公司域控的實施方案

時間：2022-10-07 15:12:17 方案我要投稿

相關推薦

公司域控的實施方案

　　篇一：公司域控實施方案10.29

公司域控的實施方案

　　一、服務器、磁盤柜、操作系統(tǒng)采購

　　二、域控服務器搭建（一個星期左右）

　　1、 硬件安裝及連接:

　　服務器與磁盤柜之間通過SAS連接線連接。

　　2、 Windows server 2008操作系統(tǒng)安裝

　　服務器上硬盤僅用來安裝操作系統(tǒng)，AD數(shù)據(jù)及安裝目錄均存入磁盤柜中硬盤。

　�。�1）操作系統(tǒng)安裝:通過光驅安裝windows server 2008 標準版操作系統(tǒng)，兩臺服務器安裝完操作系統(tǒng)后，安裝系統(tǒng)補丁，更改計算機名，配置完整的網(wǎng)絡配置參數(shù)(靜態(tài)IP地址，備份域控的DNS地址設置為主域控IP地址)；通過windows server backup對系統(tǒng)進行一次完整備份,再設置每天的增量備份。

　�。�2）安裝域控制器:在主域控上安裝DNS，域名設置為XXXXXX.COM；安裝備份DC時，選擇“現(xiàn)有域的額外域控制器”，其它配置相同。

　　設置目錄還原密碼，該密碼用于還原活動目錄，必須保證其復雜性。

　　3、 域控服務器設置

　　（1）用戶賬戶管理:

　　域管理員賬號設置：

　　域管理員賬號可以登錄域內任何一臺計算機或者成員服務器，且具有最大管理權限，只為運維管理人員設置；域賬號三次密碼輸入不正確會被鎖定，需通過另外的域管理員賬號解除鎖定。

　　為現(xiàn)有員工添加域賬號：

　　用戶名為名字的全拼，設置初始密碼，第一次登陸時，提示修改密碼，密碼必須符合復雜性要求（9位，包括字母、數(shù)字、特殊字符），三個月之內更換一次密碼。密碼三次輸入錯誤，賬號會被鎖定，需通知管理員解鎖，同時不得將自己的賬號和密碼擅自泄露給他人。

　　用戶登錄設置：

　　一般情況下，用戶的域賬號只能登錄至自己的計算機，特殊情況下，單個賬號可以登錄多臺計算機；同時可以設置登錄時間段，如：白天上午9點至下午6點可以正常登錄，除此時間段之外，無法登錄至計算機。

　　新員工和離職人員賬戶操作：

　　為新加入的員工，設置新的域賬號，離職員工在離職的最后一天停用其域賬號。

　　賬戶名稱變更：

　　假使某甲要離職,由新進人員某乙接替其職位。則管理員無須先建立某乙的賬戶、再刪除某甲的賬戶,可以直接將某甲的賬戶名稱更改為某乙的賬戶名稱,如此不但省事,在權限方面也不易出錯。

　　（2）組織單元劃分：

　　按部門劃分組織單元，下面包括計算機組和用戶組。如客服部，下面包括客服部的計算機組和該部門的用戶組；用戶組包括該部門員工的域賬號，計算機組包括該部門所有的正在使用的計算機。

　　（3）權限控制：以下權限控制均通過組策略來實現(xiàn)

　　USB接口控制：通過組策略來控制計算機上的USB接口是否可用。

　　用戶文件夾重定向：使域用戶的文件存放在服務器上指定的位置，既可以避免系統(tǒng)損壞帶來的文件丟失情況，又可以在任意一臺域成員機上訪問到自己的文件。

　　軟件權限限制：所有的域賬號登錄的計算機不具有安裝和刪除軟件的權限，軟件的安裝和卸載需通知域管理員進行。在實際生產環(huán)境當中，有少部分軟件是必須需要本地管理員權限才能運行的，對于這種情況，把域賬號加入至本地管理組中或者使用腳本的方式來運行這類型軟件。

　　三、客戶端設置：

　　收回本地計算機管理員權限，均采用域賬號登錄，所有計算機統(tǒng)一設置本地管理員,（須保證密碼復雜性要求，且半年更換一次），由管理員統(tǒng)一保管且不能泄露給其他人。

　　1、加域前的必須操作：

　　將桌面的相關文檔（需要用到的資料）復制至除C盤以外的其他磁盤更改計算機名稱，計算機名稱按照“GZ+部門拼音第一個字母+數(shù)字”命名規(guī)則依次進行（如：gz-cw-01、gz-cw-02、gz-kf-02）。計算機名稱更改后，需要重啟計算機。

　　更改網(wǎng)絡配置信息：

　　設置靜態(tài)IP地址，IP地址根據(jù)事先規(guī)劃好的設置。主DNS地址為主域控的IP地址。備份DNS地址為從域控的IP地址。

　　2、如何加域：

　　右擊“我的電腦”，選擇“屬性”，選擇“計算機名”選項卡，點擊“更改”在彈出的對話框中選擇“隸屬于”“域”，填寫正確的域名后，點擊確定。然后重啟計算機即可。

　　四、測試階段（3天左右）

　　測試方式：通過虛擬機虛擬出xp和win7的客戶端加入到域中進行測試。

　　測試內容：

　　1、服務器方面的測試：

　　備份測試，測試系統(tǒng)備份和AD數(shù)據(jù)備份是否正常進行。

　　還原性測試，備份好的數(shù)據(jù)還原后是否可以正常使用。

　　測試主從DC數(shù)據(jù)是否同步。

　　2、客戶端方面的測試：

　　測試能否正常加域。

　　測試能否正常通過域賬號登陸。

　　測試用戶賬戶管理策略是否能正常起作用。

　　測試權限控制是否正常。

　　五、上線階段（與客戶端設置一并進行，3-4天）

　　1、將各客戶端加入到域：客戶端加入到域，需要域管理員賬號才能進行；根據(jù)各部門的情況，分部門，分時間段進行，進行操作之前先通知各部門，統(tǒng)一時間操作，以免影響正常工作。

　　2、客戶端加域成功后，把個人用戶名和密碼分發(fā)給使用人。

　　3、用戶通過域賬號登錄并更改自己的密碼。

　　六、實施時可能遇到的問題：

　　1、員工對收回管理員權限持反對意見，不配合工作。

　　2、收回管理員權限后，在安裝或更新軟件時，需跟管理員聯(lián)系，會感覺到不適應；同時，也會給管理員帶來更多的工作量，軟件標準化的制定能有效緩解這些問題。

　　篇二：企業(yè)AD域控規(guī)劃方案

　　1.前言...................................................................................................3

　　2. 活動目錄規(guī)劃..........................................................................................3

　　2.1.活動目錄介紹 ........................................................................................3

　　3.應用Windows 2003 Server AD的好處 ......................................................................4

　　明確系統(tǒng)規(guī)劃目標 ........................................................................................6

　　2.4. 活動目錄設計方案 ...................................................................................7

　　3. 用戶關心問題解答......................................................................................8

　　3.1.

　　3.2.

　　3.3.

　　活動目錄優(yōu)勢 ............................................................................................8

　　重要組策略介紹..........................................................................................10

　　計算機從工作組加入到域可能存在的問題和解決方法..........................................................14

　　4. 活動目錄方案實施.....................................................................................15

　　4.1. AD域命名和DNS的規(guī)劃 ...............................................................................15

　　4.2.

　　4.3.

　　4.4.

　　4.5.

　　4.6.

　　4.7. 確定AD邏輯結構 ....................................................................................15

　　確定AD物理結構 .........................................................................................16

　　規(guī)劃OU結構和組策略 .....................................................................................16

　　創(chuàng)建 OU 以管理和委派....................................................................................18

　　創(chuàng)建 OU 支持組策略 .....................................................................................18

　　應用組策略選項..........................................................................................19

　　4.8. 硬件設備選型建議 ..................................................................................20

　　5. 活動目錄服務內容.....................................................................................21

　　5.1.

　　5.2.

　　5.3.

　　5.4.

　　5.5.

　　5.6.

　　5.7. 可行性調查........................................................................................21

　　規(guī)劃活動目錄部署方案 ..................................................................................21

　　部署活動目錄服務 ......................................................................................21

　　制訂活動目錄管理維護規(guī)范 ..............................................................................22

　　工程師定時上門進行活動目錄日常維護.....................................................................22

　　處理活動目錄緊急情況 ..................................................................................22

　　整理和存檔資料.........................................................................................23

　　5.8. 培訓系統(tǒng)管理員....................................................................................23

　　6. 服務質量保證........................................................................................24

　　7. 部分成功案例........................................................................................27

