中小型活動目錄設計實例

1.0 ：公司概況
公司簡單介紹：
Xx公司是一家網絡項目集成企業。經過公司合理的運營和管理。發展迅速，員工人數已經有100人左右。爲了知足公司將來的發展和企業運營的需求，公司決定從新部署企業的網絡。公司計劃部署一個由約100臺計算機組成的局域網。用於完成企業的數據通訊和資源共享。
部門劃分
 行政部：負責平常考勤、後勤服務等
人事部：負責員工招聘、績效考覈、員工薪酬福利管理等
工程部：負責對外網絡工程項目、辦公網絡管理維護、售前售後技術支持等
銷售部：負責客戶接洽、項目談判、市場宣傳等
財務部：負責工資結算、公司帳目管理等
針對以上狀況，咱們能夠利用windows2003 server的「域「，以及OU可使網絡結構和公司的管理模型徹底匹配。按照公司的管理層次來管理網絡中的用戶和計算機。
咱們劃分ou是基於公司的部門來劃分的，劃分爲5個ou
IT情況：
  公司有一個局域網，運行約爲100臺計算機，服務器的操做系統是windowsserver2003.客戶機的操做系統是windowsxp工做在工做組的模式下，員工一人一個機器辦公。公司從ISP申請了ADSL線路。採用ICS技術共享上網。因爲計算機較多。管理上缺少層次。公司但願利用windows域環境管理全部的網絡資源。提升辦公效率。
域：
採用單域結構，域名爲benet.com.cn
與多域結構相比，實現網絡資源集中管理，並保障管理上的簡單性和低成本

在域內按照部門名稱劃分組織單位（OU）
爲保證可靠性，須要安裝2臺域控制器 
賬戶管理
公司對員工的賬戶需求以下：

員工一人一個賬戶
全部賬戶集中存儲管理
按部門管理賬戶
賬戶密碼長度不小於8
密碼不能爲簡單密碼，如12345678等
對個別員工試探別人密碼的行爲要有所防範
員工的權限級別有3種：總經理、部門經理、普通員工，他們在訪問網絡資源時權限不一樣 

   針對以上需求咱們能夠採起 
用戶賬戶
在各部門的OU中分別爲該部門員工建立惟一的域用戶帳戶
帳戶名爲員工姓名的拼音
求域用戶賬戶在下次登陸時更改密碼
密碼最小長度爲8，而且符合複雜性要求
組
爲每一個部門建立全局組
1.2 公司對文件夾的管理需求以下：

文件管理
公司全部的經常使用軟件的安裝文件共享到一臺文件服務器上
員工工做文檔須要可靠存儲、方便訪問
在文件服務器上對員工空間限制
普通員工最大100MB
部門經理最大1000MB
總經理的使用空間不限制
在文件服務器上的重要文檔有按期備份
審覈員工登陸和訪問文檔的行爲

針對以上咱們能夠：
經過一臺專用的文件服務器存儲公共文件以及員工的工做文檔
配置共享權限和NTFS權限
權限的配置應遵循AGDLP規則
啓用磁盤配額
制定備份策略，按任務計劃自動執行

文件夾名 共享權限 NTFS權限 
D:\software Everyone讀取 Everyone讀取 
D:\share Everyone徹底控制 Everyone列出文件夾目錄，總經理徹底控制 
D:\share\行政部 無 全局組xingzheng讀取、本部門經理和總經理徹底控制 
D:\share\人事部 無 全局組renshi讀取、本部門經理和總經理徹底控制 
D:\share\工程部 無 全局組gongcheng讀取、本部門經理和總經理徹底控制 
D:\share\銷售部 無 全局組xiaoshou讀取、本部門經理和總經理徹底控制 
D:\share\財務部 無 全局組caiwu讀取、本部門經理和總經理徹底控制 
D:\share\行政部\某員工文件夾 無 全局組xingzheng讀取、員工本身、本部門經理和總經理徹底控制 

