windows 2008 活动目录实施方案

sakko51150

Windows Server 2008活动目录实施方案
1.     用户需求
　　要求
　　一：活动目录高可用，实现容灾
　　二：客户机成功加入域，限制财务的用户只能登陆到财务的客户机，每周一到周五实现财务部的用户能够成功登陆，其他时间不允许登陆。
　　三：组策略限制如下：

• 　　1. 限制所有员工桌面背景为1.jpg，为所有用户设置账户锁定策略，输错　　　　　　两次密码锁定。
  

　　2. 限制行政部员工桌面背景为2.jpg
　　3. 限制销售部员工的开始菜单中删除运行图标，删除桌面的计算机图标        4.为所有客户端自动安装MSI软件主策略设置

• 　　5. 以上设置针对销售BOSS无效
  

　　四：活动目录数据库要求定期备份

2.     活动目录拓扑结构

3.     系统的安装
3.1.  windows services 2008的安装
    3.1.1windows2008的特点
　　一、为保证系统的稳定性，易用性，选用安装两台WindowsR2 2008，
　　WindowsR22008相对于以前的服务系统的新特点：
　　1.       服务器核心（Server Core）
　　2.       WindowsPowerShell
　　3.       IIS7.0
　　4.       虚拟化（WSv）
　　5.       只读域控制器（RODC）
　　6.       Windows防火墙高级安全功能
　　7.       服务器管理器
    3.1.2系统安装准备
　　安装Windows Server 2008的计算机必须符合一定的硬件要求，如最低配置CPU为Pentium 32位系统 1GHz，内存512MB，硬盘空间10GB。但为了使Windows Server 2008能达到合理的性能要求，建议使用如下配置要求以上的计算机：
　　CPU：Pentium 32位系统 2GHz
　　内存：2GHz
　　硬盘：40GB剩余磁盘空间
3.1.3安装截图
　　图一、进入安装界面

　　进入安装界面

　　选择自定义安装

　　安装进程

　　登陆界面
3.2.1  windows services 2008的安装注意事项
　　安装要求：
组件要求处理器　　最低: 1Ghz
　　推荐: 2Ghz
最佳: 3Ghz或更快 内存　　最低: 512MB RAM
　　推荐: 1GB RAM
　　最佳: 2GB RAM (Full) or 1GB RAM (Server Core)或更多
　　最大(32-bit): 4GB (标准版) or 64GB (企业和Datacenter版)
最大 (64-bit): 32GB (标准版) or 2TB (企业、Datacenter和Itanium版本 磁盘可用空间　　最低: 8GB
　　推荐: 40GB (Full); 10GB (Core)
最佳: 80GB (Full); 40GB (Core)光驱  DVD-ROM显示和外部设备　　超级VGA (800 x 600)或更高分辨率的显示器
　　键盘
Microsoft鼠标或兼容的点设备 4.     系统的配置
4.1.  防火墙的设置
    4.1.1查看防火墙状态
　　图五、为保证windows2008服务器的安全，一定要保证防火墙存于开启状态。

　　查看防火墙状态
    4.1.2添加防火墙的应用安全规则
　　图六、为一些可信的端口或程序添加入站规则

　　图6、添加防火墙规则
4.2  网路的配置
　　为保障服务器的稳定，PDC和BDC必须是静态IP，且要在一个网段，（另外BDC的首选DNS为PDC的IP）
　　图7、配置服务器IP

　　图8、配置服务器IP
4.3  服务角色的安装
4.3.1.windows service R2 2008的角色
　　WindowsServer 2008作为一种网络操作系统，能提供各种网络服务，其中的一些服务器角色包括：
　　（1）文件和打印服务器；
　　（2）Web服务器和Web应用程序服务器；
　　（3）邮件服务器；
　　（4）流媒体服务器
　　（5）远程访问/虚拟专用网络（***）服务器；
　　（6）目录服务器；
　　（7）域名系统（DNS）；
　　（8）动态主机配置协议（DHCP）服务器；
　　（9）证书服务；

　　图9、windows 2008的一些角色服务
5.     活动目录的介绍
5.1.  活动目录的优点
　　活动目录的优点
　　1.集中管理
　　2.便捷的网络资源访问
　　3.可扩展性
  5.2.域中活动目录特点介绍
　　域中活动目录的特点