　　1. 前言

　　本文檔是深圳市協(xié)軟件數(shù)據(jù)系統(tǒng)有限公司結合自身長期為客戶提供全面的IT顧問咨詢服務和應用解決方案積累起來的豐富經(jīng)驗，為企業(yè)規(guī)劃Windows 2003 AD企業(yè)目錄服務的解決方案建議。

　　由于計算機安全和管理的需要，IT部門計劃部署活動目錄，希望所有的計算機分階段加入到域，通過活動目錄加強計算機安全和桌面管理，并為進一步部署Exchange、SMS等微軟產品打下堅實的基礎架構。

　　方案包括以下組成部分：

　　活動目錄整體規(guī)劃

　　用戶關心問題解答

　　活動目錄方案實施

　　活動目錄服務項目

　　服務質量保證

　　協(xié)軟公司成功案例

　　2. 活動目錄規(guī)劃

　　設計一個穩(wěn)定、可靠和擴展性良好的活動目錄架構對一個企業(yè)網(wǎng)絡的管理及安全具有重大意義，并對部署微軟的相關產品如Exchange 等具有舉足輕重和決定性的重要意義。

　　2.1. 活動目錄介紹

　　活動目錄是Windows 2003網(wǎng)絡體系結構中一個基本且不可分割的部分，它為網(wǎng)絡的用戶、管理員和應用程序提供了一套分布式網(wǎng)絡環(huán)境設計的目錄服務。活動目錄使得組織機構可以有效地對有關網(wǎng)絡資源和用戶的信息進行共享和管理。另外，目錄服務在網(wǎng)絡安全方面也扮演著中心授權機構的角色，從而使操作系統(tǒng)可以輕松地驗證用戶身份并控制其對網(wǎng)絡資源的訪問。同等重要的是，活動目錄還擔當著系統(tǒng)集成和鞏固管理任務的集合點。總的來說，活動目錄的這些功能使組織機構可以將標準化的商業(yè)規(guī)則貫徹于分布式應用和網(wǎng)絡資源當中，同時，無需管理員來維護各種不同的專用目錄。

　　活動目錄提供了對基于Windows的用戶賬號、客戶、服務器和應用程序進行管理的唯一點。同時，它也幫助組織機構通過使用基于Windows的應用程序和與Windows相兼容的設備對非Windows系統(tǒng)進行集成，從而實現(xiàn)鞏固目錄服務并簡化對整個網(wǎng)絡操作系統(tǒng)的管理。公司也可以使用活動目錄服務安全地將網(wǎng)絡系統(tǒng)擴展到Internet上。活動目錄因此使現(xiàn)有網(wǎng)絡投資升值，同時，降低為使Windows網(wǎng)絡操作系統(tǒng)更易于管理、更安全、更易于交互所需的全部費用。

　　活動目錄是微軟各種應用軟件運行的必要和基礎的條件。下圖表示出活動目錄成為各種應用軟件的中心。

　　2.2. 應用Windows 2003 Server AD的好處

　　Windows 2003 Server是微軟最新推出的網(wǎng)絡操作系統(tǒng)服務器，它沿用了 Windows 2000 Server 的先進技術并且使之更易于部署、管理和使用。其結果是：其高效結構有助于使您的網(wǎng)絡成為單位的戰(zhàn)略性資產。

　　應用Windows 2003 Server的好處如下表所示：

　　Windows 2003 Server的核心是一組基于Active Directory（目錄服務，簡稱“AD”）的基礎結構服務。Windows 2003 AD簡化了管理，加強了安全性，擴展了互操作性。它為用戶、組、安全服務及網(wǎng)絡資源的管理提供了一種集中化的方法。

　　應用Windows 2003 AD之后，企業(yè)信息化建設者和網(wǎng)絡管理員可以從中獲得如下好處： ? 系統(tǒng)平臺基礎架構�；赪indows 2003 AD規(guī)劃網(wǎng)絡基礎架構，使企業(yè)獲得一個穩(wěn)定、可擴充的網(wǎng)絡基礎平臺。不單單是滿足當前的網(wǎng)絡需要，更關鍵的是預計了今后3-5年內可能的發(fā)展需要，使得將來的網(wǎng)絡規(guī)劃建設無需再次重復投資。

　　單一登錄�？梢越y(tǒng)一用戶帳戶設置和用戶身份驗證，實現(xiàn)用戶單一登錄，用戶訪問網(wǎng)絡中的資源不再需要反復輸入用戶名稱和口令。同時，它還是企業(yè)應用集成的基礎�；贏D的單一登錄功能，便于實現(xiàn)在不同程序之間的協(xié)作和集成應用。

　　網(wǎng)絡安全�？梢曰贏D，集中設置和統(tǒng)一管理用戶、組、資源的操作權限，方便維護管理。

　　集中管理和委派授權。基于Windows 2003活動目錄OU實施委派授權管理，未來向下屬企業(yè)推廣時，分級維護，集團各部門、下屬公司可以對所轄范圍內的部分參數(shù)進行維護，如增加用戶、設置權限、增加欄目、自定義流程等。

　　用戶桌面管理。通過規(guī)劃部署Windows 2003 OU和組策略，可以統(tǒng)一規(guī)劃用戶桌面和用戶操作環(huán)境，實現(xiàn)對客戶計算機的集中控制管理，加強信息管理的安全可靠性。

　　篇三：活動目錄(域控)解決方案

　　上海瑞軟企業(yè)管理咨詢有限公司

　　上海物美實業(yè)有限公司

　　活動目錄解決方案

　　上海瑞軟企業(yè)管理咨詢有限公司

　　二〇一X年三月二十六日

　　地址：上海華徐公路888號電話：+8621 6977 2303 傳真：+8621 6977 3331

　　1 概述...................................................................................................2

　　1.1 背景介紹 .........................................................................................2

　　1.2 現(xiàn)狀描述 .........................................................................................2

　　1.3 問題分析 .........................................................................................2

　　2 總體功能需求 ..........................................................................................3

　　2.1集中的組織與管理網(wǎng)絡內的服務器及客戶端 ............................................................3

　　2.2 統(tǒng)一的數(shù)據(jù)組織與資源管理 .........................................................................3

　　2.3 單一登錄的網(wǎng)絡環(huán)境 ...............................................................................4

　　2.4 集中化的軟件部署與運行限制 .......................................................................4

　　2.5 功能強大并易于擴展的IT基礎架構 ...................................................................4

　　3 解決方案建議 ..........................................................................................4

　　3.1 概念描述 .........................................................................................4

　　3.2 建設內容 .........................................................................................6

　　3.2.1 建立基礎平臺 ...................................................................................6

　　3.2.2 整合現(xiàn)有信息技術環(huán)境 ...........................................................................6

　　3.3 建設策略 .........................................................................................6

　　4 解決方案實施 ..........................................................................................7

　　4.1 AD域命名和DNS的規(guī)劃 ..............................................................................7

　　4.2 確定AD邏輯結構 ...................................................................................7

　　4.3 確定AD物理結構 ...................................................................................9

　　4.4 規(guī)劃OU結構和組策略 ...............................................................................9

　　4.5 創(chuàng)建OU以管理和委派 ...............................................................................10

　　4.6 創(chuàng)建OU支持組策略 .................................................................................11

　　4.7 應用組策略選項 ...................................................................................12

　　4.8 硬件設備選型建議 .................................................................................13

　　5 解決方案優(yōu)勢 .........................................................................................14

　　5.1 為什么選擇微軟 .....................................................................................14

　　5.2 Windows Server 2008 R2 活動目錄的優(yōu)點 ..............................................................14

　　6 服務內容 .............................................................................................17

　　6.1 可行性調查 .......................................................................................17

　　6.2 規(guī)劃活動目錄部署方案 .............................................................................17

　　6.3 部署活動目錄服務 .................................................................................18

　　6.4 制訂活動目錄管理維護規(guī)范 .........................................................................18

　　6.5 工程師定時上門進行活動目錄日常維護 ...............................................................18

　　6.6 處理活動目錄緊急情況 .............................................................................18

　　6.7 整理和存檔資料 ...................................................................................19

　　6.8 培訓系統(tǒng)管理員 ...................................................................................19

　　7 服務質量保證 .........................................................................................20

　　8 部分成功案例 .........................................................................................21

　　1 概述

　　1.1 背景介紹

　　本解決方案將從物美的IT環(huán)境現(xiàn)狀出發(fā)，分析現(xiàn)有環(huán)境，提出物美關心的關鍵問題及未來的挑戰(zhàn)，并根據(jù)相關問題詳細闡述對應解決方案，幫助物美快速解決問題，以信息技術提升企業(yè)生產力。