1.3：打印機管理需求：
總經理和財務部使用一臺打印設備，其餘員工共享一臺打印設備
總經理的優先級高於部門經理，部門經理的優先級高於普通員工

針對以上咱們採起：
須要採購 2臺打印設備
2臺設備分別安裝在打印服務器Printsvr1和Printsvr2 
服務器名 打印機共享名 優先級 打印權限 
Printsvr1 HP1100_1 90 總經理打印 
Printsvr1 HP1100_2 50 財務部經理打印 
Printsvr1 HP1100_3 1 全局組caiwu打印 
Printsvr2 HP1100_1 50 部門經理打印 
Printsvr2 HP1100_2 1 Everyone打印 

1.4：訪問internet需求：
訪問Internet
員工能夠上網查資料
監控員工上網行爲

針對以上能夠
代理服務器軟件使用isa
代理服務器isa的專用鏈接的IP爲192.168.0.1，公共鏈接與ADSL線路連通
啓用代理協議是HTTP
在其餘計算機上完成客戶端配置
2.0：  項目的規劃：
2.1規劃IP地址

IP地址採用192.168.0.0/24網段
計算機的默認網關爲192.168.0.1
服務器佔用192.168.0.1-192.168.0.10之間的IP
客戶機佔用192.168.0.11以上的IP
 計算機名稱  IP地址     子網掩碼 首選DNS服務器地址 
DC1 192.168.10.2 255.255.255.0 192.168.10.2 
DC2 192.168.10.3 255.255.255.0 192.168.10.2 
Filesvr 192.168.10.4 255.255.255.0 192.168.10.2 
Printsvr1 192.168.10.5 255.255.255.0 192.168.10.2 
Printsvr2 192.168.10.6 255.255.255.0 192.168.10.2 
Isa server 192.168.10.1 255.255.255.0 192.168.10.2 
客戶機 192.168.10.X 255.255.255.0 192.168.10.2 

2.2規劃域
根據網絡規模以及集中管理和結構簡單,咱們採用單域的結構，域名爲XX.com.cn。與多域結構相比，實現了網絡資源的集中管理。並保證了管理上的簡單性和低成本。
在域內部按照部門名稱劃分ou，即建立5個組織單元，分別是：行政部，人事部，工程部，銷售部，財務部，用與存儲和管理各個部門的用戶賬戶，組，以及打印機。整個域結構與公司管理結構相匹配能夠實現公司資源的層次管理。如圖所示：
爲保證可靠性，須要安裝2臺域控制器 
2.3：規劃用戶賬戶和組
在各個部門的ou中分別爲該部門員工建立惟一的域用戶賬戶，賬戶名爲員工姓名的拼音。例如：「wanggang 「,初始密碼爲 」wanggang@.com「，並要求域用戶賬戶在下次登錄時更改密碼。密碼最小長度爲8，而且要符合複雜性要求。
而後爲每一個部門建立全局組，命名以下所示，並將同部門的員工賬戶分別加入各個部門的全局組中。
                                  用戶組規劃表：
部門： 全局組 
行政部 Xingzheng 
人事部 Renshi 
工程部 Gongcheng 
銷售部 Xiaoshou 
財務部 Caiwu 
2.4:  規劃文件服務器
經過一臺專用的文件服務器存儲公共文件以及員工的工做文檔
配置共享權限和NTFS權限
權限的配置應遵循AGDLP規則
啓用磁盤配額
制定備份策略，按任務計劃自動執行
經過一臺專用的文件服務器存儲公共文件以及員工的文檔。文件服務器的c:盤容量爲10G安裝操做系統和軟件。D:盤容量大於1T，並採用ntfs文件系統，在d:盤的一個文件夾「software「存放公共的文件。經常使用的軟件和公司的規章制度。另外一個文件夾」share「存放部門和員工的工做文檔。
在d:」share」文件夾下爲每一個部門創建文件夾，部門文件夾下建立每一個員工的文件夾，並經過網絡映射，映射到每一個賬戶的機器上，配置共享權限和ntfs權限。保障文件只被受權的用戶訪問。權限的設置應該遵循AGDLP(用戶加入到安全全局組，再將相應的全局組加入到本地組，而後給本地組賦予權限)。避免直接給用戶受權。文件服務權限設置以下：

