前言
由于 Windows 網絡系統架構在企業應用中的普及,企業會面臨大量客戶端及服務器的統一安全管理;AD域的規劃架構需要根據企業現有的網絡規模布局和IT管理制度,以適應企業當前和長遠的發展需求,有效地保護用戶的資料,減少用戶的風險。
針對整個公司的域架構規劃和實施,前期需要先完成企業域規劃及部署;實現公司統一的目錄服務管理,統一的企業用戶信息、安全策略。
Windows 網絡架構客戶端默認均屬于工作組的辦公環境,所有的用戶賬號均保存在本地客戶端上,網絡共享數據時只能允許所有人everyone 查看的權限,數據共享及網絡安全存在較多的風險。Windows 域架構管理模式可以解決眾多網絡安全性問題,域環境下可以輕易實現網絡用戶賬號的集中管理,規范客戶端密碼長度和復雜性;在域環境下,可以實現所有客戶端系統的補丁自動更新,有效提高服務器及桌面系統的安全性。
在 Windows AD域的辦公環境下,并不會太多改變原有的客戶端工作組下的辦公習慣;域賬號登陸默認緩存功能,用戶離開公司網絡,同樣可以使用域用戶賬號在本機登陸,不會改變原有工作組的工作習慣。
另外企業應用系統中,很多應用系統是基于微軟的 AD架構,如MS Cluster集群高可用系統、Exchange 郵件系統、OCS及時通訊系統、MOSS 企業門戶網站協作系統等等;所以AD域的架構管理不但可以方便企業內部安全管理,還為以后的企業應用擴展提供了系統基礎。
工作組環境下企業IT面臨的挑戰
?身份管理
·大量的用戶登錄名和目錄
·不牢固的密碼
·安全訪問網絡和應用資源
·增加的桌面系統維護費用
?服務器和桌面電腦管理
·如何統一管理服務器和桌面系統安全策略
·如何統一管理桌面系統的應用
·如何保持所有系統安全補丁升級到最新
域架構的應用給企業管理帶來的優勢
?提高 IT運行效率
·Windows的管理效率提高30%
·集中管理服務器和桌面系統
·減少目錄帳戶和密碼的數量
?對用戶實施權限管理
·劃分不同級別的權限來進行用戶管理
·限制低級別用戶訪問高級別用戶的相關資源
·拒絕未經授權的用戶訪問域內資源
?增強的網絡安全
·強制用戶使用復雜的密碼
·通過域的安全邊界,實現域內資源的保護,增強企業網絡的安全性
·通過域的安全更新策略,實現 MS WSUS 統一更新域內的所有計算機客戶端的系統安全補丁
·通過對域內資源的權限設置和統一安全策略的制定,減少安全隱患的產生
·單一管理對網絡資源的訪問
?提高信息工作者生產力
·快速找到需要的各種資源;
·實現單點登錄
·能提高員工的協作能力
域架構設計原則
在進行總體框架設計時,考慮到公司的現有網絡架構及公司管理體系,微軟在AD域設計方面推薦遵循以下原則:
?穩定性
在系統結構設計上要充分考慮到系統運行的穩定性。系統平臺方面要考慮各種系統配置對穩定性的影響,系統必須經過嚴格的測試,包括功能測試、在各種系統環境或系統配置上的測試等,確保系統在多種設備環境上能夠穩定運行。必要時,可以建立管理中心,通過遠程管理、監控手段與本地系統管理相結合的方式,保證系統的穩定、可靠。
?易管理
系統平臺的管理要盡量簡單,盡量少地使用戶涉及到系統平臺的管理工作,必要的管理任務也要提供相應的培訓、幫助資料甚至操作引導界面來幫助用戶順利地完成工作。信息交換系統的管理在設計時也要考慮到易管理性方面的要求,通過操作引導界面輔助用戶完成所需的數據交換的管理工作。
?易維護
系統的結構設計要易于維護,組成系統的功能元素要具有一定的獨立性,可以根據用戶的需要進行替換而不影響或很少影響其他功能元素,并能夠與其他功能元素協作共同完成用戶的功能。
?易擴展
系統無論是在業務功能上,還是在信息的交換規范上都應當易于擴展,以便適應今后業務的發展。
?易用性
