首页 > 代码库 > windows 2008 活动目录实施方案

windows 2008 活动目录实施方案

Windows Server 2008活动目录实施方案

1.     用户需求

要求

一:活动目录高可用,实现容灾   

二:客户机成功加入域,限制财务的用户只能登陆到财务的客户机,每周一到周五实现财务部的用户能够成功登陆,其他时间不允许登陆。

三:组策略限制如下:

  1. 1. 限制所有员工桌面背景为1.jpg,为所有用户设置账户锁定策略,输错      两次密码锁定。

       2. 限制行政部员工桌面背景为2.jpg

    3. 限制销售部员工的开始菜单中删除运行图标,删除桌面的计算机图标        4.为所有客户端自动安装MSI软件主策略设置

  1. 5. 以上设置针对销售BOSS无效

四:活动目录数据库要求定期备份

2.     活动目录拓扑结构

wKioL1QqIMzzv7NHAAFDAz73jlo373.jpg


3.     系统的安装

3.1.  windows services 2008的安装

    3.1.1windows2008的特点

      一、为保证系统的稳定性,易用性,选用安装两台WindowsR2 2008

         WindowsR22008相对于以前的服务系统的新特点:

       1.       服务器核心(Server Core

       2.       WindowsPowerShell

       3.       IIS7.0

       4.       虚拟化WSv

       5.       只读域控制器RODC

       6.       Windows防火墙高级安全功能

       7.       服务器管理器

    3.1.2系统安装准备

     安装Windows Server 2008的计算机必须符合一定的硬件要求,如最低配置CPUPentium 32位系统 1GHz,内存512MB,硬盘空间10GB。但为了使Windows Server 2008能达到合理的性能要求,建议使用如下配置要求以上的计算机:

    CPUPentium 32位系统 2GHz

    内存:2GHz

    硬盘:40GB剩余磁盘空间

3.1.3安装截图

 图一、进入安装界面

wKioL1QqPu6BMr0BAAEQCEj7vtw920.jpg

进入安装界面

wKiom1QqPwPTB1H-AADoqsWEMvI820.jpg

选择自定义安装

wKioL1QqPzLiPxcXAACM4WE0FsA660.jpg

安装进程

wKiom1QqPwbz9VJuAAB9Hyo2Ycg564.jpg

登陆界面


3.2.1  windows services 2008的安装注意事项

安装要求:

组件要求
处理器

      最低: 1Ghz

      推荐: 2Ghz

      最佳: 3Ghz或更快 
内存

      最低: 512MB RAM

      推荐: 1GB RAM

      最佳: 2GB RAM (Full) or 1GB RAM (Server Core)或更多

      最大(32-bit): 4GB (标准版) or 64GB (企业和Datacenter)

  最大 (64-bit): 32GB (标准版) or 2TB (企业、DatacenterItanium版本 
磁盘可用空间

      最低: 8GB

      推荐: 40GB (Full); 10GB (Core)

 最佳: 80GB (Full); 40GB (Core)
光驱
  DVD-ROM
显示和外部设备

      超级VGA (800 x 600)或更高分辨率的显示器

      键盘

    Microsoft鼠标或兼容的点设备 

4.     系统的配置

4.1.  防火墙的设置

    4.1.1查看防火墙状态

图五、为保证windows2008服务器的安全,一定要保证防火墙存于开启状态。

wKioL1QqQ53yW84OAAFUl3jpvKU386.jpg

查看防火墙状态

    4.1.2添加防火墙的应用安全规则

图六、为一些可信的端口或程序添加入站规则

wKiom1QqQ3LBgKbZAAD41I9yJrI042.jpg

6、添加防火墙规则

4.2  网路的配置

为保障服务器的稳定,PDCBDC必须是静态IP,且要在一个网段,(另外BDC的首选DNSPDCIP

7、配置服务器IP

wKioL1QqQ6CACc9YAAFCybewD6s405.jpg

8、配置服务器IP

4.3  服务角色的安装

4.3.1.windows service R2 2008的角色

WindowsServer 2008作为一种网络操作系统,能提供各种网络服务,其中的一些服务器角色包括:

1)文件和打印服务器;

2Web服务器和Web应用程序服务器;

3)邮件服务器;

4)流媒体服务器

5)远程访问/虚拟专用网络(VPN)服务器;

6)目录服务器;

7)域名系统(DNS);

8)动态主机配置协议(DHCP)服务器;

9)证书服务;

wKiom1QqQ3ThngHUAAEQr0Vx3MM589.jpg

9windows 2008的一些角色服务

5.     活动目录的介绍

5.1.  活动目录的优点

活动目录的优点

1.集中管理

2.便捷的网络资源访问

3.可扩展性

  5.2.域中活动目录特点介绍

域中活动目录的特点

  1. 1.集中管理

  2. 2.便捷的网络资源访问

用户一次登录就可访问整个网络资源

网络资源主要包含用户账户、组、共享文件夹、打印机等

  1. 3.可扩展性

  2. 4.域中账户密码保存在域控制器上的活动目录中,

 

