大中型企業(yè)局域網(wǎng)域控系統(tǒng)應(yīng)用探討

洛陽光電技術(shù)發(fā)展中心 馮瑞兵

?

大中型企業(yè)局域網(wǎng)域控系統(tǒng)應(yīng)用探討

洛陽光電技術(shù)發(fā)展中心 馮瑞兵

【摘要】隨著信息化的高速發(fā)展，現(xiàn)代大中型企業(yè)的各項業(yè)務(wù)，大量依賴于內(nèi)部局域網(wǎng)來完成。網(wǎng)絡(luò)帶來高效服務(wù)的同時，也為局域網(wǎng)內(nèi)用戶、計算機管理增加了難度。本篇文章主要講述了windows server 2012域控系統(tǒng)的規(guī)劃、部署及應(yīng)用。

【關(guān)鍵詞】windows server 2012；域控；策略

1　概念

域：是一套統(tǒng)一身份驗證系統(tǒng)，是企業(yè)應(yīng)用的基礎(chǔ)；是一種系統(tǒng)架構(gòu)，可以實現(xiàn)統(tǒng)一化管理。

活動目錄：進行查詢、身份驗證，包含了活動目錄數(shù)據(jù)庫，對象包含用戶、計算機、組等。

域控制器：在域系統(tǒng)架構(gòu)中用來管理所有客戶端的服務(wù)器，是域系統(tǒng)架構(gòu)的核心。

2　域控系統(tǒng)管理優(yōu)點

(1)通過管理架構(gòu)部署組策略，強制管理客戶端；

(2)各種設(shè)置統(tǒng)一下發(fā)，降低管理、操作、運維成本；

(3)安全性高，有利于單位文件資料的授權(quán)瀏覽；

(4)有效控制用戶的登錄權(quán)限；

(5)資源共享；

(6)便于用戶資料的統(tǒng)一備份、管理。

3　域系統(tǒng)規(guī)劃

3.1結(jié)構(gòu)規(guī)劃

根據(jù)局域網(wǎng)計算機數(shù)量和物理區(qū)域進行規(guī)劃。本文案例企業(yè)有1000臺以上客戶端，采用一主（AD）二備（BAD）結(jié)構(gòu)的單域單站點管理模式。

3.2組織單元（OU）、域組成員規(guī)劃

采用企業(yè)下屬部門名稱進行規(guī)劃；將每一個部門的計算機帳號、用戶域帳號放置相應(yīng)的組織單元進行管理，將用戶域帳號授予相應(yīng)的安全組權(quán)限；

3.3域策略規(guī)劃

根據(jù)局域網(wǎng)實際情況，基于安全、便利、高效工作的要求進行規(guī)劃不同的策略集；內(nèi)容應(yīng)當(dāng)包含密碼策略、帳戶策略、審核策略、日志策略、安全權(quán)限策略、系統(tǒng)服務(wù)策略、電源策略、屏保策略、IE策略、軟件安裝策略等等。

3.4DNS反向查找區(qū)域

根據(jù)IP地址VLAN劃分情況進行規(guī)劃。

3.5命名規(guī)則

根據(jù)員工編號命名域帳號，根據(jù)計算機編號命名計算機帳號。

4　域控制器安裝

4.1主域控制器安裝

4.1.1準備

確認網(wǎng)絡(luò)已連通，修改服務(wù)器名稱，安裝選擇AD域服務(wù)。

4.1.2提升為主域控制器

提升角色，添加新林（根域名abc.com，林、域功能級別2012），指定NetBIOS域名：abc；安裝重啟。

4.1.3驗證

主要驗證AD域服務(wù)、默認容器、域控制器、站點、默認域策略、共享卷服務(wù)、FSMO角色、DNS“SRV”記錄等。

4.2備份域控制器安裝

4.2.1準備

確認網(wǎng)絡(luò)已連通，修改兩臺備份服務(wù)器名稱并加入域abc.com；安裝AD域服務(wù)。

4.2.2提升為額外域控制器

提升角色時選擇“將域控制器添加到現(xiàn)有域”，安裝完重啟。

4.2.3驗證

主要驗證計算機角色、DNS記錄、AD站點和服務(wù)、GC全局編錄、FSMO角色等。

5　域控制器部署

5.1組織單元、安全組創(chuàng)建

打開AD活動目錄，在域名abc.com下根據(jù)規(guī)劃創(chuàng)建組織單元和安全組。

5.2域策略部署

原則：為了優(yōu)化性能，策略結(jié)構(gòu)盡量不要超過三級。

5.2.1策略部署結(jié)構(gòu)

(1)默認域策略Default Domain Policy

需要部署整個域通用的策略，內(nèi)容包含密碼策略、帳戶策略、審核策略、時間同步策略、電源策略、屏保策略、IE策略等。

(2)默認域控策略Default Domain Controllers Poli

需要部署事件日志、系統(tǒng)服務(wù)、用戶權(quán)限分配、安全選項等內(nèi)容；

(3)客戶端通用策略

需要創(chuàng)建并部署事件日志、系統(tǒng)服務(wù)、用戶權(quán)限分配、安全選項、軟件安裝、開機腳本等內(nèi)容；

(4)部門級專項策略

需要創(chuàng)建并部署登錄限制策略、屏保策略，專用密碼策略等內(nèi)容。

5.2.2策略部署

打開服務(wù)器管理器-工具-組策略管理，根據(jù)《域策略規(guī)劃》及5.2.1部署各類策略。

5.2.3策略部署注意事項

(1)Default Domain Policy部署的密碼策略優(yōu)先級高，在下一級OU上部署的密碼策略不會生效；如果某部門需要不同的密碼策略，可以打開AD管理中心-abc（域名）-system-Password Settings Container，新建一個專用的密碼策略，應(yīng)用到相應(yīng)的部門安全組即可。

