实施2.1. AD域命名和DNS的规划Windows 2012 AD域命名和DNS的规划之所以放在首要地位，是因为AD作为整个IT架构 的基础，不应该轻易被调整。尽管安装后，Windows 2012 AD仍然可以重组和改名，这一点比 Windows 2000 AD有了很大的进步，但是我们仍然建议做一个长远规划，使得域命名和DNS服务能 够满足企业3-5年的需求，尽量避免配置好后改作调整地巨大人力物力浪费。此外，部署Windows 2012 AD,还必须确定DNS服务器，确保它们满足域控制器定位器系统 的要求。一个支持AD的DNS至少需要满足以下要求：必须支持服务定位资源记录（

29、SRV）应该支持DNS动态更新协议（RFC 2136）Windows 2012 Server提供的DNS服务同时满足这些要求，并且还提供下列重要的附加功能 和改进：Active Directory集成：DNS服务把区域数据存储在目录中，使得DNS复制创建多个主 域，也减少了对维护一个单独的DNS区域传送复制拓扑的要求。安全动态更新：使得一个管理员可以精确地控制哪些计算机可以更新哪些名称，并防止未 经授权的计算机从DNS获得现有的名称。条件转发：根据不同的对外访问的域名后缀，可以将用户的DNS名称解析请求转发到不同 的外部DNS服务器。存根区域：可以定时地刷新和外部DNS服务器的连接，及时发现那

30、些可能有故障、不再 响应用户请求的服务器，提高用户DNS名称解析的效率。2.2. 确定AD逻辑结构Windows 20 1 2活动目录的逻辑结构由三个基本组件组成：森林、域和 OU。1、确定森林规划森林是Windows 2012 AD域的集合。在很多情况下，单一森林就足够了。单一森林环境易于 建立和维护，森林间的域自动建立双向可传递内部信任关系，不要求手动建立外部信 任配置，在安装 Exchange 2012 Server等应用程序时，只需应用一次架构更改即可影响所有 域。如果各个单位有下列管理要求，就必须建立一个以上的森林：不互相信任管理员。希望限制信任关系范围。不同意某种森林架构更改策略。

31、架构更改、配置更改会影响到森林中所有的域。如果单 位不同意一个公共架构策略，它们就不能共存于同一个森林中。2、制定域规划规划域结构时，始终遵循“简单是最好的投资”的设计原则，尽管增加某些复杂结构 可以增值，但是简单的结构更易于说明、维护和调试。一开始时总是仅考虑每个森林中仅有一个域， 然后为每一个增加的新域提供详细的理由，确保添加到森林中的域都是有益的，因为它们会带来相应 的管理开销而导致一定程度的成本上升。创建更多的域的三种可能的原因是：希望实现相对分散式得IT管理模式：多域结构更容易进行相对独立的管理、委派和权限控 制。另外，不同的用户帐户在一个域内是不能出现重名的，多域之间就没有限制。对

32、于人 土管理相对独立的集团下属公司，多域结构具有更好的灵活性。希望实现不同管理策略要 求：包括用户口令策略、账户锁定策略和EFS加密策略。例如，要求某些人必须取8个字 符以上的口令，而其它人不做限制。为此，必须将这些需要不同安全策略的用户放在单独的 域中。希望减小WAN上的复制流量：域控制器域间复制将产生比域内复制少的多的流量。如果公 司很大，具有跨地区的组织结构，且处于同一个森林内，则在不同地理位置上的机构可 能使用慢速的WAN链路连接。为减少WAN上的DC复制流量，可以在不同的地理位置 设置不同的域。根据以上考虑，我们建议，企业Windows 2012 AD域逻辑结构可以采用“单森林、单

33、域”的结构设计。2.3. 确定AD物理结构考虑到企业的地理分布情况，应该考虑使用多站点拓扑来规划Windows 2012 AD物理 结构。从 绘制基本的网络拓扑布局图着手工作，绘制所有可能的站点（Se）和站点链接（Site Link）。速度快（10Mbps以上）、连接可靠的LAN网络总是放置在单站点中。站点定义为一组通 过快速、可靠的线路连接起来的IP子网。一般而言，具有LAN速度或更快速度的网络被 认为是快速网络。窄带的、或不太可靠的连接可以使用站点链接建立多站点网络。通常，WAN连接一般被认为是窄带连接。如果建立站点链接，实现多站点网络模式，则： 客户计算机在登录到域时首先试图与位于同一站

34、点的DC通信；Windows 2012 AD复制使用站点拓扑产生复制连接。2.4. 规划OU结构和组策略组织单元（OU）是一个用来在域中创建分层管理单位的容器。在域中创建OU结构时，必须注 意始终按照“谁管理什么”的原则，从IT管理的需要出发，划分管理模型的结构，而不是简单按照公司业务单位和它的不同分支、部门和项目来创建OU结构。考虑OU的下列特性是 很重要的：OU可以是嵌套的。一个OU可以包含子0U,使得可以在域中创建一个分层的目录树结构。但是嵌套太多将导致 管理复杂和低效，所以建议以二级嵌套为最理想，最多不应超过四级 嵌套。OU可以用来委派管理和控制对目录对象的访问。不能使OU成为安全组的

35、成员，也不能因为用户被委派管理OU或驻留在OU中而自动获 得访问资源的权限。可以在OU上实施组策略。组策略是基于Windows 2012注册表的修改，从而集中控制用户和计算机的工作环境、桌面 配置、软件自动安装和删除的管理手段。一般而言,安全策略必须在域级别实施，其它策略主 要在OU级别实施。不鼓励用户在OU结构中浏览。没有必要设计一个吸引最终用户的OU结构。尽管用户有可能浏览一个域的OU结构，但对 于用户查找资源来说，这并不是一个最有效的方法。在目录中查找资源的最有效的方法是查 询全局编录。有两个理由需要在 Windows 2012域中创建OU结构:创建OU以管理对象和委派授权。为组策略创建

