AD部署实施方案.docx

天津光大永明人寿保险公司Windows2000活动目录部署实施方案2003年2月12日总部的实施域控制器的安装与设置在这一步,主要是实现基本的活动目录架构,并创建相关用户帐号,具体步骤如下:首先在准备作为域控制器的两台计算机上安装Windows2000Server操作系统,在此先假定两台计算机的名称为DC1和DC2,实际名称由客户确定;配置DC1和DC2的网络,使其网络通信正常,并配置正确的DNS选项;在DC1上使用ActiveDirectory安装向导()创建新的活动目录域,(建议的域名);域中的另一台域控制器;为总部下属的人力资源、财务、IT等部门和各职场创建对应的OU;为总部用户在用户所属组织机构对应的OU中创建用户帐号,并限制用户只能登录到指定的计算机;把结构操作主机(InfrestructureMaster)转移到DC2上。DHCP服务器的安装和设置在这一步,将要安装并配置DHCP服务器,具体步骤如下:安装一台新的Windows2000服务器,命名为Dhcpsrv。如果没有新的服务器可用,则用DC2作为DHCP服务器;设置计算机Dhcpsrv(或DC2)的网络连接,使其网络通信正常,并配置正确的DNS选项;在计算机Dhcpsrv(或DC2)上安装DHCP服务,并为对应的子网创建相关的作用域(地址范围);配置相关的作用域选项,并激活所有的作用域;在活动目录中授权DHCP服务器。客户端的配置在这一步,域中,具体步骤如下:配置路由器作为该网络段的DHCP中继代理;配置客户计算机的网络连接,使其自动获得IP地址及相关选项;将计算机加入到域中;配置保留原有用户的桌面设置。安全策略的实施在这一步,域中实施相关的安全策略,设置的内容有:限制在域控制器上登录的用户;设置好共享文件夹和应用程序的使用权限;在域控制器及其他重要的计算机上启用审核策略,对用户的访问情况进行跟踪;在域控制器上停止或删除不必要的网络服务(如IIS服务);Guest帐号不能启用。设置帐号策略,包括帐号口令的最小长度、口令复杂性、口令的最长使用期限、口令历史等项;设置复杂的管理员帐号(Administrator)的密码职场的实施域控制器的安装与设置在这一步,主要是实现职场的活动目录架构,并创建相关用户帐号,以职场一为例,具体步骤如下:首先在准备作为域控制器的计算机上安装Windows2000Server操作系统,命名为zhichang1DC1;配置zhichang1DC1的网络,使其网络通信正常,并配置正确的DNS选项;域中的另一台域控制器;在职场对应的OU中创建用户帐号,并限制用户只能登录到指定的计算机;在zhichang1DC1上安装DNS服务并配置DNS区域,域;设置zhichang1DC1为GC。客户端的配置在这一步,中,具体步骤如下:配置路由器作为该职场的DHCP中继代理;配置客户计算机的网络连接,使其自动获得IP地址及相关选项;将计算机加入到域中;配置保留原有用户的桌面设置。安全策略的实施在这一步,和职场OU中实施相关的安全策略,设置的内容有:限制在域控制器上登录的用户;设置好共享文件夹和应用程序的使用权限;在域控制器及其他重要的计算机上启用审核策略,对用户的访问情况进行跟踪;在域控制器上停止或删除不必要的网络服务(如IIS服务);活动目录物理结构的配置活动目录物理结构的调整主要在总部实施,所要做的工作有:为每个职场建立站点为每个站点建立子网在每个站点中设置授权服务器创建并设置站点间连接需要协调的事情DHCP服务器是否安装在域控制器上;总部和各职场域控制器的命名问题。部署ISA对用户基于WEB的流量进行认证将现有的CISCOPIX的INBOUND和OUTBOUND进行调换,重新根据需求配置PIX的访问规则,实现两个目的:开放DC之间通讯应开放的端口;开放DHCP流量(UDP67,68);各职场客户机访问总部服务器资源的限制;各职场客户机访问互联网资源的限制。在现有的Checkpoint防火墙之后,部署一台加入到域的Windows2000服务器,并在其上安装ISAServer2000为Cache模式。配置对HTTP,HTTPS和FTP的通讯进行域身份认证。实现对HTTP、HTTPS、FTP三种协议的代理功能;实现对域身份的认证;实现对各职场客户机访问互联网资源的限制。在现有的Checkpoint防火墙之上调整访问规则。调整原有规则,满足总部的需求;允许ISA主机和其他必要的主机使用HTTP,HTTPS和FTP外出访问。在外部各职场的客户机上配置IE浏览器的代理为ISA。注:对Checkpoint和PIX的配置由原集成商完成,我公司负责ISA的安装配置。时间安排时间工作任务备注第一个工作日上午总部第一台DC的安装;总部第二台DC