• 　　1.集中管理
  
• 　　2.便捷的网络资源访问
  

　　用户一次登录就可访问整个网络资源
　　网络资源主要包含用户账户、组、共享文件夹、打印机等

• 　　3.可扩展性
  
• 　　4.域中账户密码保存在域控制器上的活动目录中，
  

　　域需要dns的支持，dns的作用将域名转换成ip地址
　　DC通过活动目录来提供目录服务，如负责维护AD数据库，审核用户的账户和密码是否正确等。DC是物理上的一台计算机，而活动目录是运行在DC上的一种服务。
　　活动目录不是一个普通的文件目录，而是一个目录数据库，它存储着整个windows网络中的用户账号、组、计算机、共享文件夹等活动目录对象的相关数据。目录数据库使整个Windows网络中的配置信息集中存储，使管理员在管理网络时可以集中管理而不是分散管理。
　　活动目录是一种服务，是指目录数据库所存储的信息都是经过事先整理的有组织、结构化的数据信息，这使得用户可以非常方便、快速的找到所需数据，也可以方便的对活动目录中的数据执行添加、删除、修改、查询等操作，所以说，活动目录也是一种服务。
6.     活动目录安装
　　在windows services R2 2008中安装活动目录的条件：DNS、管理员身份，静态Ip。同时在安装ＢＤＣ的活动目录时DNS的IP为PDC的IP。
　　以管理员的身份运行：dcpromo.exe

　　图10、安装活动目录
　　注意：BDC再创建时选“现有林中的向现有域中添加控制器”

　　图11、命名根域

　　图12、检查DNS配置

　　图13、活动目录数据库的位置，日志与sysvol文件夹（保持默认）

　　图14、设置目录还原密码（牢记）
　　注意：目录服务还原模式的密码，使用于当AD数据库毁损时,可在开机启动Windows Server 2008之前按F8键,进入目录服务还原模式,重建AD数据库。

　　图15、安装域控制器

　　图16、以管理员登陆域
6.  活动目录的安装注意事项
　　注意事项：
　　1.具体来说,建立第1个域就是要建立第1部域控制器（Domain Controller,以下简称为DC）在网络中也是根域。
　　2.目录服务还原模式的密码，使用于当AD数据库毁损时,可在开机启动Windows Server 2008之前按F8键,进入目录服务还原模式,重建AD数据库。
　　3.由于此重建动作会改变既有的AD资料,为防止滥用,因此必须以密码保护,而且此密码不必和域系统管理员的密码相同。
7.     活动目录的配置
7.1.  用户属性设置
　　根据客户要求，域的组策略设置可以参照拓扑图
　　（客户要求：客户机成功加入域，限制财务的用户只能登陆到财务的客户机，每周一到周五实现财务部的用户能够成功登陆，其他时间不允许登陆）

　　图17、设置用户登录时间

　　图18、设置用户登录到指定电脑
1.1.  主组策略和ＯＵ的组策略设置
　　由于在域创建时系统会默认一个策略，为了明确管理员对域的组策略的设置最好新建一个域控制器（GPO），
　　【客户需求：组策略限制如下：

• 　　1. 限制所有员工桌面背景为1.jpg，为所有用户设置账户锁定策略，输错　　　　　　两次密码锁定。
  

　　2. 限制行政部员工桌面背景为2.jpg
　　3. 限制销售部员工的开始菜单中删除运行图标，删除桌面的计算机图标        4.为所有客户端自动安装MSI软件主策略设置

• 　　5. 以上设置针对销售BOSS无效】
  

　　解决方案：主策略对所有员工，对销售和行政创建个ＯＵ，对ＯＵ创建一个子策略
　　另外对销售boss做两次筛选，使其不受子策略和主策略的影响

　　图19、主策略设置桌面背景

　　图20、设置用户密码登录阈值

　　图21、对销售禁用运行

　　图21、设置行政桌面背景

　　图22、对xsboss进行第一次子域筛选

　　图23、第二次对xsboss进行筛选
8.     数据的备份
  8.1.  对ＤＣ数据备份
　　为PDC和BDC的正常工作，数据对PDC和BDC至关重要，因此，在做额外控制域的同时，要把数据备份到数据库中，
　　DC的功能总共分为两个部分：
　　一、数据库：存放用户信息。
　　二、服务：数据校队，数据访问。
　　项目总结
　　这个项目是适用于企业OA系统下的微机管理，有利于节省管理资源，便于企业提高微机利用率。