　　1.2 現(xiàn)狀描述

　　當前國內企業(yè)內部網(wǎng)絡環(huán)境多數(shù)仍為松散的管理狀態(tài)，IT環(huán)境中硬件設備伴隨著組織中人員數(shù)量的增加每年都在增長，大力的信息化建設使硬件和應用軟件單純從技術層面上講都達到了較高的水平，但實際環(huán)境中無論是工作用桌面計算機還是服務器都是采用工作組模型，各自獨立。IT環(huán)境中的軟硬件資源都無法實現(xiàn)充分利用。

　　經(jīng)歷了大規(guī)模網(wǎng)絡和硬件投資建設之后，多數(shù)企業(yè)的信息技術部門開始轉向關心信息化建設投資的“效益”，——究竟過去投入建成的這些設備，能夠形成哪些應用，帶來什么效益？這已經(jīng)成為信息技術部門與企業(yè)管理人員最為關心的重點問題。

　　從信息技術部門人員來說，如何整合現(xiàn)有IT環(huán)境中的資源，將IT環(huán)境的管理由松散方式變?yōu)榧泄芾淼姆绞�，減輕日常管理維護負擔，提升IT生產力。從最終用戶來說，如何能夠實現(xiàn)單一的身份驗證，快速的訪問企業(yè)內部的各種資源，較少的宕機時間也是最大的愿望。

　　1.3 問題分析

　　由于歷史和技術發(fā)展方面的原因，現(xiàn)有企業(yè)內部的IT環(huán)境是逐步建立起來的，而且在早期建立時由于沒有整體架構的科學指導，導致目前的松散型IT環(huán)境越來越“臃腫”，客戶端、服務器各自獨立，形成一個個信息“孤島”，無法統(tǒng)一管理。在松散型管理的系統(tǒng)網(wǎng)絡環(huán)境中，一旦某個節(jié)點出現(xiàn)問題需要定位出現(xiàn)問題的位置，并需要繁瑣費時的恢復過程來實現(xiàn)修復。生產系統(tǒng)應用軟件的大規(guī)模部署需要相關人員在各個計算機上逐一手工安裝，極大耗費人力與時間。

　　企業(yè)內部的各種資源存在于員工的客戶端桌面計算機，服務器，以及其他各種設備之中，用戶需要獲取相關資源需要首先確定資源在哪一臺計算機中，并且要針對不同資源提供不同的登錄憑據(jù)（如用戶名/密碼等）來訪問。另外存在數(shù)據(jù)資源重復現(xiàn)象，造成硬件資源的不合理占用。

　　信息技術部門制定的IT管理規(guī)范無法完全被最終用戶執(zhí)行，IT管理規(guī)范的制訂是為了防止信息系統(tǒng)出現(xiàn)如安全問題等不穩(wěn)定狀況，但松散型管理模式的IT環(huán)境中由于信息技術人員無法監(jiān)控與統(tǒng)一管理企業(yè)內部的桌面計算機與服務器等，該規(guī)范變?yōu)橐患埧瘴?無法被貫徹實施。

　　現(xiàn)階段，部分企業(yè)對IT環(huán)境的發(fā)展仍然缺乏整體和長遠考慮，還是按照老思路，簡單考慮硬件及應用軟件的采購與建設，照此建設思路走下去，將會使目前的IT環(huán)境更加“臃腫”，更難于管理，最終導致生產力的降低。

　　2 總體功能需求

　　隨著以上闡述的問題在企業(yè)內部IT環(huán)境中越來越突出，企業(yè)存在以下需求：

　　2.1 集中的組織與管理網(wǎng)絡內的服務器及客戶端

　　通過對網(wǎng)絡內的服務器與客戶端計算機進行集中式的管理，有助于消除早期“松散型”管理帶來的安全漏洞及其他影響IT系統(tǒng)穩(wěn)健運行問題，能夠保證企業(yè)制訂的IT管理規(guī)范可以通過計算機的邏輯方式派發(fā)給各個被管理的節(jié)點，并且通過集中管理的模式可以有效降低客戶端的維護工作量。

　　2.2 統(tǒng)一的數(shù)據(jù)組織與資源管理

　　實現(xiàn)統(tǒng)一的數(shù)據(jù)組織，如共享文件夾的發(fā)布，共享打印機的發(fā)布等等，并且能夠提供較為簡單的信息檢索方式，快速查詢并定為所需的各種資源，實現(xiàn)資源的高效利用。另外統(tǒng)一的數(shù)據(jù)組織與資源管理可以有效減少數(shù)據(jù)冗余與資源浪費，減輕IT環(huán)境的維護難度，提升企業(yè)生產力。

