您现在的位置: 破洛洛 >> 服务器 >> DNS服务器 >> 正文

中型企业Active Directory 设计部署 AD架构设计

作者:佚名 来源:不详 更新时间:2009-4-16
分享到

中型企业Active Directory 设计部署之一 子网划分

中型企业Active Directory 设计部署二 站点设计

中型企业Active Directory 设计部署 组策略设计

    :假如你是珠海总公司员工,带着你的笔记本电脑去南昌分公司出差,到了分公司以后,接入分公司网络这个时候你的身分验证是在那里完成的?

    :在南昌的其中一台DC完成身份验证。

    分析:

    珠海员工到南昌分公司出差办公当笔记本接入南昌分公司的网络后南昌分公司的DHCP服务器会为它分配一个属于南昌网段的IP地址,并配置南昌分公司的DNS及网关地址,然后DNS会去查询本地的DC,最后在本地DC上对用户进行身份验证。

    下面进行OS公司的AD的架构设计图

   

绘图1.jpg

    从图里我们可以看出Administrator用户对域有最高的权限,是整个AD的管理员,在大中型企业里如果AD靠管理员一个人去管理维护肯定是不可能的特别是有分支机构的企业,因此需要把部分权限委派出去。委派的权限不能过高,因为AD是公司的基础架构,很多应用都是基于AD的,如果AD发生崩溃在大中型企业里后果是不可想象,为了减少AD的崩溃和出错在权限设计方面一定要设计严格的管理权限,制定出在AD里对象的操作规则。

    AD的结构主要是根据自己企业的实际情况和管理方便来划分下面只是一个实例仅供参考。


    第一级划分

    考虑到OS公司在未来的几年发展只限于国内发展,国外暂不考虑,结合中国地理位置第一级OU按省份来划分。

    OS公司在3个省内有公司第一级划分三个OU分别是GD(广东)、JX(江西)、SC(四川)未来在别的省份发展分公司还可以断续增加省份OU。

    在第一级OU中设计了一个Groups的OU这个OU主要用于存放OS公司的一些公共组,这个设计主要是为了便于管理。举个例子:总部有一份报表需要给珠海总公司、广东分公司、南昌分公司等各分公司的财务人员查看和修改,如果你是IT管理者该如何做?

    最佳的解决方法:

    1、要求各公司IT管理员创建一个本地的财务组,如珠海ZHOS-Finance-Dept、广州GZOS-Finance-Dept,南昌NCOS-Finance-Dept等,自己本公司的所有财务人员加入到本地创建的财务组;;
    2、总部管理员在Groups创建一个OS-Finance-Dept财务公共组,把各公司的财务组如珠海ZHOS-Finance-Dept、广州GZOS-Finance-Dept等加入到OS-Finance-Dept财务组;
    3、创建一个文件夹,把查看和修改权限赋予OS-Finance-Dept。

    第二级划分

    第二级划分主要根据OS公司的结构来划分,根据所在的省份在一级OU下为每个公司划分一个OU,每个OU委派给各公司IT主管进行管理。

    从图里可以看出,每个公司的OU下都有一个组,这个组的用户对这个OU下面的对象负责管理,AD管理员把各公司的IT主管分别加入到相应的组里面。对每个公司的OU委派下面几个权限:

    1、创建、删除以及管理用户帐户
    2、创建、删除以及管理计算机帐户
    3、重设用户密码并强制在下次登录时更改密码
    4、读取所有用户信息
    5、创建、删除和管理组
    6、修改组成员身份
    7、生成策略的结果集(计划)
    8、生成策略的结果集(记录)

[1] [2] 下一页

    问题:假如我是南昌的IT管理员可以在一级OU上创建AD对象吗?可以对重庆的OU进行管理吗?

    :假如我是南昌的IT管理员可以在一级OU上创建AD对象吗?可以对重庆的OU进行管理吗?

    :1、不能在一级OU上创建AD对象,因为没有被授权;

    2、不能对重庆OU进行管理,因为没有被授权;

    前面我们根据地点和公司划分了二级OU,下面我们再针对每个公司继续划分OU。
    每个公司的OU架构共设计了两个方案,下面我们先看看二个方案的架构图。

    方案一:


   

OU结构规划图1.gif

    方案二:

   

OU结构规划图2.gif

    公司OU划分没有一定结构,原则是根据公司的实际情况来划分,怎么样管理方便就怎么样划分。

    第一个方案简单明了,把相应的对象放入相应的OU再进行策略管理;
    第二个方案也不错,在管理上划分得很细,但相应的也增加了管理的复杂度;

    根据公司的实际情况,为了简化管理决定采用第一个方案,强化总公司的IT管理,减少AD的维护量,保障公司OU架构的统一性和可靠性所有公司都统一采用这一架构,并为公司里的每一个OU委派权限给分公司的IT管理员。具体的OU委派权限如下:


    IT:
    作用:此OU委派给总公司IT管理员创建和存放分公司的IT用户和组
    委派权限:
    1、创建、删除以及管理用户帐户
    2、重设用户密码并强制在下次登录时更改密码
    3、读取所有用户信息
    4、创建、删除和管理组
    5、修改组成员身份
    6、生成策略的结果集(计划)
    7、生成策略的结果集(记录)

    Groups:
    作用:委派给分公司IT管理员创建和存放本地分公司的用户组
    委派权限:
    1、创建、删除和管理组
    2、修改组成员身份

    Users:
    作用:委派给分公司IT管理员创建和存放本地用户帐号
    委派权限:
    1、创建、删除和管理组
 &n

转载请注明:破洛洛(谢谢合作)
网友评论: