面对我国企业在IT建设方面普遍存在的重“纵”轻“横”现象，我们的企业在实际工作当中会遇到很多亟待解决的问题：

由于技术、业务、资金等多种原因，公司和子公司往往各自先独立发展自己的信息系统。这必然导致IT管理上的分散，缺乏统一建设信息系统的规划，同时也为日后的信息整合增加了复杂度和难度。以微软曾经服务过的企业宝钢国际为例，他们有多套基于数据库的Web应用。最早各个系统之间没有实现将客户端，网络操作系统和用户信息等统一管理的目录服务架构；大约1000个客户端为Windows XP/2000，Win9x处于工作组模式，需要分散进行维护。而这种分散管理状态，对于信息管理部门和最终用户都会造成诸多不便。

对管理部门，每增加一套系统，需要增加一套用户管理和验证，这种重复投资现象极大的增加了应用管理负担；另一方面，各种桌面终端机器处于工作组模式，这种松散的管理不只增加了日常IT运维费用，还成为了整个网络安全中最为脆弱的一环，降低了整个网络系统的安全性。

对最终用户，没有统一的目录服务，寻找任何网络资源都成为问题，即便是对于最基础的网络打印机，文件服务器等，在没有目录系统管理的情况下也要花费时间，无法方便实现。同时，多种系统意味着要多套帐户、多套密码来登陆多个应用，用户管理密码就成为一个很大的负担。再加上没有统一的系统管理，桌面终端的安全还要用户自行维护，这也为最终用户带来了不便。

 

由于管理分散，企业内部没有统一的IT管理标准和技术规范，公司各部门分别采购建设自身的IT系统，相互之间采用的技术也各不相同，这就必然导致各部门之间的IT系统兼容问题。最直接的后果就是信息不能通过网络传递，信息资源不能有效共享。有时一个简单的文件交换都要通过人工方式传递，公司内部形成了一个个信息孤岛，这对企业的管理极为不便。

 

实际上，我们细致分析企业面对的上述种种问题，其实就是需要一套有效的解决方案，将企业原本互不相连甚至是互不兼容的信息孤岛统一在一个系统内，将客户端，网络操作系统和用户信息等统一管理。而从目前看，要解决这个问题，微软企业咨询服务部提供的企业活动目录架构解决方案就是一个很好的选择。

 

 

所谓的企业活动目录架构其实就是一个企业目录管理服务平台。他可以将企业不同系统之间的资源以目录集成的方式进行统一管理，集成电子商务运营，包括数据、应用程序、业务流程以及门户等各个方面。让所有的系统在共享功能方面由一个独立的目录系统进行统一管理，形成一个强壮灵活的现代企业IT架构。

企业活动目录架构目前已经是公认的企业信息基础架构建设的重要一环。建设集中化的企业目录基础架构不仅可以维护统一的用户管理和认证，提升信息化管理水平；降低企业桌面系统的管理维护成本；面对未来业务应用的发展，更具有高度的可扩展性和灵活性，能够大大降低新系统的开发成本和建设部署周期。

 

微软企业咨询服务部的企业活动目录架构一般以Windows 2003企业目录架构和平台，来进行目录管理服务。系统整体的架构包括了：

u       集中部署的AD域控制器提供企业目录服务。

u       SMS 或者SUS服务器作为安全补丁解决方案。

 

一般而言，在实施整个系统建设中，微软企业咨询服务部往往会根据客户的实际情况给与细致而深入的咨询服务，同时在技术端也会根据自身丰富的经验为客户提供相应的解决方案。

 

首先，由于每个企业的具体情况不尽相同，一个方案不可能满足每个客户要求。因此在具体实施方案前，微软企业咨询服务部会针对客户现在面临的问题以及企业信息化建设的现状，整合现有应用，结合上述方案给与个性化的咨询和指导。

其次，在实施过程中，微软企业咨询服务也会随时根据实施效果，结合具体情况进行部署。对每个细节都深入细致的给与相应建议。比如针对目前企业大多重“纵”轻“横”的现状，微软企业咨询服务部门的专业咨询顾问会建议企业的活动目录系统结构建议设计为单森林/单域结构，集中管理帐户和系统目录资源，这样可以减低系统的复杂度，简化管理。而对整个DNS 架构的设计，则大多保持企业现有DNS体系架构不变，新的Windows2003 活动目录集成的DNS服务器提供给“加入域的客户端”，以这样针对性的建议不仅部署迅速，而且还节约客户建设成本。另外，对于系统安全补丁的管理，采用SMS(Microsoft System Management Server) 或者SUS（Microsoft Software Update Service）的设计，用来更新基于windows操作系统的计算机终端的系统补丁程序。也是一种个性化的解决方案。