　　2.3 單一登錄的網(wǎng)絡環(huán)境

　　企業(yè)內的普通員工計算機應用能力有限，如何使員工一次登錄計算機后就可以訪問其有權限訪問的各種資源是提升生產效率，對于普通員工來說更能感受到應用信息技術能夠帶來更加快捷的工作效率，有助于提升信息系統(tǒng)的使用率。

　　2.4 集中化的軟件部署與運行限制

　　企業(yè)希望在大規(guī)模部署某個應用軟件時可以避免手工逐一安裝的低效率模式，而采用服務器/客戶端的網(wǎng)絡分發(fā)模式，并能對軟件的版本更新做到一定控制，并且可以制定哪些軟件可以被安裝在哪些用戶的計算機上。通過對軟件的運行限制，限制客戶端計算機上所運行的應用軟件，使工作用計算機僅可以運行特定應用程序，與工作無關的應用程序將會被禁止運行，提升系統(tǒng)安全性與最大化企業(yè)IT系統(tǒng)效能。

　　2.5 功能強大并易于擴展的IT基礎架構

　　企業(yè)希望現(xiàn)有的IT基礎架構能夠提供較強的功能，如安全的身份驗證，資源整合，軟硬件集中監(jiān)控、管理等，并且希望該基礎架構支持較多的上層應用，具有較強的可擴展性，在未來的幾年中可以在現(xiàn)有底層IT架構上實現(xiàn)更多的價值。實現(xiàn)IT投資的保值。

　　3 解決方案建議

　　基于上述情況，結合國內外企業(yè)信息化的發(fā)展趨勢和經(jīng)驗，同時參考IT技術的現(xiàn)有能力和發(fā)展走向，建議貴公司統(tǒng)籌安排、統(tǒng)一規(guī)劃，通過分步實施、集中建設的方式，構建一個集中、統(tǒng)一、互聯(lián)互通高可管理性的基于活動目錄的企業(yè)核心IT基礎架構。

　　概念描述

　　活動目錄是 Windows Server網(wǎng)絡體系結構中一個基礎且不可分割的部分。它提供了一套為分布式網(wǎng)絡環(huán)境設計的目錄服務，使得組織機構可以有效地對有關網(wǎng)絡資源和用戶的信息進行共享和管理。另外，目錄服務在網(wǎng)絡安全方面也扮演著中心授權機構的角色，從而使操作系統(tǒng)可以輕松地驗證用戶身份并控制其對網(wǎng)絡資源的訪問。

　　篇四：集團域管理實施方案

　　為了加強集團IT系統(tǒng)及網(wǎng)絡系統(tǒng)的有效管控提升集團電腦系統(tǒng)技術支持的服務效率為集團移動辦公提供安全支撐平臺

　　IT部前期已經(jīng)搭建模擬網(wǎng)絡測試環(huán)境，對域管理的各項技術及有關方案進行了初步測試。在域服務器到位后，將對集團內部電腦系統(tǒng)，實施域管理。

　　一、域管理的好處

　　用戶集中管理，在辦公環(huán)境，用戶需要驗證和授權，才能進入集團內部網(wǎng)絡加入了域管理的電腦，未經(jīng)授權，不能安裝非辦公需要的軟件，有效預防由于私自安裝第三方的軟件而引起的各種系統(tǒng)、網(wǎng)絡和資源占用等方面的問題。

　　提升公司電腦系統(tǒng)的維護效率。用戶電腦系統(tǒng)補丁和升級（如Windows補丁升級、殺毒軟件升級、其他辦公軟件升級等），域服務器將統(tǒng)一自動分發(fā)、安裝到域內各桌面電腦。節(jié)省網(wǎng)絡帶寬資源，防止重要的系統(tǒng)補丁沒有及時安裝引起的安全隱患

　　對集團用戶分類管理，根據(jù)實際情況，可對不同用戶組提供不同的服務（包括下載、軟件安裝、系統(tǒng)升級、授權等）

　　集中化資源管理，集團各部門的工作文檔、軟件工具等統(tǒng)一歸檔在服務器上，各部門同事根據(jù)被授予了訪問權限才能查閱域服務器統(tǒng)一管理網(wǎng)絡打印機等公共設備，每臺桌面電腦不需要安裝打印機就可打印文件資料

