Windows Server 2008活動目錄實施方案
1. 用戶需求
要求
一:活動目錄高可用,實現容災
二:客戶機成功加入域,限制財務的用戶只能登陸到財務的客戶機,每週一到週五實現財務部的用戶能夠成功登陸,其他時間不允許登陸。
三:組策略限制如下:
1. 限制所有員工桌面背景爲1.jpg,爲所有用戶設置賬戶鎖定策略,輸錯 兩次密碼鎖定。
2. 限制行政部員工桌面背景爲2.jpg
3. 限制銷售部員工的開始菜單中刪除運行圖標,刪除桌面的計算機圖標 4.爲所有客戶端自動安裝MSI軟件主策略設置
5. 以上設置針對銷售BOSS無效
四:活動目錄數據庫要求定期備份
2. 活動目錄拓撲結構
3. 系統的安裝
3.1. windows services 2008的安裝
3.1.1windows2008的特點
一、爲保證系統的穩定性,易用性,選用安裝兩臺WindowsR2 2008,
WindowsR22008相對於以前的服務系統的新特點:
1. 服務器核心(Server Core)
2. WindowsPowerShell
3. IIS7.0
4. 虛擬化(WSv)
5. 只讀域控制器(RODC)
6. Windows防火牆高級安全功能
7. 服務器管理器
3.1.2系統安裝準備
安裝Windows Server 2008的計算機必須符合一定的硬件要求,如最低配置CPU爲Pentium 32位系統 1GHz,內存512MB,硬盤空間10GB。但爲了使Windows Server 2008能達到合理的性能要求,建議使用如下配置要求以上的計算機:
CPU:Pentium 32位系統 2GHz
內存:2GHz
硬盤:40GB剩餘磁盤空間
3.1.3安裝截圖
圖一、進入安裝界面
進入安裝界面
選擇自定義安裝
安裝進程
登陸界面
3.2.1 windows services 2008的安裝注意事項
安裝要求:
組件 | 要求 |
處理器 | 最低: 1Ghz 推薦: 2Ghz 最佳: 3Ghz或更快 |
內存 | 最低: 512MB RAM 推薦: 1GB RAM 最佳: 2GB RAM (Full) or 1GB RAM (Server Core)或更多 最大(32-bit): 4GB (標準版) or 64GB (企業和Datacenter版) 最大 (64-bit): 32GB (標準版) or 2TB (企業、Datacenter和Itanium版本 |
磁盤可用空間 | 最低: 8GB 推薦: 40GB (Full); 10GB (Core) 最佳: 80GB (Full); 40GB (Core) |
光驅 | DVD-ROM |
顯示和外部設備 | 超級VGA (800 x 600)或更高分辨率的顯示器 鍵盤 Microsoft鼠標或兼容的點設備 |
4. 系統的配置
4.1. 防火牆的設置
4.1.1查看防火牆狀態
圖五、爲保證windows2008服務器的安全,一定要保證防火牆存於開啓狀態。
查看防火牆狀態
4.1.2添加防火牆的應用安全規則
圖六、爲一些可信的端口或程序添加入站規則
圖6、添加防火牆規則
4.2 網路的配置
爲保障服務器的穩定,PDC和BDC必須是靜態IP,且要在一個網段,(另外BDC的首選DNS爲PDC的IP)
圖7、配置服務器IP
圖8、配置服務器IP
4.3 服務角色的安裝
4.3.1.windows service R2 2008的角色
WindowsServer 2008作爲一種網絡操作系統,能提供各種網絡服務,其中的一些服務器角色包括:
(1)文件和打印服務器;
(2)Web服務器和Web應用程序服務器;
(3)郵件服務器;
(4)流媒體服務器
(5)遠程訪問/虛擬專用網絡(***)服務器;
(6)目錄服務器;
(7)域名系統(DNS);
(8)動態主機配置協議(DHCP)服務器;
(9)證書服務;
圖9、windows 2008的一些角色服務
5. 活動目錄的介紹
5.1. 活動目錄的優點
活動目錄的優點
1.集中管理
2.便捷的網絡資源訪問
3.可擴展性
5.2.域中活動目錄特點介紹
域中活動目錄的特點
1.集中管理
2.便捷的網絡資源訪問
用戶一次登錄就可訪問整個網絡資源
網絡資源主要包含用戶賬戶、組、共享文件夾、打印機等
3.可擴展性
4.域中賬戶密碼保存在域控制器上的活動目錄中,
域需要dns的支持,dns的作用將域名轉換成ip地址
DC通過活動目錄來提供目錄服務,如負責維護AD數據庫,審覈用戶的賬戶和密碼是否正確等。DC是物理上的一臺計算機,而活動目錄是運行在DC上的一種服務。
活動目錄不是一個普通的文件目錄,而是一個目錄數據庫,它存儲着整個windows網絡中的用戶賬號、組、計算機、共享文件夾等活動目錄對象的相關數據。目錄數據庫使整個Windows網絡中的配置信息集中存儲,使管理員在管理網絡時可以集中管理而不是分散管理。
活動目錄是一種服務,是指目錄數據庫所存儲的信息都是經過事先整理的有組織、結構化的數據信息,這使得用戶可以非常方便、快速的找到所需數據,也可以方便的對活動目錄中的數據執行添加、刪除、修改、查詢等操作,所以說,活動目錄也是一種服務。
6. 活動目錄安裝
在windows services R2 2008中安裝活動目錄的條件:DNS、管理員身份,靜態Ip。同時在安裝BDC的活動目錄時DNS的IP爲PDC的IP。
以管理員的身份運行:dcpromo.exe
圖10、安裝活動目錄
注意:BDC再創建時選“現有林中的向現有域中添加控制器”
圖11、命名根域
圖12、檢查DNS配置
圖13、活動目錄數據庫的位置,日誌與sysvol文件夾(保持默認)
圖14、設置目錄還原密碼(牢記)
注意:目錄服務還原模式的密碼,使用於當AD數據庫毀損時,可在開機啓動Windows Server 2008之前按F8鍵,進入目錄服務還原模式,重建AD數據庫。
圖15、安裝域控制器
圖16、以管理員登陸域
6. 活動目錄的安裝注意事項
注意事項:
1.具體來說,建立第1個域就是要建立第1部域控制器(Domain Controller,以下簡稱爲DC)在網絡中也是根域。
2.目錄服務還原模式的密碼,使用於當AD數據庫毀損時,可在開機啓動Windows Server 2008之前按F8鍵,進入目錄服務還原模式,重建AD數據庫。
3.由於此重建動作會改變既有的AD資料,爲防止濫用,因此必須以密碼保護,而且此密碼不必和域系統管理員的密碼相同。
7. 活動目錄的配置
7.1. 用戶屬性設置
根據客戶要求,域的組策略設置可以參照拓撲圖
(客戶要求:客戶機成功加入域,限制財務的用戶只能登陸到財務的客戶機,每週一到週五實現財務部的用戶能夠成功登陸,其他時間不允許登陸)
圖17、設置用戶登錄時間
圖18、設置用戶登錄到指定電腦
1.1. 主組策略和OU的組策略設置
由於在域創建時系統會默認一個策略,爲了明確管理員對域的組策略的設置最好新建一個域控制器(GPO),
【客戶需求:組策略限制如下:
1. 限制所有員工桌面背景爲1.jpg,爲所有用戶設置賬戶鎖定策略,輸錯 兩次密碼鎖定。
2. 限制行政部員工桌面背景爲2.jpg
3. 限制銷售部員工的開始菜單中刪除運行圖標,刪除桌面的計算機圖標 4.爲所有客戶端自動安裝MSI軟件主策略設置
5. 以上設置針對銷售BOSS無效】
解決方案:主策略對所有員工,對銷售和行政創建個OU,對OU創建一個子策略
另外對銷售boss做兩次篩選,使其不受子策略和主策略的影響
圖19、主策略設置桌面背景
圖20、設置用戶密碼登錄閾值
圖21、對銷售禁用運行
圖21、設置行政桌面背景
圖22、對xsboss進行第一次子域篩選
圖23、第二次對xsboss進行篩選
8. 數據的備份
8.1. 對DC數據備份
爲PDC和BDC的正常工作,數據對PDC和BDC至關重要,因此,在做額外控制域的同時,要把數據備份到數據庫中,
DC的功能總共分爲兩個部分:
一、數據庫:存放用戶信息。
二、服務:數據校隊,數據訪問。
項目總結
這個項目是適用於企業OA系統下的微機管理,有利於節省管理資源,便於企業提高微機利用率。