文件夾名 共享權限 NTFS權限 
D:\software Everyone讀取 Everyone讀取 
D:\share Everyone徹底控制 Everyone列出文件夾目錄，總經理徹底控制 
D:\share\行政部 無 全局組xingzheng讀取、本部門經理和總經理徹底控制 
D:\share\人事部 無 全局組renshi讀取、本部門經理和總經理徹底控制 
D:\share\工程部 無 全局組gongcheng讀取、本部門經理和總經理徹底控制 
D:\share\銷售部 無 全局組xiaoshou讀取、本部門經理和總經理徹底控制 
D:\share\財務部 無 全局組caiwu讀取、本部門經理和總經理徹底控制 
D:\share\行政部\某員工文件夾 無 全局組xingzheng讀取、員工本身、本部門經理和總經理徹底控制 

在文件服務器上，普通員工最大的使用空間爲100MB部門經理最大的使用權限爲1000
MB總經理的使用空間不限制。
還有對公司的重要文件要制定備份策略。能夠採用常規備份+差別備份策略，按照計劃自動的執行。
2.5： 規劃打印系統
根據公司的需求，須要採購2臺打印設備。2臺打印設備分別安裝在打印服務器print1和print2上，print1工總經理和財務部使用。Print2工公司全體員工使用，總經理。部門經理和普通員工的優先級分別爲90。50。1。還要規劃邏輯打印機。以下所示：
服務器名 打印機共享名 優先級 打印權限 
Printsvr1 HP1100_1 90 總經理打印 
Printsvr1 HP1100_2 50 財務部經理打印 
Printsvr1 HP1100_3 1 全局組caiwu打印 
Printsvr2 HP1100_1 50 部門經理打印 
Printsvr2 HP1100_2 1 Everyone打印 

2.6   規劃上網方式
公司租用一條 ADSL線路上網。採用代理服務器軟件使公司局域網接入internet代理服務器軟件採用ISA server。代理服務器ISA的專用鏈接的ip爲192.168.10.8。公共鏈接與ADSL連路鏈接。Ip從ISP動態得到。啓用代理協議爲HTTP，其餘的客戶端配置，實現共享上網。
以下所示：

3.0：  項目實施：
3.1：  安裝操做系統
服務器因爲數量較少，能夠單獨安裝windows server 2003.爲了節約成本，爲了提升服務的保障性和反映快速性，咱們考慮將主dc單獨做爲一臺服務器，輔助dc也單獨做爲一臺計算機。文件服務器和打印服務器咱們考慮高保證服務質量的前提下，選擇購買2臺高性能的計算機,並經過在計算機上採用虛擬的技術實現文件服務和打印服務的整和管理策略。
因爲客戶機器較多，能夠採用批量佈置的方法，使用sysprep命令和ghost工具，實現操做系統的分發安裝策略。
還有對於計算機的命名，服務器通常採用服務器功能命名，若是同類服務器有多臺。能夠編號，dc1和dc2。客戶機器能夠按照使用者的姓名或着部門的職位命名。
配置ip按照前面的規劃。設置完ip後，使用ipconfig /all以及ping 命令驗證網絡的連通性。
3.1.0按用戶或按設備模式
每用戶/每設備模式定義以下：

3.1.1 對於訪問或使用您的任何一個服務器上的服務器軟件的每個用戶或設備，都要求有一個獨立的 Windows CAL（任一類型）。
3.1.2所需的 Windows CAL 數量與訪問服務器軟件的用戶或設備的數量相等。
3.1.3若是您選擇了此受權模式，您的選擇將是永久性的。不過，您能夠將一個 Windows CAL 從一個設備從新分配到另外一個設備，或從一個用戶從新分配給另外一個用戶，但此從新分配必須符合如下前提條件：(a) Windows CAL 永久性地脫離原設備或原用戶，或 (b) 在永久設備不能使用時臨時容許租借的設備使用 Windows CAL，或在正式員工不在時容許臨時僱員使用 Windows CAL。
 