第三，微软企业咨询服务的企业目录解决方案最为重要的一点是在未来的规划发展上做了很多发挥。比如将平台设计成开放形式。各种接口和服务采用标准IT架构，使得在其基础架构上，进行应用的开发、与其它应用和服务进行整合成为可能，从而不断扩展其功能。

 

微软企业咨询服务的活动目录技术，提供统一用户身份管理和认证，统一网络资源实体的管理，同时也为后续的各种应用的统一认证和授权管理奠定了坚实的基础。其应用成效主要表现在以下几点：

 

用户可以通过多种方式在目录结构中查询自己所需要的网络资源。尤其是对个人而言，用户可以实现单点登陆，用户每次只需要登陆到域中，当访问后台应用时，就不再需要重复输入用户名和密码。这样一方面可减轻用户记住多套用户名和密码的负担，同时也可避免每次访问应用时都要再重复输入一遍用户名和密码。寻找打印机也更加方便。用户甚至不必记住打印机服务器的名字，利用“寻找打印机”就可以迅速找到离自己位置最近的打印机，极大的方便工作。

其次，每次不再需要重复输入用户名和密码即可进入系统；寻找文件更加方便，用户不必记住文件服务器的IP地址，只需要记住服务器名称即可，利用分布式文件系统，统一到一个地方去存取文件，而不用担心文件物理放在哪台文件服务器上；设立文件共享不再需要特别设定共享密码。缺省只有域用户才可以访问，文件共享者也可以通过设定特定的域用户组和特定用户，只允许他们才可以访问改文件。当用户去访问文件服务器，不再需要输入用户名和密码。Windows 会利用域帐户自动去验证。

另外，关于远程操作系统的安装、委托管理、远程桌面协助等各种功能也能在统一的管理下轻松实现。同时，活动目录充当管理用户身份和网络资源控制访问验证的统一认证机构，支持业界标准协议Kerberos认证协议，并可集成证书服务, CA和 智能卡(Smart Card)认证。用户的访问便可以根据企业的统一认证服务被准许或拒绝。同时，从用户使用来看，一套用户认证系统建立了Single-Sign On SSO(单点登录)的基础，增加用户的便利性和安全性。

 

建立企业目录管理系统，通过活动目录组策略推送的方式，将终端使用策略主动的推送到各个终端。只要用户登录进入域，域管理服务器就会自动推送该用户所需要的终端设置。这样就可以实现约束业务人员终端使用，加强企业终端管理、维护手段的主动性，降低终端人为导致软件故障的发生率，从而降低运维费用。

而且在这种统一管理下，用户还能实现多种远程管理。比如用户可以不必在Windows 客户机上安装打印机驱动程序就能够使用打印机，可以很容易地进行网络打印以及管理打印机服务器了。再比如委托管理，各事业部可自行管理，包括创建本部门用户，计算机，打印机，文件服务器等。组策略设置可以让管理员以逻辑单元（例如部门或办公地点）的形式组织用户和对象，然后给这些逻辑单元分配相同的设置，包括安全、外观和管理选项，这个过程可以简化相应的管理任务。另外，在活动目录的支持下，当用户需要重新安装操作系统，可以利用“远程OS安装”的特性在不到半小时里自行安装一个新的操作系，而且对于使用Windows XP Professional的机器而言，当软件出现问题时，可以不必等待IT维护人员亲自跑到机器面前维护，用户可以发出远程邀请桌面协助，这样用户和IT人员可以立即共享Windows桌面诊断问题，加快问题的响应速度，提高用户的满意度。

 

作为安全管理中心，活动目录服务利用安全组策略技术进行服务器和桌面机器的安全控制。通过有效的企业级或者部门级安全策略设定，在企业内部桌面系统加强安全约束，提供整体安全性，从而提升系统安全管理水平。

 

活动目录技术作为企业目录建设的基石，其本身的作用主要有三

第一，它可以成为一个管理中心。通过对网络中的元素，如用户账户、计算机账户等信息进行收集、保存，作为其管理的对象。通过其本身提供的组策略等技术作为管理的手段，从而实现管理中心的功能；

第二，它可以成为一个安全中心。通过域环境的搭建，使其成为域中资源的安全边界。同时，可以扮演身份认证和授权中心的角色；

第三，它是一个开放的平台。通过对目录服务标准的支持，使得在其基础架构上，进行应用的开发、与其它应用和服务进行整合成为可能，从而不断扩展其功能。

 

 

