本节书摘来自异步社区《Windows Server 2012活动目录管理实践》一书中的第1章,第1.1节,作者: 王淑江 更多章节内容可以访问云栖社区“异步社区”公众号查看。
第 1 章 域概述
Windows Server 2012 AD DS域服务的核心价值是提供一套完整的用户身份验证系统,是一个基础身份验证平台,基于Windows的应用可以很容易实现用户单点登录。本章将通过一个真实的案例介绍域应用和一些需要了解的基本概念。
1.1 真实的案例
1.1.1 案例需求
这是一个真实的案例。案例是这样的:
某企业网络环境中部署300余台电脑(客户端计算机使用Windows XP操作系统),并使用多台服务器,所有计算机(服务器和客户端计算机)都处于工作组环境。企业中部署门户站点和邮件服务后,企业发展动态、会议通知、人力资源调整等管理信息全部通过门户站点和邮件通知,领导层要求员工打开计算机后,做到以下两点。
-自动打开用户的邮件系统(Microsoft Outlook系列)。
-自动打开浏览器(Internet Explorer)并登录到企业的门户站点,以便查看信息。
1.1.2 IT技术部门
IT部门接到任务后,IT部门领导根据计算机分布情况给ITPro(5人)部署任务,要求在5个工作日完成上述任务。
1.处理方法
采取的工作方式:手动方式单台计算机处理。
使用以下方法完成任务要求。
将Microsoft Outlook系列应用程序拖曳到“所有程序”→“启动”菜单下。
将Internet Explorer浏览器的“主页”通过“Internet”选项,设置为企业门户站点。
2.遇到的问题
从工作过程角度审视,ITPro的做法是正确的,确实可以达到领导层的要求。但是在实施过程中遇到以下问题。
-部分员工出差在外,不能完成相关设置工作。
-部分员工具备计算机知识,ITPro设置完成后,立即更改上述设置,需要反复更改,多次强调才能完成任务设置。
3.时间周期
预计完成设置任务需要5个工作日,实际执行时间超过1个月还没有全部完成上述要求的设置。
1.1.3 达到的效果
根据领导层的要求,发布会议通知后相关人员在指定时间指定地点参加会议,但是数次会议之后,缺席人员总是说没有收到会议通知,从企业站点以及邮件中都没有看到,以IT部门技术服务不到位作为托词。
因此领导层决定:强制所有计算机用户打开电脑后完成上述管理任务。
1.1.4 IT技术部门新措施
1.新举措
IT技术部门经过咨询、论证、验证以及测试后,在网络中部署Active Directory服务,结合其他服务完成管理任务。
-网络中的用户统一身份登录。
-Microsoft ISA Server 作为上网行为管理,非域内的用户不能访问Internet。
-部署组策略完成领导提出的管理任务:自动打开Internet Explorer浏览器并访问指定的主页,自动运行Microsoft Outlook应用程序。
-根据部门提供严格的共享文件夹访问机制。
-非管理员不能私自安装软件。
2.实现的效果
部署Active Directory服务后,不仅完成领导交代管理任务,而且以前大量需要手动完成的任务通过策略部署自动完成,甚至操作系统安装都通过“Windows部署服务”实现自主安装,降低ITPro的工作强度和管理难度。域内根据需要部署策略,针对不同的部门完成不同的管理任务。
部署Active Directory服务后,首先实现了领导要求,发布会议通知后相关人员在指定时间指定地点参加会议,不参加会议的借口已经不能成立。然后,通过“策略管理”管理域内的计算机,让管理更上一层楼,将ITPro从繁重的维护工作脱离出来,将大部分精力用于业务流程方面的管理。