36、OU。一个完全为管理和委派而设计的OU结构与一个完全为组策略而设计的OU结构是不同的。OU结构将很快变得相当复杂。每次添加一个0U到规划中时，要记下创建的具体原因。这有助于确保 每个OU有一个目的，并将帮助阅读规划的人理解结构所基于的理由。25创建OU以管理和委派在单位中委派管理有一些好处。以前，在单位中除了 IT之外的组可能必须将更改请求提交到高 级管理员，高级管理员代表他们进行更改。委派特定的权限可以将责任分散到单位中的各个组，使 您可以将必须有高级访问权限的用户的数量降到最少。权限受到限制的管 理员所发生的事故或错误所 产生的影响只限于他们负责的范围。这一工作包括以下步骤：确定创建何种0

37、U创建的0U结构将完全取决于管理是如何在单位中委派的。委派管理的三种方法 是：按物理位 置、按业务单位（公司部门）、按角色或任务。三种方法经常结合使用。修改访问控制列表：修改0U的访问控制列表（ACL）可以授予一个组对0U的特定权限，从而实现对该 0U的委派管理。尽量委派权限给组账户而不是单独的用户，如果可能，委派到 本地组而不是全 局组或通用组。委派步骤。从域中的默认结构开始，按下列主要步骤创建OU结构：-通过委派完全控制创建OU的顶层；-创建OU的下层来委派每个对象类别控制。2.6. 创建0U支持组策略使用Windows 2012，可以使用组策略定义用户和计算机配置，并将这些策略与站点、域

38、或 OU关联。是否要创建附加的OU以支持组策略的应用取决于制定的策略以及所选择的实现方案，包 括：定义客户计算机的管理与桌面配置标准定义软件的自动分发特殊组策略应用配置与管理在Windows 2012中，组策略设置是管理员启用集中更改和配置客户计算机管理的主 要方法。 可用组策略为某个特定的用户组和计算机组创建指定的安全限制和桌面环境配置。Windows 2012组策略有100多种与安全有关的设置和450多种基于注册表的设置，为您管 理用户计算机环境提供了众多选项。Windows 2003组策略：可根据活动目录定义或在计算机本地进行定义；可用Microsoft管理控制台（MMC ）或*.adm

39、文件保存和管理；是安全的；不会在实施的策略改变时把设置留在用户配置文件中；可应用于指定的活动目录容器（站点、域与0U）中的用户或计算机；可由安全组的用户或 计算机成员进一步控制；可用来配置多种类型的安全设；可用于实施登录、注销、启动及 关闭脚本；可用于安装和维护软件；可用于重定向文件夹（如My Documents和Application Data 文件夹）；可用于在 Microsoft Internet Explorer 中执行维护。可以按下列三个步骤配置和管理组策略：管理站点、域或0U的组策略链接：默认情况下，只有域管理员组和企业管理员组可以配 置站点、域或部门的组策略。可在站点、域或OU的

40、“属性”页的“组策略”选项卡中指 定链接至站点、域或OU的组策略对象。Active Directory支持以每个属性为基础的安全 设置。创建组策略对象：默认情况下，只有域管理员组、企业管理员组和组策略创建者（所有者） 组的成员可以创建新的组策略对象。如果域管理员想使一个非管理员用户或组能够创建组 策略对象，则可将该用户或组添至组策略创建者（所有者）安全组中。这样，他们就可以 创建、修改自己的组策略对象，并成为该组策略对象的创建者和所有者。编辑组策略对象：默认情况下，组策略对象接受域管理员、企业管理员及组策略创建者（所 有者）组成员的完全控制，课以便机组策略，但非管理员用户没有设置组策略链接的应

41、用 权。2.7. 应用组策略选项如果能认真应用组策略选项，即使开始用数据极其多的文件夹重定向选项和软件安装选项，也能 够改善网络的响应时间。应恰当地应用组策略选项，尤其在刚开始时，更要仔细测试所有建议的更 改，以确保不损坏网络性能。下面是一些可用的选项：安全组筛选选项：可针对某个特定组策略对象实施筛选，使之不能对筛选的计算机和用户组 生效。不许替代（强制继承）和阻止继承选项：例如，如果在域层次定义了一个指定的组 策略对象，并已指定组对象是强制的（不许替代），那么组策略对象所包含的策略设置就 会应用于该域中的所有0U ；层次较低的容器（OU）将无法替代此域的组策略，一般用于安全设置。也可阻止从父

42、Active Directory容器继承组策略。但是，不许替代（强制继承）策略选项始 终比阻止继承策略选项优先。处理“环回”策略设置的策略选项：默认的设置使计算机策略优先于用户策略起作用，但有 时必须要优先实施用户策略，组策略的环回功能使管理员能够实现这一设置。主要用在软 件安装这一类的策略上。低速链接处理的选项：许多用户，如使用便携式计算机的用户、远离建筑物或在分部工作 的用户，有时会用低速连接至网络。可对组策略进行配置，使部分策略不能生效，以减 少网络开销。这些组策略设置包括：软件安装与维护脚本磁盘配额IP安全Dfs故障恢复策略Internet Explorer 维护周期刷新选项：可指定定时地处理组策略。默认情况下，DC计算机策略每5分钟刷新一次，而成员服务 器和客户计算机每90分钟刷新一次，并带有30分钟的随机偏移量。可根据需要改变此 刷新频率。