在分佈式計算環境中，組織內有多個服務器爲多數設備或用戶提供服務，於是「按用戶/按設備」模式每每是最划算的指定方式。

注意，按用戶/按設備模式取代了之前的受權模式中使用的按客戶模式。
3.2：  建立Windows域
在dc1上執行命令」dcpromo」安裝AD，提高爲域控制器。爲該公司建立一個新域。域名爲fire.com.cn。在安裝AD的過程當中安裝DNS服務。保障域名解析服務正常運行。爲了保證域的可靠性，和高效性。須要安裝第二臺域控制器。
安裝完域控制器以後，分別將其餘的計算機加入該域。
3.3    根據部門劃分OU
爲了匹配公司的管理模型，在域內按照部門名稱劃分組織單位（ou）,即建立5個組織單位，分別是：行政部。人事部，工程部，銷售部，財務部。未來建立各個部門的用戶賬戶和組屬於各個部門ou。使用AD活動目錄裏的「用戶和計算機「工具建立部門ou.
3.4 :  建立用戶帳戶和組
使用【Active Directory 用戶和計算機】工具在各個部門的ou中分別爲該部門員工建立用戶賬戶，賬戶名爲員工的員工姓名的拼音。例如：：「gaogang 「,爲每一個部門建立全局組，將同部門的員工賬戶分別加入各個部門的全局組。注意：」在建立完成以後要進行dc的數據備份即系統的狀態數據「。
3.5   配置域安全策略
單擊【開始】|【管理工具】|【域安全策略】打開域安全策略
密碼策略
密碼長度最小值爲8個字符
密碼必須符合複雜性要求
賬戶鎖定策略
賬戶鎖定閾值爲5
帳戶鎖定時間爲默認值30分鐘
審覈策略
帳戶登陸事件
對象訪問 
3.6 ：   配置文件服務器
建立共享文件夾
配置共享權限和NTFS權限
啓用磁盤配額
將磁盤空間限制爲 「100MB」，將警告等級設爲 「90MB」
對部門經理添加配額項，將磁盤空間限制爲 「1000MB」，將警告等級設爲 「900MB」
將總經理的域用戶賬戶添加到administrators組中
在共享的工做文件夾的【安全】|【高級】|【審覈】選項卡中，添加對全部域用戶的審覈選項 ，備份策略。
3.7：  配置打印服務器
在打印服務器Printsvr1上添加本地打印機HP1100_一、HP1100_二、HP1100_3並共享
在打印服務器Printsvr2上添加本地打印機HP1100_一、HP1100_2並共享
配置優先級和適當的打印權限
在其餘計算機上完成打印客戶端配置（添加網絡打印機）
3.8：  配置代理服務器
代理服務器isa的專用鏈接的IP設置爲192.168.10.8
公共鏈接與ADSL線路連通，IP地址從ISP動態得到
在isa上安裝代理服務器軟件isa server並激活HTTP代理，端口爲默認值80
在其餘計算機上的IE瀏覽器中配置代理服務器客戶端
4.0  ：各類硬件的價格報價
4.1：
IBM System x3950(88784RC) 基本類別備類型：企業級服務器外觀結構：機架式處理器類型：Intel Xeon MP 7110N標稱主頻（MHz）：2500最大處理器數量：4標準內存容量：1GB*2
參考報價：92000元*44.2  :fc 存儲設備：（ SAN 構架全光纖磁盤陣列--IBM TotalStorage FAStT700 存儲服務器  150 +fc Broadcom 4 Gbps光纖通道結構交換器8)
4.3 打印機：
富士施樂Phaser 7760GX*2
參考價格：94990 元  價格糾錯>>商家報價：94990 至 98990 元 打印機類型：彩色激光打印機針式打印機：
IBM 4247
參考價格：38000 元  價格糾錯>>商家報價：38000 至 38000 元 針式打印機針數：24針

