《安东石油域管理建议书V1.0.doc》由会员分享,可在线阅读,更多相关《安东石油域管理建议书V1.0.doc(18页珍藏版)》请在三一办公上搜索。
1、安东石油技术(集团)有限公司域管理实施建议书中国软件与技术服务股份有限公司二七年六月文件更改历史记录(文件编号: 版次:V1.0.0)记录编号:初始信息文件名称安东石油技术(集团)有限公司域管理实施建议书初始版本号V1.0发布日期2007年6月编写人刘刚批准人姜书安更改记录版本号更改要点修改人审批人批准日期目录1项目概述31.1项目建设需求31.2项目实施主要思路32WINDOWS 2003活动目录建设42.1域结构设计52.2组织单元及组策略设计82.3特殊用户帐户设置策略113WINDOWS 2003网络服务113.1DNS服务113.2DHCP服务144项目实施154.1总部域管理的建立
2、154.2总部域管理的完善164.3集团整体域管理的建立161 项目概述1.1 项目建设需求安东石油集团目前局域网内用户不经认证就可随意访问INTERNET和局域网内资源,这方便了用户访问网络资源,同时也带来了安全隐患,因为所有用户的安全级别都相同,对网络资源的访问权限也都一样,这样有可能使普通用户能够访问到敏感数据。为提高整个信息系统的安全性和稳定性,需要采用Windows域管理模式来实现对局域网用户的集中管理,并对局域网用户合理地进行安全级别划分及资源访问权限分配,为每个用户建立相应的帐户,控制该帐户可访问的网络资源,同时对公司领导用户、特权用户及公司重要部门用户需要加强认证及数据加密工作
3、。此外为加强对用户端控制,还要将局域网内的客户机操作系统从WIN98等不支持域的操作系统平滑升级到WINXP或WIN2000。1.2 项目实施主要思路我们将按照“先规划,后实施”,“边实施、边总结”的原则进行域管理项目建设,在规划时期,充分调查清楚用户现有情况,制定详细的实施方案,确定具体的实施步骤,尤其在域控制器上线以后,在保证服务器端稳定的基础上,将局域网用户有组织、有计划地纳入域管理模式中,同时保证在整个域管理项目实施时期对用户的影响降低到最小。在对项目建设进行规划时,我们将遵循以下原则:l 系统的安全性;l 系统的可伸缩性;l 系统的可冗余性;l 方便用户访问资源;l 简化管理,节约管
4、理开销。在WINDOWS 2003域建设时,建议采用单域的活动目录逻辑结构,域内通过OU实现分层,具体的管理由域中的多个OU来完成,按分层方式进行管理控制,这种结构既考虑到了二级机构独立性,又考虑到了整个企业的可扩展性。另外还需完成DNS、DHCP等网络服务的配置;为完成客户机操作系统升级工作,同时保证对局域网用户的影响降到最小,我们将采用“以点带面,分布实施”的方式完成升级工作。下面详述我们的方案。2 Windows 2003活动目录建设为实现用Windows 2003域来集中管理五矿局域网计算机及用户,首先要建立活动目录(Active Directory)这一目录结构。活动目录是一种可扩展
5、、可伸缩的目录结构,在活动目录中,管理员和用户可以方便地查找和使用目录信息,使用活动目录会使网络地规划设计变得更加方便和灵活。采用活动目录的优势在于:(1) 高安全性和易管理性。活动目录不但为目录中的对象(如用户帐户对象)设置访问权限保护,也允许为对象的属性设置访问权限保护,同时在活动目录中,系统管理员可以把部分管理权利分配给其它的用户或用户组。(2) 可扩展性。系统管理员可以在活动目录中建立新的对象类或为现有的对象类添加新的属性。(3) 多主复制功能。在Windows 2003域中,各个域控制器都是平等的,如何一个域控制器都可以维护域的目录信息和验证用户帐户的登录,在某一台域控制器上产生的新