　　每個同事登陸和退出集團網(wǎng)絡都有詳細的跟蹤記錄，可以監(jiān)控非法用戶的訪問根據(jù)需要，有效管理相關同事使用公司網(wǎng)絡的時間范圍有效支持集團未來移動辦公的需求。

　　二、域管理的具體方法

　�。�1）域規(guī)劃

　　1、建立AD域，命名為gloryharvestgroup.com

　　2、我們計劃建立單域的方式建立域控服務器，活動目錄的邏輯結構由域和組織單元（OU）組成。

　　3、組織單元（OU）是一個用來在域中創(chuàng)建分層管理單位的單元，在域控中將會按照部門劃分，暫時分為：集團辦公室，人力資源部，財務部，信息管理部，工程管理部，法律事務部，礦產事業(yè)部，地產事業(yè)部，酒店事業(yè)部，煙草事業(yè)部等，以后如有調整，可以適時修

　　4、用戶名命名規(guī)則，兩個字采用全拼，如李強，用戶名為liqiang；三個字及以上采用首字全拼加后面拼音首字母，如黃繼光，用戶名為huangjg；另可以根據(jù)用戶自己需要采用英文名命名。

　　5、為保證域控穩(wěn)定安裝實施，我們采用分布式逐個部門進行推廣。

　�。�2）域管理實施

　　1. 只能域登陸

　　方法：為了規(guī)范管理，信息管理部收回并保留每臺電腦的管理員賬戶權限，給每個用戶一個域賬戶，并把域賬戶加入到本地的power users組

　　組策略：計算機配置-windows設置-安全設置-本地策略-用戶權限分配（慎用）

　　作用：避免用戶自己下載安裝軟件，影響計算機速度，同時減少計算機中毒的可能性，系統(tǒng)已安裝的軟件不變，如用戶還需要安裝新的軟件，請?zhí)崆耙惶焐暾�，并告知信息管理部，本部門收到申請之后兩天之內給予答復或者安裝。

　　方法：用advanced installer 7.6把要安裝的軟件打包為windows安裝程序包.msi，（具體過程參看附件--安裝軟件打包為msi方法.docx）然后將打包好的msi程序包分發(fā)指派給指定用戶，待用戶重啟后自動安裝。（具體過程參看附件--分發(fā)指派msi程序包.docx）

　　作用：信息管理部可以遠程為所有同事安裝對方所需要的軟件，方便維護。

　　3. 限制用戶使用部分軟件

　　方法：為了提高工作效率，限制QQ，暴風影音等軟件的使用，可以通過域管理實現(xiàn)。

　　具體步驟參看附件--限制用戶使用部分軟件.doc：提高工作效率。

　　4. AD域管理網(wǎng)絡打印機

　　方法：通過在服務器上建立打印服務器，域用戶可以直接添加，無需下載驅動。

　　具體步驟參考附件-- AD域管理網(wǎng)絡打印機.doc。

　　作用：方便打印機的添加和管理

　　5. 規(guī)定每個同事使用辦公電腦的時間

　　方法：通過域策略，可以規(guī)定大部分同事使用辦公室電腦的時間，每周一到周五的8點到18點，其他時間和節(jié)假日等關閉公司網(wǎng)絡。具體參看附件--限制用戶登錄的時間.docx。

　　篇五：公司AD域控實施計劃

　　一: 公司搭建AD域管理的好處

　　1、方便管理,權限管理比較集中，管理人員可以較好的管理計算機資源。

　　2、安全性高，有利于企業(yè)的一些保密資料的管理，比如一個文件只能讓某一個人看,或者指定人員可以看,但不可以刪/改/移等。

　　3、方便對用戶操作進行權限設置，可以分發(fā)，指派軟件等,實現(xiàn)網(wǎng)絡內的軟件一起安裝。

　　4、很多服務必須建立在域環(huán)境中，對管理員來說有好處:統(tǒng)一管理,方便在MS 軟件方面集成,如ISA EXCHANGE(郵件服務器)、ISA SERVER(上網(wǎng)的各種設置與管理)等。

　　5、使用漫游賬戶和文件夾重定向技術，個人賬戶的工作文件及數(shù)據(jù)等可以存儲在服務器上，統(tǒng)一進行備份、管理，用戶的數(shù)據(jù)更加安全、有保障。

　　6、方便用戶使用各種資源。

　　7、SMS（System Management Server）能夠分發(fā)應用程序、系統(tǒng)補丁等，用戶可以選擇安裝，也可以由系統(tǒng)管理員指派自動安裝。并能集中管理系統(tǒng)補�。ㄈ鏦indows Updates），不需每臺客戶端服務器都下載同樣的補丁，從而節(jié)省大量網(wǎng)絡帶寬。