(2)開機腳本盡量減少內(nèi)容，避免影響客戶端啟動速度；

(3)策略一定要在客戶端驗證，尤其是系統(tǒng)服務(wù)， Default Domain Policy策略啟用Workstation、Netlogon 、TCP/IP NetBIOS Helper 、Network Connections、Computer Browser、Windows Time、DNS Client服務(wù)； Default Domain Controllers Policy策略啟用DFS Replication、DNS Server服務(wù)；

(4)事件日志按需記錄；安全事件日志由于記錄量大，同時考慮占用磁盤空間問題，客戶端日志大小設(shè)置為300MB，域控服務(wù)器日志大小設(shè)置為4GB；其他事件日志客戶端設(shè)置為50MB，域控服務(wù)器設(shè)置為1GB。

5.3時間服務(wù)器部署

默認情況下，域內(nèi)的服務(wù)器的時間同步機制是客戶端找DC同步，DC找域內(nèi)的PDC同步，但經(jīng)常會反向客戶端不能同PDC有效同步。

實際環(huán)境需要將PDC域控制器強制設(shè)置為時間源，打開注冊表做以下設(shè)置：

(1)HKEY_LOCAL_MACHINESYSTEM

CurrentControlSetServicesW32TimeParameters，設(shè)置NtpServer值為PDC域控制器名稱ADserver.abc.com,0x1；

(2)HKEY_LOCAL_MACHINESYSTEM

CurrentControlSetServicesW32TimeConfig，設(shè)置AnnounceFlags值為10；

(3)HKEY_LOCAL_MACHINESYSTEM

CurrentControlSetServicesW32TimeTimeProviders NtpServer，設(shè)置Enable值為1；

(4)編輯PDC域控制器本地策略，啟用NTP服務(wù)器；(5)驗證客戶端時間同步。

5.4域帳號批量創(chuàng)建

5.4.1用戶信息統(tǒng)計

根據(jù)員工名單及命名規(guī)則，統(tǒng)計所有員工的信息，應(yīng)包含用戶域帳號及可登錄的計算機帳號信息。

5.4.2批量創(chuàng)建域帳號

(1)建立user.csv文件。

將用戶信息統(tǒng)計表設(shè)計為以下電子表格式，并保存為user.csv格式。

A列：域帳號

B列：描述和顯示信息

C列：部門名稱

D列：組安全名稱

(2)批量創(chuàng)建域帳號。

建立dsadd.bat命令，并將dsadd.bat、user.csv拷貝到域控根目錄下，執(zhí)行dsadd.bat即可完成域帳號創(chuàng)建。

dsadd.bat內(nèi)容如下：

For /F "tokens=1,2,3,4delims=," %%a in (user.csv) do dsadd user CN=%%a,

OU=test,DC=abc,DC=com -upn %%a@abc.com -display %%b -desc %%b -dept %%c -pwd ****** -pwdneverexpires

(3)批量修改域帳號可登錄的計算機。

為了加強用戶權(quán)限管理，需要限定域帳號登錄的計算機帳號。

建立userWorkstations.txt，格式如下：

拷貝此文件至域控根目錄下，執(zhí)行power shell（管理員）命令，命令如下：

Import-CSV C:userWorkstations.txt | % {

$UserN = $_.UserName

$ComputerN = $_.ComputerName

$ObjFilter = "(&(objectCategory=person)(objectCategor y=User)(samaccountname=$UserN))"

$objSearch = New-Object System.DirectoryServices. DirectorySearcher

$objSearch.PageSize = 15000

$objSearch.Filter = $ObjFilter

$objSearch.SearchRoot = "LDAP://dc=abc,dc=com"

$AllObj = $objSearch.findOne()

$user = [ADSI] $AllObj.path

$user.psbase.invokeSet("userWorkstations",$_. ComputerName)

$user.setinfo()

}

6　客戶端加入域

根據(jù)命名規(guī)則，修改客戶端名稱，并將客戶端加入ABC.com域，驗證各項域策略是否生效。

7　域系統(tǒng)日常管理

包含域控服務(wù)器的日常維護；域帳號的申請、創(chuàng)建、啟用、維護、回收；域終端計算機的問題處理等等。

8　建立域控系統(tǒng)應(yīng)急預(yù)案機制

根據(jù)實際需要，建立域控系統(tǒng)應(yīng)急預(yù)案，并進行實際演練，保證域系統(tǒng)在突發(fā)事件時能在最小時間內(nèi)恢復(fù)。

內(nèi)容應(yīng)包括演練的目標(biāo)及范圍、組織機構(gòu)及職責(zé)、聯(lián)絡(luò)方式、應(yīng)急準備條件、突發(fā)事件響應(yīng)流程、恢復(fù)和重續(xù)運行、重建和回退等。

9　結(jié)束語

使用域控系統(tǒng)這種管理模式，不借助第三方軟件，由服務(wù)器統(tǒng)一管理，極大提高了管理員對整個網(wǎng)絡(luò)的統(tǒng)一管理、統(tǒng)一設(shè)置、統(tǒng)一維護，提高了效率，極大減輕了網(wǎng)管員的工作量。

參考文獻

[1]王淑江編著.windows server 2012活動目錄管理實踐(第1版)[M].人民郵電出版社,2014,2.