可以看出，企业未来IT系统的发展和未来企业管理也将立足于上述三个基本方向，不断完善和扩展。从目前微软服务的一些企业来看，他们已经完成了企业信息基础架构从纵向建设到横向飞跃，其后，只要围绕上述三个基本方向进行，不断深挖已有产品的功能，丰富目录管理的现有功能，以活动目录平台为基础进行开发，加强活动目录平台与其它应用的整合能力，一定能够实现不断完善企业内部Intranet建设的长期目标，使企业整体信息化建设更上层楼！

 

为实现Windows 2003 AD系统的部署实施，建议至少配置两台服务器：

Windows 2003 AD主域控制器：1台，同时兼作DNS、DHCP、WINS服务器；

Windows 2003 AD备份域控制器：1台，同时兼作DNS、WINS服务器；

上述服务器硬件配置建议如下：

2颗P4 3.0GHZ 以上CPU。

2GB以上内存。

73GB SCSI硬盘：建议使用2个硬盘，实施镜像（RAID-1）；
或者3个以上的硬盘，实施RAID-5。

 

调查、分析用户当前系统环境，提交环境调查报告

网络拓扑结构

服务器清单

应用软件部署清单

网络及系统存在的安全和管理上的问题

网络及系统调整方案

调查、分析用户实际和潜在的活动目录服务需求，提交用户需求报告

用户登录认证需求

网络安全需求

系统管理需求

大规模部署微软平台软件需求

 

 

 

                第四章 AD部署实施步骤

1.1 目录林的建立：
安全边界用以定义一个组织机构中实施自主管理的范围。根据公司商业边界的建立方式，从确保安全性和提供可靠的基本功能之间来做出建立；
在企业的系统架构设计中，我们将企业的各个商业单元放在一个森林中来实现信息安全，其管理开销也是最低的；
1.2 域的建立：
域是 Active Directory 目录林中的一个单独的分区。各个单位都将 Active Directory 目录林分成多个域，以避免将数据复制到不需要的地方。这样可使目录在可用带宽有限的网络上全局性地扩展。
1.3 单一全局域模型：
由于下列原因，单一全局域模型是首选的模型：
用户永远不需要在多个域之间移动。

不需要跨越多个域的重复组策略设置。
整个企业内实施统一的安全规范；
任何域控制器都可以处理任何用户处理的身份验证。
1.4 组织单元建立：
完成域的设计工作后，就可以设计 OU 结构了。在最佳 OU 模型中，域内的部门管理着他们的内部运营，而域的 IT 人员管理着整个基础结构。换句话说，每一个部门分别管理着其位于目录中的对象，而域 IT 人员管理着目录服务本身的配置。
OU 是域内的容器，它可以包含其他 OU、用户、组、计算机和其他对象。这些 OU 和子 OU 在一个域内形成了一个分层结构，而且它们主要用于将对象组合起来以便于管理。
按部门来划分：

按地域来划分：
1.5 创建站点拓扑：
站点的定义是一组具有良好连接（LAN 速度或更快）的 IP 子网。为创建站点拓扑，需要将具有很高连接速度的区域作为站点，将它们之间的 WAN 连接作为站点链接。创建了站点和站点链接之后，Active Directory 就会在各个域控制器之间自动生成一种复制拓扑。通过根据 LAN/WAN 拓扑来定义站点，您可以确保实现一种能避免 WAN 连接的复制拓扑，除非站点间通信是必需的。
1.6 如何配置组策略：
组策略用于从一个单独的点对多个 Microsoft Active Directory? 目录服务用户和计算机对象进行配置。在默认情况下，策略不仅影响应用该策略的容器中的对象，还影响子容器中的对象。
组策略包含了“计算机配置 | Windows 设置 | 安全设置”下的安全设置。您可将预先配置的安全模板导入策略，来完成对这些设置的配置。
1.9 DC备份考虑：
由于在DC中存放着企业用户的相关信息数据，所以对于DC的可靠性运行而言，我们有必要对DC进行必要的备份。

                  

 

 

 

 

 

 

 

活动目录管理操作规范

活动目录运行状况检查规范

活动目录数据备份规范

制订紧急情况处理的规范

观察、记录活动目录的运行情况

排除故障

优化活动目录运行

调整安全策略设置

备份活动目录

（4小时内到达现场、8小时内解决问题的紧急情况处理服务。）

记录故障现象

分析故障原因

制订解决方案

备份活动目录

记录域服务器环境配置

故障域服务器隔离

安装、转移或升级新的域服务器

排除故障

还原系统、配置和数据

活动目录回复到正常状态

运行观察

提交相关报告

网络拓扑图

服务器硬件配置表

服务器软件配置表

活动目录运行状态日常检查记录表

管理维护规范

故障解决方案

软件产品和程序补丁

备份介质

活动目录基本概念和工作原理

活动目录设计和部署

安全组策略和桌面管理组策略全面介绍

活动目录的备份和灾难恢复

活动目录的日常维护