1、光大永明人壽保險公司活動目錄部署框架方案光大永明人壽保險公司 Windows 2000活動目錄部署框架方案2003年1月27日一、 設計原則1. 用最簡單的結構滿足客戶的需求；2. 把系統的穩定性和安全性放在首要位置來考慮；3. 保證系統有很好的可擴展性。二、 部署Windows 2000活動目錄的好處這個問題是我們為其提供過Windows 2000活動目錄部署服務的每個客戶都要問的問題之一。在我們為其部署Windows 2000活動目錄之前，用戶的Windows 2000網絡都是基于工作組的。基于工作組的網絡簡單、穩定、維護成本低，那么客戶為什么要把他們的網絡升級到域（安裝活動目錄）呢？因為

2、活動目錄會給他們帶來如下好處：1. 支持更大的網絡，得到更高的效益。眾所周知，工作組只適用于很小的網絡環境（理論上少于10臺計算機），當基于工作組的網絡中有很多臺計算機時，這個網絡的工作效率就會很低。要想有一個規模可以做的很大，而且運行效率又很高的網絡，只有部署活動目錄；2. 輕松實現網絡的集中管理。在部署活動目錄之后，您可以通過活動目錄的管理工具對網絡中的服務器、客戶機、用戶帳號、網絡資源等進行方便的管理；3. 保證用戶帳號和網絡資源的安全。在部署活動目錄之后，您可以通過組策略等安全機制，通過很簡單的設置來提高系統的安全級別，以保證用戶帳號和網絡資源的安全；4. 實現用戶對網絡資源的快速訪問

3、。在部署活動目錄之后，您可以通過把網絡資源出版到活動目錄中的方式，使用戶可以快速查找和訪問網絡資源；5. 提供很好的收縮和擴展能力。活動目錄的邏輯結構和物理結構都有很好的伸縮性，當您公司的網絡規模由于種種原因需要調整時，您不需要有大的動作，輕而易舉地完成網絡的伸縮。三、 活動目錄邏輯結構的設計1. 域結構的設計本方案采用單域結構，建議的域名為SunL，最終域名由甲方確定。這個域不僅是其所屬樹的根域，也是其所屬森林的根域。總部下屬的人力資源、財務、IT等部門和各職場用相應的OU來表達。請參考附件中的活動目錄邏輯結構圖；2. OU結構的設計建議總部下屬的人力資源、財務、IT等部門和各職場用相應的O

4、U來表達，OU結構的具體設計待與客戶進一步溝通后，在詳細方案中體現；3. 域控制器的規劃a) 域控制器的數量在總部架設兩臺域控制器（假定的名字為DC1和DC2），在每個職場架設一臺域控制器;b) 操作主機（Operating Master）的角色在DC1上保留架構操作主機（Schema Master）、域命名操作主機（Domain Naming Master）、PDC模擬器（PDC Emulator）和RID Master，把結構操作主機（Infrestructure Master）轉移到DC2上。4. 客戶機的規劃所有客戶端計算機都加入到域中。在一般情況下，所有用戶都使用域用戶帳號登錄，用戶

5、以前使用本地帳號時的配置文件要保留（主要是用戶的桌面信息）；5. 服務器的規劃哪些服務器需要加入到域中，成為成員服務器？哪些服務器不需要加入到域中，維持獨立服務器的角色？這些問題需要與客戶進一步溝通后在詳細方案中體現。四、 活動目錄物理結構的設計1. 站點結構的設計本方案采用多站點的結構，總部對應一個站點，每個職場各對應一個站點，站點間的廣域網連接采用Frame Relay或DDN專線。請參考附件中的活動目錄物理結構圖；2. 全局編目服務器（GC）的設計為了保證用戶登錄和查找活動目錄的速度，除了總部的DC1作為缺省的GC使用外，每個職場的DC也要指定為GC；3. 活動目錄數據庫復制的規劃在一個

6、多站點的活動目錄結構中，活動目錄數據庫的復制是一個很關鍵的問題。復制的時間間隔和復制發生的時間段要在與客戶進一步溝通后在詳細方案中說明。五、 安全規劃1. 服務器的安全a) 限制在域控制器上登錄的用戶；b) 設置好共享文件夾和應用程序的使用權限；c) 在重要的服務器上啟用審核策略，對用戶的訪問情況進行跟蹤；d) 對連接到服務器上的用戶會話進行監視和審計，及時發現潛在的問題和隱患；e) 停止或刪除不必要的網絡服務（如IIS服務）；f) Guest帳號不能啟用。2. 客戶機和用戶帳號的安全a) 在域中啟用帳號策略，并設定帳號的最小長度、口令復雜性、口令的最長使用期限、口令歷史等項；b) 限定普通的

7、域用戶只能在自己使用的計算機上登錄；c) 建議管理員帳號（Administrator）的密碼長度不能少于8位，口令必須滿足復雜性要求，口令的有效期最長為30天，最少記住10個口令的歷史；d) 嚴格限制管理員組（Administrators）的成員數量，建議不超過兩個。3. 網絡的安全a) 對重要的服務器限制帳號枚舉；b) 限制認證包的級別為NTLM。六、 活動目錄的擴展問題1. 如果目前的幾個職場中有的職場業務發展很快，需要成為一個相對獨立的管理單元時，在活動目錄邏輯結構上可以考慮把它由OU升級為SunL這個根域的子域，域名為xxx.SunL。活動目錄的物理結構不變；2. 如果公司要在國內的其

8、他城市開設分支機構，則該分支機構的網絡在邏輯上要有一個域，推薦的域名為xxx.SunL。這個域也作為SunL這個根域的子域。在物理結構上，這個分支機構的網絡要對應一個站點；3. 如果SunL和SunL或其他國外分支機構所代表的域之間要實現資源的相互訪問，則需要在他們（兩個域）之間建立雙向的信任關系。七、 各職場的客戶端計算機訪問internet的問題1. 問題和目標對提出的問題可以歸納為實現以下目標：a) 實現各職場通過企業骨干網（WAN），經由總部的Internet接口訪問互聯網；b) 各職場訪問互聯網的協議限定為HTTP,HTTPS和FTP三種協議；c) 各職場訪問互聯網時必須經過域身份認

9、證，并可對用戶作限制；d) 各職場必須在一定的約束下訪問總部的服務器資源；e) 約束包括IP地址、主機名、使用的協議等。2. 結構調整建議為實現上述目標，需要對現有防火墻結構進行調整，調整可分為以下過程：a) 將現有的CISCO PIX的INBOUND和OUTBOUND進行調換，重新根據需求配置PIX的訪問規則，實現兩個目的：i. 各職場客戶機訪問總部服務器資源的限制；ii. 各職場客戶機訪問互聯網資源的限制。b) 在現有的Checkpoint防火墻之后部署一臺加入到域的Windows 2000服務器，并在其上安裝ISA Server 2000為Cache模式。配置對HTTP,HTTPS和FTP的通訊進行域身份認證。i. 實現對HTTP、HTTPS、FTP三種協議的代理功能;ii. 實現對域身份的認證;iii. 實現對各職場客戶機訪問互聯網資源的限制。c) 在現有的Checkpoint防火墻之上調整訪問規則。i. 調整原有隊則，滿足總部的需求；ii. 允許ISA主機和其他必要的主機使