資源描述:
《中型企業(yè)域部署.pdf》由會員上傳分享�,免費在線閱讀,更多相關內(nèi)容在行業(yè)資料-天天文庫�����。
1�、中型企業(yè)ActiveDirectory設計部署AD架構設計問:假如你是珠海總公司員工����,帶著你的筆記本電腦去南昌分公司出差,到了分公司以后�����,接入分公司網(wǎng)絡這個時候你的身分驗證是在那里完成的�?答:在南昌的其中一臺DC完成身份驗證。分析:珠海員工到南昌分公司出差辦公當筆記本接入南昌分公司的網(wǎng)絡后南昌分公司的DHCP服務器會為它分配一個屬于南昌網(wǎng)段的IP地址����,并配置南昌分公司的DNS及網(wǎng)關地址,然后DNS會去查詢本地的DC��,最后在本地DC上對用戶進行身份驗證�。下面進行OS公司的AD的架構設計圖從圖里我們可以看出Administra
2、tor用戶對域有最高的權限����,是整個AD的管理員,在大中型企業(yè)里如果AD靠管理員一個人去管理維護肯定是不可能的特別是有分支機構的企業(yè)�����,因此需要把部分權限委派出去���。委派的權限不能過高��,因為AD是公司的基礎架構���,很多應用都是基于AD的,如果AD發(fā)生崩潰在大中型企業(yè)里后果是不可想象�����,為了減少AD的崩潰和出錯在權限設計方面一定要設計嚴格的管理權限����,制定出在AD里對象的操作規(guī)則��。AD的結構主要是根據(jù)自己企業(yè)的實際情況和管理方便來劃分下面只是一個實例僅供參考��。第一級劃分考慮到OS公司在未來的幾年發(fā)展只限于國內(nèi)發(fā)展����,國外暫不考慮����,結合中國
3、地理位置第一級OU按省份來劃分�。OS公司在3個省內(nèi)有公司第一級劃分三個OU分別是GD(廣東)、JX(江西)�、SC(四川)未來在別的省份發(fā)展分公司還可以斷續(xù)增加省份OU。在第一級OU中設計了一個Groups的OU這個OU主要用于存放OS公司的一些公共組,這個設計主要是為了便于管理�����。舉個例子:總部有一份報表需要給珠?�?偣?、廣東分公司、南昌分公司等各分公司的財務人員查看和修改��,如果你是IT管理者該如何做?最佳的解決方法:1��、要求各公司IT管理員創(chuàng)建一個本地的財務組����,如珠海ZHOS-Finance-Dept��、廣州GZOS-Fin
4�����、ance-Dept�����,南昌NCOS-Finance-Dept等�,自己本公司的所有財務人員加入到本地創(chuàng)建的財務組;���;2�����、總部管理員在Groups創(chuàng)建一個OS-Finance-Dept財務公共組��,把各公司的財務組如珠海ZHOS-Finance-Dept����、廣州GZOS-Finance-Dept等加入到OS-Finance-Dept財務組;3��、創(chuàng)建一個文件夾�,把查看和修改權限賦予OS-Finance-Dept。第二級劃分第二級劃分主要根據(jù)OS公司的結構來劃分��,根據(jù)所在的省份在一級OU下為每個公司劃分一個OU��,每個OU委派給各公司IT
5����、主管進行管理。從圖里可以看出�,每個公司的OU下都有一個組,這個組的用戶對這個OU下面的對象負責管理�,AD管理員把各公司的IT主管分別加入到相應的組里面。對每個公司的OU委派下面幾個權限:1����、創(chuàng)建、刪除以及管理用戶帳戶2、創(chuàng)建�、刪除以及管理計算機帳戶3、重設用戶密碼并強制在下次登錄時更改密碼4����、讀取所有用戶信息5、創(chuàng)建�����、刪除和管理組6�、修改組成員身份7�、生成策略的結果集(計劃)8、生成策略的結果集(記錄)問題:假如我是南昌的IT管理員可以在一級OU上創(chuàng)建AD對象嗎�����?可以對重慶的OU進行管理嗎���?答:假如我是南昌的IT管理員可以
6�、在一級OU上創(chuàng)建AD對象嗎���?可以對重慶的OU進行管理嗎��?答:1�、不能在一級OU上創(chuàng)建AD對象,因為沒有被授權�;2、不能對重慶OU進行管理����,因為沒有被授權;前面我們根據(jù)地點和公司劃分了二級OU�����,下面我們再針對每個公司繼續(xù)劃分OU�。每個公司的OU架構共設計了兩個方案,下面我們先看看二個方案的架構圖�。方案一:方案二:公司OU劃分沒有一定結構,原則是根據(jù)公司的實際情況來劃分�,怎么樣管理方便就怎么樣劃分。第一個方案簡單明了����,把相應的對象放入相應的OU再進行策略管理;第二個方案也不錯���,在管理上劃分得很細��,但相應的也增加了管理的復雜度���;
7��、根據(jù)公司的實際情況�,為了簡化管理決定采用第一個方案����,強化總公司的IT管理,減少AD的維護量�����,保障公司OU架構的統(tǒng)一性和可靠性所有公司都統(tǒng)一采用這一架構��,并為公司里的每一個OU委派權限給分公司的IT管理員��。具體的OU委派權限如下:IT:作用:此OU委派給總公司IT管理員創(chuàng)建和存放分公司的IT用戶和組委派權限:1�、創(chuàng)建�����、刪除以及管理用戶帳戶2�、重設用戶密碼并強制在下次登錄時更改密碼3、讀取所有用戶信息4、創(chuàng)建�����、刪除和管理組5����、修改組成員身份6、生成策略的結果集(計劃)7�����、生成策略的結果集(記錄)Groups:作用:委派給分公司
8�����、IT管理員創(chuàng)建和存放本地分公司的用戶組委派權限:1�����、創(chuàng)建�、刪除和管理組2、修改組成員身份Users:作用:委派給分公司IT管理員創(chuàng)建和存放本地用戶帳號委派權限:1����、創(chuàng)建�����、刪除和管理組2����、重設用戶密碼并強制在下次登錄時更改密碼3�����、讀取所有用戶信息4��、修改組成員身份5�����、生成策略的結果集(計劃)6����、生成策略的