域需要dns的支持,dns的作用将域名转换成ip地址

DC通过活动目录来提供目录服务,如负责维护AD数据库,审核用户的账户和密码是否正确等。DC是物理上的一台计算机,而活动目录是运行在DC上的一种服务。

活动目录不是一个普通的文件目录,而是一个目录数据库,它存储着整个windows网络中的用户账号、组、计算机、共享文件夹等活动目录对象的相关数据。目录数据库使整个Windows网络中的配置信息集中存储,使管理员在管理网络时可以集中管理而不是分散管理。

活动目录是一种服务,是指目录数据库所存储的信息都是经过事先整理的有组织、结构化的数据信息,这使得用户可以非常方便、快速的找到所需数据,也可以方便的对活动目录中的数据执行添加、删除、修改、查询等操作,所以说,活动目录也是一种服务。

6.     活动目录安装

windows services R2 2008中安装活动目录的条件:DNS、管理员身份,静态Ip。同时在安装BDC的活动目录时DNSIPPDCIP

以管理员的身份运行:dcpromo.exe

wKioL1QqQ6DQ-B3sAADUS8y2CuQ292.jpg

10、安装活动目录

注意:BDC再创建时选“现有林中的向现有域中添加控制器”

wKiom1QqQ3WxjZZDAAC8wGeVUq4336.jpg

11、命名根域

wKioL1QqQ6CBj0ctAAD1S_sp4r0095.jpg

12、检查DNS配置

wKiom1QqQ3Xi_A0oAAEwzVGv-n8185.jpg

13、活动目录数据库的位置,日志与sysvol文件夹(保持默认)

wKioL1QqQ6GR35a1AADvqForHVs517.jpg

14、设置目录还原密码(牢记)

注意:目录服务还原模式的密码,使用于当AD数据库毁损时,可在开机启动Windows Server 2008之前按F8,进入目录服务还原模式,重建AD数据库。

wKiom1QqQ3aAro90AAEdgd70Q-Q639.jpg

15、安装域控制器

wKiom1QqQ3axlf23AACjqLbykAM065.jpg

16、以管理员登陆域

6.  活动目录的安装注意事项

注意事项:

1.具体来说,建立第1个域就是要建立第1部域控制器(Domain Controller,以下简称为DC)在网络中也是根域。

2.目录服务还原模式的密码,使用于当AD数据库毁损时,可在开机启动Windows Server 2008之前按F8,进入目录服务还原模式,重建AD数据库。

3.由于此重建动作会改变既有的AD资料,为防止滥用,因此必须以密码保护,而且此密码不必和域系统管理员的密码相同。

 

7.     活动目录的配置

7.1.  用户属性设置

根据客户要求,域的组策略设置可以参照拓扑图

(客户要求:客户机成功加入域,限制财务的用户只能登陆到财务的客户机,每周一到周五实现财务部的用户能够成功登陆,其他时间不允许登陆)

 

wKioL1QqQ6GhZ49AAACLSxDblkw210.jpg


wKioL1QqQ6LCccR2AAGtD8Zeq0E863.jpg

17、设置用户登录时间

wKiom1QqQ3bAo_WKAAFTVnYgmac863.jpg

18、设置用户登录到指定电脑

1.1.  主组策略和OU的组策略设置

由于在域创建时系统会默认一个策略,为了明确管理员对域的组策略的设置最好新建一个域控制器(GPO

【客户需求:组策略限制如下:

  1. 1. 限制所有员工桌面背景为1.jpg,为所有用户设置账户锁定策略,输错      两次密码锁定。

       2. 限制行政部员工桌面背景为2.jpg

    3. 限制销售部员工的开始菜单中删除运行图标,删除桌面的计算机图标        4.为所有客户端自动安装MSI软件主策略设置

  1. 5. 以上设置针对销售BOSS无效

解决方案:主策略对所有员工,对销售和行政创建个OU,对OU创建一个子策略

     另外对销售boss做两次筛选,使其不受子策略和主策略的影响

wKioL1QqQ6LDE-UDAAFsYkfIyNw465.jpg

19、主策略设置桌面背景

wKiom1QqQ3fhWjvvAAComaAfPvA579.jpg

20、设置用户密码登录阈值

wKioL1QqQ6LiVDd8AAEGAqIya8E335.jpg

21、对销售禁用运行

wKiom1QqQ3fhmO8yAAFbbuRajdw516.jpg

21、设置行政桌面背景

wKioL1QqQ6Phy0d6AAFfN6w8-a4999.jpg

22、对xsboss进行第一次子域筛选

wKiom1QqQ3fjJsNCAAFRwAJmjdU831.jpg

23、第二次对xsboss进行筛选

8.     数据的备份

  8.1.  对DC数据备份

PDCBDC的正常工作,数据对PDCBDC至关重要,因此,在做额外控制域的同时,要把数据备份到数据库中,

DC的功能总共分为两个部分:

一、数据库:存放用户信息。

二、服务:数据校队,数据访问。

项目总结

这个项目是适用于企业OA系统下的微机管理,有利于节省管理资源,便于企业提高微机利用率。


本文出自 “陈州-菜鸟之路” 博客,请务必保留此出处http://chenzhou312.blog.51cto.com/8139578/1559733

windows 2008 活动目录实施方案