Windows Server 2008活动目录实施方案
1. 用户需求
要求
一:活动目录高可用,实现容灾
二:客户机成功加入域,限制财务的用户只能登陆到财务的客户机,每周一到周五实现财务部的用户能够成功登陆,其他时间不允许登陆。
三:组策略限制如下:
1. 限制所有员工桌面背景为1.jpg,为所有用户设置账户锁定策略,输错 两次密码锁定。
2. 限制行政部员工桌面背景为2.jpg
3. 限制销售部员工的开始菜单中删除运行图标,删除桌面的计算机图标 4.为所有客户端自动安装MSI软件主策略设置
5. 以上设置针对销售BOSS无效
四:活动目录数据库要求定期备份
2. 活动目录拓扑结构
3. 系统的安装
3.1. windows services 2008的安装
3.1.1windows2008的特点
一、为保证系统的稳定性,易用性,选用安装两台WindowsR2 2008,
WindowsR22008相对于以前的服务系统的新特点:
1. 服务器核心(Server Core)
2. WindowsPowerShell
3. IIS7.0
4. 虚拟化(WSv)
5. 只读域控制器(RODC)
6. Windows防火墙高级安全功能
7. 服务器管理器
3.1.2系统安装准备
安装Windows Server 2008的计算机必须符合一定的硬件要求,如最低配置CPU为Pentium 32位系统 1GHz,内存512MB,硬盘空间10GB。但为了使Windows Server 2008能达到合理的性能要求,建议使用如下配置要求以上的计算机:
CPU:Pentium 32位系统 2GHz
内存:2GHz
硬盘:40GB剩余磁盘空间
3.1.3安装截图
图一、进入安装界面
进入安装界面
选择自定义安装
安装进程
登陆界面
3.2.1 windows services 2008的安装注意事项
安装要求:
| 组件 | 要求 |
| 处理器 |
最低: 1Ghz 推荐: 2Ghz 最佳: 3Ghz或更快 |
| 内存 |
最低: 512MB RAM 推荐: 1GB RAM 最佳: 2GB RAM (Full) or 1GB RAM (Server Core)或更多 最大(32-bit): 4GB (标准版) or 64GB (企业和Datacenter版) 最大 (64-bit): 32GB (标准版) or 2TB (企业、Datacenter和Itanium版本 |
| 磁盘可用空间 |
最低: 8GB 推荐: 40GB (Full); 10GB (Core) 最佳: 80GB (Full); 40GB (Core) |
| 光驱 |
DVD-ROM |
| 显示和外部设备 |
超级VGA (800 x 600)或更高分辨率的显示器 键盘 Microsoft鼠标或兼容的点设备 |
4. 系统的配置
4.1. 防火墙的设置
4.1.1查看防火墙状态
图五、为保证windows2008服务器的安全,一定要保证防火墙存于开启状态。
查看防火墙状态
4.1.2添加防火墙的应用安全规则
图六、为一些可信的端口或程序添加入站规则
图6、添加防火墙规则
4.2 网路的配置
为保障服务器的稳定,PDC和BDC必须是静态IP,且要在一个网段,(另外BDC的首选DNS为PDC的IP)
图7、配置服务器IP
图8、配置服务器IP
4.3 服务角色的安装
4.3.1.windows service R2 2008的角色
WindowsServer 2008作为一种网络操作系统,能提供各种网络服务,其中的一些服务器角色包括:
(1)文件和打印服务器;
(2)Web服务器和Web应用程序服务器;
(3)邮件服务器;
(4)流媒体服务器
(5)远程访问/虚拟专用网络(VPN)服务器;
(6)目录服务器;
(7)域名系统(DNS);
(8)动态主机配置协议(DHCP)服务器;
(9)证书服务;
图9、windows 2008的一些角色服务
5. 活动目录的介绍
5.1. 活动目录的优点
活动目录的优点
1.集中管理
2.便捷的网络资源访问
3.可扩展性
5.2.域中活动目录特点介绍
域中活动目录的特点
1.集中管理
2.便捷的网络资源访问
用户一次登录就可访问整个网络资源
网络资源主要包含用户账户、组、共享文件夹、打印机等
3.可扩展性
4.域中账户密码保存在域控制器上的活动目录中,
域需要dns的支持,dns的作用将域名转换成ip地址
DC通过活动目录来提供目录服务,如负责维护AD数据库,审核用户的账户和密码是否正确等。DC是物理上的一台计算机,而活动目录是运行在DC上的一种服务。
活动目录不是一个普通的文件目录,而是一个目录数据库,它存储着整个windows网络中的用户账号、组、计算机、共享文件夹等活动目录对象的相关数据。目录数据库使整个Windows网络中的配置信息集中存储,使管理员在管理网络时可以集中管理而不是分散管理。
活动目录是一种服务,是指目录数据库所存储的信息都是经过事先整理的有组织、结构化的数据信息,这使得用户可以非常方便、快速的找到所需数据,也可以方便的对活动目录中的数据执行添加、删除、修改、查询等操作,所以说,活动目录也是一种服务。
6. 活动目录安装
在windows services R2 2008中安装活动目录的条件:DNS、管理员身份,静态Ip。同时在安装BDC的活动目录时DNS的IP为PDC的IP。
以管理员的身份运行:dcpromo.exe
图10、安装活动目录
注意:BDC再创建时选“现有林中的向现有域中添加控制器”
图11、命名根域
图12、检查DNS配置
图13、活动目录数据库的位置,日志与sysvol文件夹(保持默认)
图14、设置目录还原密码(牢记)
注意:目录服务还原模式的密码,使用于当AD数据库毁损时,可在开机启动Windows Server 2008之前按F8键,进入目录服务还原模式,重建AD数据库。
图15、安装域控制器
图16、以管理员登陆域
6. 活动目录的安装注意事项
注意事项:
1.具体来说,建立第1个域就是要建立第1部域控制器(Domain Controller,以下简称为DC)在网络中也是根域。
2.目录服务还原模式的密码,使用于当AD数据库毁损时,可在开机启动Windows Server 2008之前按F8键,进入目录服务还原模式,重建AD数据库。
3.由于此重建动作会改变既有的AD资料,为防止滥用,因此必须以密码保护,而且此密码不必和域系统管理员的密码相同。
7. 活动目录的配置
7.1. 用户属性设置
根据客户要求,域的组策略设置可以参照拓扑图
(客户要求:客户机成功加入域,限制财务的用户只能登陆到财务的客户机,每周一到周五实现财务部的用户能够成功登陆,其他时间不允许登陆)
图17、设置用户登录时间
图18、设置用户登录到指定电脑
1.1. 主组策略和OU的组策略设置
由于在域创建时系统会默认一个策略,为了明确管理员对域的组策略的设置最好新建一个域控制器(GPO),
【客户需求:组策略限制如下:
1. 限制所有员工桌面背景为1.jpg,为所有用户设置账户锁定策略,输错 两次密码锁定。
2. 限制行政部员工桌面背景为2.jpg
3. 限制销售部员工的开始菜单中删除运行图标,删除桌面的计算机图标 4.为所有客户端自动安装MSI软件主策略设置
5. 以上设置针对销售BOSS无效】
解决方案:主策略对所有员工,对销售和行政创建个OU,对OU创建一个子策略
另外对销售boss做两次筛选,使其不受子策略和主策略的影响
图19、主策略设置桌面背景
图20、设置用户密码登录阈值
图21、对销售禁用运行
图21、设置行政桌面背景
图22、对xsboss进行第一次子域筛选
图23、第二次对xsboss进行筛选
8. 数据的备份
8.1. 对DC数据备份
为PDC和BDC的正常工作,数据对PDC和BDC至关重要,因此,在做额外控制域的同时,要把数据备份到数据库中,
DC的功能总共分为两个部分:
一、数据库:存放用户信息。
二、服务:数据校队,数据访问。
项目总结
这个项目是适用于企业OA系统下的微机管理,有利于节省管理资源,便于企业提高微机利用率。
本文出自 “陈州-菜鸟之路” 博客,请务必保留此出处http://chenzhou312.blog.51cto.com/8139578/1559733