系統的操作應盡量簡單,對操作提示、錯誤報告、監控信息反饋等要全面、詳細,真正做到易學、易用、易培訓。
?安全性
使用系統平臺的相關安全設置以及應用系統的安全性實現,實現整個系統的安全性。確保系統不被非授權用戶侵入,數據不丟失,確認發送者和接收者的身份,保證傳輸數據不被非法獲取、篡改等。
?統一性
各級系統的建設要遵循統一的要求進行,在平臺、應用系統、應用策略、安全管理等方面保持一致,提供統一的用戶體驗,保證系統內部數據傳輸服務的可靠性。
公司域架構規劃
域架構部署規劃
域結構設計是活動目錄中最重要,它既要盡可能貼近用戶的管理模式和組織結構,也要考慮網絡情況及今后的各種變化。我們依據微軟活動目錄結構的設計原則,用最簡單的結構來滿足客戶的管理需求。在域的管理架構 OU組織單位設計上基于公司的管理模式而不是公司的組織結構圖。
以下是單域結構相對于其他結構的優點:
·集中管理整個公司的安全策略 ;
·集中管理整個公司的組策略 ;
·完全利用組織單元反映公司的管理結構 ;
·當公司機構重組時可以非常靈活的進行調整 ;
·當資源和用戶需要在組織機構內遷移時可以非常靈活的調整 ;
·相對其它方案,可以使用較少的域控制器 ;
·簡單的名字空間設計 – 只需要1個DNS名字后綴 ;
·用戶在查找 AD內的信息時相對簡單 ;
·單一的組策略更容易實施。
單域模型是首選的模型:
·用戶永遠不需要在多個域之間移動。
·不需要跨越多個域的重復組策略設置。
·整個企業內實施統一的安全規范;
·任何域控制器都可以處理任何用戶處理的身份驗證。
公司的整個域架構采用單域模式,部署一臺 AD域服務器,實現對所有用戶信息的統一管理和身份的驗證。
活動目錄的建設目標是,更新目前客戶使用的活動目錄,為全公司的工作人員提供統一的目錄服務。使得活動目錄可以達到如下的目標:將企業的安全性集成到 Active Directory 中,基于策略的管理模式減輕了最為復雜的企業網絡管理。企業IT可管理整個網絡中的服務器及客戶端訪問資源,只有獲得授權的網絡用戶可訪問網絡上指定的資源。
通過 OU、GPO和用戶組實現域安全的管理
企業的 AD域架構及服務器部署完成以后,在域管理上,我們利用域的組織單元OU進行企業管理架構的設計及進行企業管理策略的分配。在OU組織單位設計上我們基于公司的管理模式而不按 照公司的組織結構進行設置。
OU組織單元的設計將遵循的原則:
·反映企業內部的組織結構
·反映企業機密程度需求
·有利于通過組策略進行細化的終端管理
·OU作為域的基本管理單元,在域內,管理員可以按照不同的OU組織單元運用不同級別的組策略安全設置。通過組策略應用的安全更改類型包括:
·修改文件系統的權限
·修改注冊表對象的權限
·更改注冊表中的設置
·更改用戶權限分配
·配置系統服務
·配置審核和事件日志
·設置帳戶和密碼策略
·配置桌面系統環境等等
在域內我們可以方便的利用域用戶、用戶組設置公司文件服務器的訪問權限控制,以及控制網絡共享文件夾的磁盤配額和文件存儲類型。用戶組作為域中具有相同權限用戶的集合,我們可以簡化文件訪問權限的設定和管理。
為確保只有授權用戶可以訪問企業文件夾中的數據,我們可以針對文件夾進行權限設置。共享權限僅應用于通過網絡訪問資源的用戶。安全權限應用于本地訪問文件夾的權限;兩者共同設定取兩者最嚴格的權限。通過共享權限設定如下:
| 共享權限 | 注釋 |
| 所有用戶有只讀訪問權限 | 可以設置將所有訪問權限都限制為只讀的 |
| 使用自定義共享和文件夾權限 | 如果您希望對指定用戶或組授予或拒絕訪問權限,請單擊該選項。應指派限制性最強但又允許用戶執行必要功能的權限。 |
通過對域用戶的有效權限審核,我們可以將客戶端及用戶數據的信息數據進行統一的管理,提高企業內部網絡訪問的安全性,實現 IT架構有效的集中管理。