6、的目录信息或被修改的目录信息会被复制到其它的域控制器中去,从而提高目录信息的可用性、容错能力,加快用户登录时的验证速度。本项目中Windows 2003活动目录建设内容主要有:l 设计安东石油集团活动目录的架构;l 利用活动目录建立统一和完善的用户帐户、权限管理机制;l 利用活动目录组策略部署用户设置管理机制;l 利用活动目录组策略设置密码安全策略;l 安装活动目录过程时,不影响原有帐户的使用。2.1 域结构设计在活动目录的域结构设计中,通常可以采用的两种方案,即单域结构和域树结构。我们建议分三步进行域管理的实施,即达到一定条件时进行相应的域管理配置,最终实现网络的完全域管理。根据安东石油集团
7、发展规划,因此建议采用树域结构,以公司为单位建立数结构,并按部门分别建立单独的OU,在各个OU内,根据具体的结构和需要,再建立组帐户和用户帐户。整个系统结构为两层,便于管理和维护。其域示意图如下图所示:图1 安东石油整体域结构示意图在这种设计中,安东石油集团总部采用1个Windows 2003域,在域内用组织单元(OU)反映组织结构。单域结构非常适合IT管理权限高度集中的组织机构。具体情况如下:1、 建立一个域(),该域可以作为代表集团总部的域,在活动目录推广到分支机构后,不影响该域;2、 在域内建立一个多层的组织单元结构用来反映集团的IT管理权限。(详细内容参见OU设计);3、 用户创建和安
8、全策略由集团总部的IT部门统一控制;4、 域控制器(DC)可以放在总部中心机房。如果分公司成员很多,比较独立,建议采用新的树,而不是直接加入到集团总部的域。如果分公司成员不多,同时很依赖集团总部,建议加入到集团总部的域。为总部和各地分部建立各自独立的域,将有以下优点:l 不同域之间无需复制不必要的数据,在较小网络带宽的限制下仍能运行良好;l 各地的系统管理员被限制在自己的域中进行管理,适应当前管理模式;l 允许定义各自的安全规则。如口令规则,账户锁定规则和用户权限规则;l 因为活动目录是通过DNS名称来区分各个域的,因此需要设计一个完善的名字空间。一个特定的AD域名和DNS中的域名是对应的.
9、有些组织已经拥有自己的Internet域名,他们在部署活动目录时可以采用这个域名,也可以采用不同的域名。在总部采用单域结构的优点在于:l 集中管理整个集团总部的安全策略。l 集中管理整个总部的组策略。l 完全利用组织单元反映集团的管理结构。l 当集团机构重组时可以非常灵活的进行调整,比如加入新的域。l 当资源和用户需要在组织机构内迁移时可以非常灵活的调整。l 相对其它几种方案,可以使用较少的域控制器。l 简单的名字空间设计 只需要1个DNS名字后缀.l 用户在查找AD内的信息时相对简单。l 单一的组策略更容易实施。同时这种域结构的缺点在于:l 在IT系统管理权限相对分散的组织结构中,难以区分“
10、管理权”;l 整个集团总部只能实行一种安全策略,例如统一的口令策略;l 所有的域控制器(DC)都拥有整个AD的数据的备份,AD的任何更改也要反映到域内的所有DC上,这对每台DC的硬件配置要提出更高的要求,对于DC服务器本身的安全也提出更高的要求。2.2 组织单元及组策略设计OU用于反映管理中的层次化要求,本方案共设计了二层OU。1. 计算机/用户:用于反映IT部门的管理需要。将资源分为用户,客户机和服务器;2. 部门:用于反映各部门的管理差异,细分的目的是为了在实施域管理时进行细化管理及访问权限的划分。注意: 建议OU层次不要超过3层,OU层次多会对用户登录域的速度有一定影响,并对VPN设备有
11、要求。在Windows 2003中,策略是一组规则的集合,这些规则包括了一般的管理任务,比如用户设置管理、应用软件管理和其它有关的规则。通过将这些规则(策略)应用于企业用户和计算机,可以实现自动的用户设置、软件管理和其他一些管理功能,从而降低系统管理员的管理负担。为了更有效的实施策略,Windows域提供了对组策略的支持。也就是说,策略不仅可以作用于特定的用户或者计算机,而且可以作用于一组用户或计算机。组策略实施的单位是一个“容器”,该容器中的用户或者计算机都将受到组策略的影响。可以实施组策略的容器有:域、组织单元和Site。组策略分为两大类,一类作用于计算机,无论哪一个用户登录,该计算机都会