　　8、資源共享

　　用戶和管理員可以不知道他們所需要的對象的確切名稱，但是他們可能知道這個對象的一個或多個屬性，他們可以通過查找對象的部分屬性在域中得到一個所有已知屬性相匹配的對象列表，通過域使得基于一個或者多個對象屬性來查找一個對象變得可能。

　　9、管理

　　A、域控制器集中管理用戶對網(wǎng)絡的訪問，如登錄、驗證、訪問目錄和共享資源。為了簡化管理，所有域中的域控制器都是平等的，你可以在任何域控制器上進行修改，這種更新可以復制到域中所有的其他域控制器上。

　　B、域的實施通過提供對網(wǎng)絡上所有對象的單點管理進一步簡化了管理。因為域控制器提供了對網(wǎng)絡上所有資源的單點登錄，管理遠可以登錄到一臺計算機來管理網(wǎng)絡中任何計算機上的管理對象。在NT網(wǎng)絡中，當用戶一次登陸一個域服務器后，就可以訪問該域中已經(jīng)開放的全部資源，而無需對同一域進行多次登陸。但在需要共享不同域中的服務時，對每個域都必須要登陸一次，否則無法訪問未登陸域服務器中的資源或無法獲得未登陸域的服務。

　　10、可擴展性

　　在活動目錄中，目錄通過將目錄組織成幾個部分存儲信息從而允許存儲大量的對象。因此，目錄可以隨著組織的增長而一同擴展，允許用戶從一個具有幾百個對象的小的安裝環(huán)境發(fā)展成擁有幾百萬對象的大型安裝環(huán)境。

　　11、安全性

　　域為用戶提供了單一的登錄過程來訪問網(wǎng)絡資源，如所有他們具有權限的文件、打印機和應用程序資源。也就是說，用戶可以登錄到一臺計算機來使用網(wǎng)絡上另外一臺計算機上的資源，只要用戶具有對資源的合適權限。域通過對用戶權限合適的劃分，確定了只有對特定資源有合法權限的用戶才能使用該資源，從而保障了資源使用的合法性和安全性。

　　12、可冗余性

　　每個域控制器保存和維護目錄的一個副本。在域中，你創(chuàng)建的每一個用戶帳號都會對應目錄的一個記錄。當用戶登錄到域中的計算機時，域控制器將按照目錄檢查用戶名、口令、登錄限制以驗證用戶。當存在多個域控制器時，他們會定期的相互復制目錄信息，域控制器間的數(shù)據(jù)復制，促使用戶信息發(fā)生改變時（比如用戶修改了口令），可以迅速的復制到其他的域控制器上，這樣當一臺域控制器出現(xiàn)故障時，用戶仍然可以通過其他的域控制進行登錄，保障了網(wǎng)絡的順利運行。

　　二: 公司AD域管理實施步驟及節(jié)點時間

　　1、服務器選型及采購，3-4個工作日，預計12月19號——12月23完成。

　　2、服務器上架與系統(tǒng)安裝，1-2個工作日，預計12月24號——12月25完成。

　　3、 AD域控服務安裝與部署，1個工作日，預計12月26號完成。

　　4、域控工作組及域用戶創(chuàng)建，并分配對應權限，1-2個工作日，預計12月29號——12月30完成。

　　5、添加客戶端用戶并加入域，1-2個工作日。期間需聯(lián)系金碟人員上門，調試金蝶服務器加入域后是否能正常使用，預計12月31號——2015年1月1號完成。

　　6、在域控中創(chuàng)建文件共享，并結合實際需求給相關部門及員工分配共享文件訪問權限。預計2015年1月2號——1月9號完成。

　　三: 域管理實施前后注意事項

　　1、員工電腦加入域控，需提前備份好桌面上的文件資料。

　　2、員工電腦加入域控，需提前備份好即時聊天工具，如QQ、MSN、淘寶，網(wǎng)易即時通等軟件的聊天記錄。

　　3、如使用outlook郵件服務的員工，加入域控需提前備份好郵件通訊錄及郵件數(shù)據(jù)文件夾，F(xiàn)oxmail無需備份。

　　4、裝有應用服務端的服務器，加入域前需提前備份好服務端的數(shù)據(jù)庫文件。