5.0：存儲解決方案： Promise SuperTrak EX16350  +  SAN 構架全光纖磁盤陣列--IBM TotalStorage FAStT700 存儲服務器  150 +fc Broadcom 4 Gbps光纖通道結構交換器8 SAN存儲結構圖  SAN的支撐技術就是光纖通道——FC技術，與之前的NAS技術徹底不一樣，它不是把全部的存儲設備集中安裝在一個服務器中，而是將這些設備單獨經過光纖交換機鏈接起來，造成一個光纖通道存儲在網絡中，而後在於企業的局域網進行鏈接，這種技術的最大特性就是將網絡和設備的通信協議與傳輸介質隔離開，能夠在同一個物理鏈接上傳輸，高性能的存儲系統合寬帶網絡使用，使得系統在構建成本和複雜程  SAN 解決方案，您能夠在須要時快速配置或從新配置；自動化備份和容錯；以及虛擬化存儲以提升利用率。咱們的解決方案還與領先應用和多種操做系統配合使用。針對Windows Server 目錄認證。 6.0： 方案的選擇介紹。  6.1  機架式服務器: 機架服務器其實是工業標準化下的產品，其外觀按照統一標準來設計，配合機櫃統一使用。在空間上，主要用U來衡量其高度。而其服務器內部就作了多種結構優化，它的設計宗旨主要是爲了儘量減小服務器空間的佔用，而減小空間的直接好處就是在機房託管的時候價格會便宜不少。 這種設計不但使得服務器的生產和外形有了標準，也使得它們與更多的IT設備(交換機和路由器等設備)同樣，能夠放到機架上，統一塊兒來管理會更加專業。這樣作的好處很是明顯:一方面可使設備佔用最小的空間，另外一方面則便於與其它網絡設備的鏈接和管理，同時機房內也會顯得整潔、美觀。 機架服務器的寬度爲19英寸，高度以U爲單位(1U=1.75英寸=44.45毫米)，一般有1U，2U，3U，4U，5U，7U幾種標準的服務器。用戶能夠根據本身服務器的標高靈活調節高度，以存放服務器、集線器、磁盤陣列櫃等網絡設備。服務器擺放好後，它的全部I/O線所有從機櫃的後方引出 (機架服務器的全部接口也在後方)，統一安置在機櫃的線槽中，通常貼有標號，便於管理。 如今不少互聯網的網站服務器其實都是由專業機構統一託管的，網站的經營者其實只是維護網站頁面，硬件和網絡鏈接則交給託管機構負責，所以，託管機構會根據受管服務器的高度來收取費用，1U的服務器在託管時收取的費用比2U的要便宜不少，這就是爲何這種結構的服務器如今會普遍應用於互聯網事業。 機架式服務器的通常型號用R來表示，是取Rack的頭字母。 這裏要總結的就是機架式服務器由於空間比塔式服務器大大縮小，因此這類服務器在擴展性和散熱問題上受到必定的限制，因此單機性能就比較有限，應用範圍也比較有限，只能專一於某一方面的應用，如遠程存儲和網服務的提供等，但因爲不少配件不能採用塔式服務器的那種普通型號，而自身又有空間小的優點，因此機架式服務器通常會比同等配置的塔式服務器貴上20-30%。 存儲解決示例： 成熟的存儲磁盤陣列     SAN 構架全光纖磁盤陣列--IBM TotalStorage FAStT700 存儲服務器，它依靠領先的技術實現快速數據訪問；提供擴展能力以知足公司獨特的須要；提供高可用性以實現最優安全性和效益；保留人力資源以應對核心工做任務。 6.2.1.1 依靠存儲保持快速發展     隨着平常的業務流程愈來愈依靠數據，各公司正在大力發展本身的存儲基礎設施。可是，現在的公司必須在存儲需求和緊張的預算之間做權衡。所以，所採用的解決方案必須經濟高效、可擴展，而且可以知足各類存儲需求。 圖15-37 IBM FastT700 面板     IBM 存儲系統部的工做人員可以提供靈活的業務解決方案來實現最高的性價比。