12、采用相同的策略;另一类作用于用户,使用不同的用户账号登录,会实施不同的策略,这些策略与使用那一台计算机没有关系。一般说来,与用户关系密切的设置,例如用户的墙纸,开始菜单,桌面风格、应用软件的管理等等需要采用户组策略,而一些与具体用户关系不大的策略采用计算机组策略。设计组策略时,需要同时考虑两个目标:1. 结构清晰,便于管理和修改。制定组策略时,应该与企业的组织机构、管理模式相一致,使得管理员可以容易的对组策略进行维护和修改。2. 高效。组策略的实施会对机器启动的时间产生一定的影响,我们必须加以考虑。我们应该尽量减少组策略对登录时间的影响。为了满足设计目标,可以遵循以下原则:1. 采用组织机构和
13、职务相结合的方法定义组策略,首先为不同的OU制定各自的组策略。2. 组策略的内容应该尽量的简单。3. 每一个OU应用的组策略应该维持在一个合适的数目(不超过3个)。我们会按照上述原则进行具体的设计。安东石油集团的主要组策略集中于安全管理,资源管理等方面,我们根据集团各个机构不同的要求进行特性化的设计。2.3 特殊用户帐户设置策略某些特殊帐户可能需要访问敏感数据,可先建立单独的OU,在此OU下建立各特殊帐户,并配置相应的权限。有的用户可能为临时访问帐户,也可建立单独的OU,在此OU下建立临时帐户,并配置较小的访问权限。3 Windows 2003网络服务3.1 DNS服务在计算机网络中,主机标识
14、符分为三类:名字、地址及路径。而计算机在网络中的地址又分为IP地址和物理地址,但地址终究不易记忆和理解。为了向用户提供一种直观的主机标识符,TCP/IP协议提供了域名服务(DNS)。DNS的引入是与TCP/IP协议中层次型命名机制的引入密切相关的。所谓层次型命名机制是指在名字中加入结构信息,而这种结构本身又是层次型的。例如,DNS是以根和树结构组成的。层次型命名的过程是从树根(Root)开始沿箭头向下进行,在每一处选择相应于各标号的名字,然后将这些名字串连起来,形成一个唯一代表主机的特定的名字。例如:安东石油有一台OA服务器,DNS名为OA。这里范围最小的是“OA”,仅仅是指安东石油的这个邮件
15、服务器,其次是“antonoil”,代表安东石油的域名,再次是“com”,它表示前面的域是属于公司、企业等类别。这样一个层次关系,就将安东石油的这个OA服务器准确的表达出来了,并且这个地址是唯一的。当DNS客户端向DNS服务器查询地址后,或DNS服务器向另外一台DNS服务器查询IP地址时,它总共有三种查询模式。l 递归查询:也就是DNS客户端送出查询要求后,如果DNS服务器内没有需要的数据,则DNS服务器会代替客户端向其他的DNS服务顺查询。l 循环查询:一般DNS服务器与DNS服务器之间的查询属于这种查询方式。当第一台DNS服务器在向第2台DNS服务器提出查询要求后,如果第2台DNS服务器内
16、没有所需要的数据,则它会提供第3台DNS服务器的IP地址给第1台l 反向查询:可以让DNS客户端利用IP地址查询其主机名称。DNS和活动目录的结合是Windows 2003 Server的最主要特点,DNS域和活动目录域对不同的名字空间使用同一样的域名。每一个Windows2003域都有一个DNS名字,并且每一个Windows2003域中的计算机也都有一个DNS名字,因此,域和计算机即代表活动目录对象,又代表域节点。DNS可以独立于活动目录,但是活动目录必须有DNS的帮助才能工作。为了活动目录能够正常的工作,DNS服务器必须支持服务定位(SRV)资源记录,资源记录把服务名字映射为提供服务的服务
17、器名字。活动目录客户和域控制器使用SRV资源记录决定域控制器的IP地址。除了要求Windows2003网络的DNS服务器支持SRV资源记录外,建议DNS服务器提供对DNS的动态升级。DNS动态升级定义了一个DNS服务器在一定值内自动升级的协议,如果没有此协议,管理员不得不手动配置域控制器产生的新的记录。新的Windows2003 DNS服务即支持SRV资源记录,又支持动态升级。正是因为DNS与活动目录有如此紧密的联系,所以在域中安装活动目录的时候,如果没有DNS服务器,Windows2003会强制要求安装一个与活动目录结合的DNS,并且这个DNS支持SRV和动态升级。WIN2003的DNS服务
18、器内总共支持三种区域类型:l 标准主要区域:主要区域就是用来存储域内所有主机数据的正本。l 标准辅助区域:用来存储此区域内所有主要数据的副本。l Active Directory集成的区域:将此区域的主要数据存储在域控制器的活动目录内,数据会自动被复制到其他的域控制器内。由于安东石油采用Windows2003的活动目录管理用户信息,所以域控制器同时也扮演了DNS服务器的角色,即安东石油的DNS服务器都是属于Active Directory集成的区域的类型,在一台DNS做的修改会随活动目录的信息复制传递到其他域控制器中的DNS。3.2 DHCP服务动态主机分配协议(DHCP)是一个简化主机IP地
19、址分配管理的TCP/IP 标准协议。用户可以利用DHCP服务器管理动态的IP地址分配及其他相关的环境配置工作(如:DNS、WINS、Gateway的设置)。 在使用TCP/IP协议的网络上,每一台计算机都拥有唯一的计算机名和IP地址。IP地址(及其子网掩码)使用与鉴别它所连接的主机和子网,当用户将计算机从一个子网移动到另一个子网的时候,一定要改变该计算机的IP地址。如采用静态IP 地址的分配方法将增加网络管理员的负担,而DHCP可以让用户将DHCP服务器中的IP 地址数据库中的IP 地址动态的分配给局域网中的客户机,从而减轻了网络管理员的负担。用户可以利用Windows 2003 服务器提供的
20、DHCP服务在网络上自动的分配IP地址及相关环境的配工作。在使用DHCP时,整个网络至少有一台Windows 2003 服务器上安装了DHCP服务,其他要使用DHCP功能的工作站也必须设置成利用DHCP获得IP地址。安东石油DHCP动态分配地址将按照以下原则:l 对所有服务器、网络设备、Internet连接和DMZ部分需要IP地址的设备、主机采用静态分配IP地址的方式。l 对局域网接入的计算机,采用DHCP动态IP地址分配的方式。DHCP服务比较耗费系统资源,所以在安装时尽量避免将DHCP服务安装在域控制器中,应使用一台域成员服务器提供DHCP服务。如果资源确实紧张,则建议将DHCP服务安装在
21、备份域控制器中。4 项目实施根据安东石油集团的现状,我们建议整个域管理实施采用三步进行。4.1 总部域管理的建立在第一步中,由于现在安东石油集团公司建立不久,各方面业务正在不断发展中,各部门网络需求还不明确,而且公司的网络正处在建设阶段,所以为了现有网络系统的安全和集中管理,我们建议先在总部建立单域结构,不建立OU,用户直接加入公司域。域示意图如下:图2 安东石油域管理示意图(第一步)4.2 总部域管理的完善等到安东石油总部各部门网络需求明确,职能稳定后便可进行第二步域管理的完善。主要是针对各部门的特殊需求和安全等级建立相应的OU,将部门相应的用户和计算机加入到OU中,对于特定用户还可以建立特定的OU与之对应。使安东石油的域管理整体实现结构化,减少管理员的工作压力,提高域管理的安全等级和工作效率。域示意图如下:图3 安东石油域管理示意图(第二步)4.3 集团整体域管理的建立在新的分公司加入集团后,可进行新的分公司的域规划和集团整体域管理的建立。人员较少的分公司建议在总部域下建立分公司OU,将分公司人员加入到总部的域下,人员较多的分公司建议建立自己的域,并与总部的域相连,建立集团整体的域树结构的域管理。这样即可方便整个集团公司的域管理提高安全等级还会增加整个域管理的效率。域示意图如下:图4 安东石油域管理示意图(第三步)