IBM TotalStorage FastT700 存儲服務器是一種全光纖的存儲區域網（SAN）解決方案，可以以最合適的價格提供您所須要的性能。從與主機接口到磁盤驅動器全光纖通道的結構，爲企業用戶提供最早進的磁盤技術。    6.2.1.2 提供領先技術以實現優異性能     依靠多達8 個光纖通道直接主機或SAN 鏈接，FastT700 存儲服務器提供了快速數據訪問能力（高達383MBps 和每秒60,000 次I/O），特別適合於那些實時性能是關鍵因素的計算環境。除了高帶寬外，FastT700 還支持各類操做系統，包括IBM AIX、Sun Solaris、HP-UX、Linux、Novell 和Microsoft Windows NT/2000 等。在FastT700 存儲服務器內，全部磁盤均爲最早進的、支持光纖通道的熱插拔磁盤驅動器，使用戶能夠採用最早進的技術。     6.2..1.3 提供可擴展性和靈活性以知足發展須要     FastT700 的模塊化設計能夠按照須要來購買部件，它能夠從18GB 擴展到使用22 個機箱的16TB。每個FAStT EXP500 最多支持10 個光纖通道磁盤驅動器。另外，還能夠採用和選擇合適的RAID 級別，從0、一、三、5 到10，這樣作的目的是爲了與應用相匹配或知足特殊經費須要，從而可以擴展和充分利用現有和未來的投資。     6.2..1.4 提升可用性以儘量減小與停機相關的效益損失     公司的成功與其支持全天候運營的能力成正比。意外的停機將影響到數據檢索和其它的業務流程，這意味着效益損失，並形成客戶的不滿意。而TotalStorage FastT700 解決方案是高度可用的解決方案，可以提供部件發生故障時的安全性。雙熱插拔RAID 控制器提供了高吞吐量和冗餘度，而且每一個控制器支持高達512MB（合計1GB）的電池備份高速緩存。冗餘風扇、電源和動態存儲管理進一步提升了可用性。而且提供了Remote Copy 的遠程災難恢復功能，爲業務提供高可靠性的保障。     6.2..1.5 爲核心競爭工做保存資源     FAStT 存儲管理器使您可以在單個控制檯上管理多個FastT700 系統。從一個地點控制全部的環境節省了用戶的資源，能夠將精力放在更有競爭力的核心業務上。     這種軟件是圖形化的軟件，用戶無須記憶任何命令，能夠輕鬆地管理FAStT 磁盤陣列。如圖15-38 所示。 圖15-38 FastT700 管理界面    6.2..1.6 災難恢復 圖15-39 FastT700 異地備份     FastT700 存儲服務器提供了強大的災難恢復功能，該功能是基於磁盤陣列控制器的，與所鏈接的操做系統無關，所以，能夠提供跨平臺支持的、數據級的災難恢復解決方案。 圖15-40 FastT700 容災系統  創建遠程災難恢復功能，須要在FastT700 中配置Remote Copy 功能，該功能提供了激活該功能的密碼。它能夠實如今兩臺FastT700 之間自動地實時鏡像，與操做系統無關。由FastT700 的控制器來控制數據的同步。 採用Remote Copy 功能，須要在FastT700 控制器上指定鏡像端口，（不能夠用主機的光纖端口），兩臺FastT700 控制器之間採用光纖鏈接起來（目前支持10 千米，經過RPQ 方式，能夠支持到最遠70 千米甚至更遠），如上圖中紅線所示，（黑線表示數據的鏈接，藍線表示冗餘鏈接）。一旦，本地（Primary）出現故障，異地（Secondary）仍有鏡像數據供系統使用。若是異地出現故障，不會影響到本地工做，但此時，中止數據鏡像。每一個陣列最大支持32 個鏡像對。