大中型企业局域网域控系统应用探讨

洛阳光电技术发展中心 冯瑞兵



大中型企业局域网域控系统应用探讨

洛阳光电技术发展中心 冯瑞兵

【摘要】随着信息化的高速发展，现代大中型企业的各项业务，大量依赖于内部局域网来完成。网络带来高效服务的同时，也为局域网内用户、计算机管理增加了难度。本篇文章主要讲述了windows server 2012域控系统的规划、部署及应用。

【关键词】windows server 2012；域控；策略

1　概念

域：是一套统一身份验证系统，是企业应用的基础；是一种系统架构，可以实现统一化管理。

活动目录：进行查询、身份验证，包含了活动目录数据库，对象包含用户、计算机、组等。

域控制器：在域系统架构中用来管理所有客户端的服务器，是域系统架构的核心。

2　域控系统管理优点

(1)通过管理架构部署组策略，强制管理客户端；

(2)各种设置统一下发，降低管理、操作、运维成本；

(3)安全性高，有利于单位文件资料的授权浏览；

(4)有效控制用户的登录权限；

(5)资源共享；

(6)便于用户资料的统一备份、管理。

3　域系统规划

3.1结构规划

根据局域网计算机数量和物理区域进行规划。本文案例企业有1000台以上客户端，采用一主（AD）二备（BAD）结构的单域单站点管理模式。

3.2组织单元（OU）、域组成员规划

采用企业下属部门名称进行规划；将每一个部门的计算机帐号、用户域帐号放置相应的组织单元进行管理，将用户域帐号授予相应的安全组权限；

3.3域策略规划

根据局域网实际情况，基于安全、便利、高效工作的要求进行规划不同的策略集；内容应当包含密码策略、帐户策略、审核策略、日志策略、安全权限策略、系统服务策略、电源策略、屏保策略、IE策略、软件安装策略等等。

3.4DNS反向查找区域

根据IP地址VLAN划分情况进行规划。

3.5命名规则

根据员工编号命名域帐号，根据计算机编号命名计算机帐号。

4　域控制器安装

4.1主域控制器安装

4.1.1准备

确认网络已连通，修改服务器名称，安装选择AD域服务。

4.1.2提升为主域控制器

提升角色，添加新林（根域名abc.com，林、域功能级别2012），指定NetBIOS域名：abc；安装重启。

4.1.3验证

主要验证AD域服务、默认容器、域控制器、站点、默认域策略、共享卷服务、FSMO角色、DNS“SRV”记录等。

4.2备份域控制器安装

4.2.1准备

确认网络已连通，修改两台备份服务器名称并加入域abc.com；安装AD域服务。

4.2.2提升为额外域控制器

提升角色时选择“将域控制器添加到现有域”，安装完重启。

4.2.3验证

主要验证计算机角色、DNS记录、AD站点和服务、GC全局编录、FSMO角色等。

5　域控制器部署

5.1组织单元、安全组创建

打开AD活动目录，在域名abc.com下根据规划创建组织单元和安全组。

5.2域策略部署

原则：为了优化性能，策略结构尽量不要超过三级。

5.2.1策略部署结构

(1)默认域策略Default Domain Policy

需要部署整个域通用的策略，内容包含密码策略、帐户策略、审核策略、时间同步策略、电源策略、屏保策略、IE策略等。

(2)默认域控策略Default Domain Controllers Poli

需要部署事件日志、系统服务、用户权限分配、安全选项等内容；

(3)客户端通用策略

需要创建并部署事件日志、系统服务、用户权限分配、安全选项、软件安装、开机脚本等内容；

(4)部门级专项策略

需要创建并部署登录限制策略、屏保策略，专用密码策略等内容。

5.2.2策略部署

打开服务器管理器-工具-组策略管理，根据《域策略规划》及5.2.1部署各类策略。

5.2.3策略部署注意事项

(1)Default Domain Policy部署的密码策略优先级高，在下一级OU上部署的密码策略不会生效；如果某部门需要不同的密码策略，可以打开AD管理中心-abc（域名）-system-Password Settings Container，新建一个专用的密码策略，应用到相应的部门安全组即可。

(2)开机脚本尽量减少内容，避免影响客户端启动速度；

(3)策略一定要在客户端验证，尤其是系统服务， Default Domain Policy策略启用Workstation、Netlogon 、TCP/IP NetBIOS Helper 、Network Connections、Computer Browser、Windows Time、DNS Client服务； Default Domain Controllers Policy策略启用DFS Replication、DNS Server服务；

(4)事件日志按需记录；安全事件日志由于记录量大，同时考虑占用磁盘空间问题，客户端日志大小设置为300MB，域控服务器日志大小设置为4GB；其他事件日志客户端设置为50MB，域控服务器设置为1GB。

5.3时间服务器部署

默认情况下，域内的服务器的时间同步机制是客户端找DC同步，DC找域内的PDC同步，但经常会反向客户端不能同PDC有效同步。

实际环境需要将PDC域控制器强制设置为时间源，打开注册表做以下设置：

(1)HKEY_LOCAL_MACHINESYSTEM

CurrentControlSetServicesW32TimeParameters，设置NtpServer值为PDC域控制器名称ADserver.abc.com,0x1；

(2)HKEY_LOCAL_MACHINESYSTEM

CurrentControlSetServicesW32TimeConfig，设置AnnounceFlags值为10；

(3)HKEY_LOCAL_MACHINESYSTEM

CurrentControlSetServicesW32TimeTimeProviders NtpServer，设置Enable值为1；

(4)编辑PDC域控制器本地策略，启用NTP服务器；(5)验证客户端时间同步。

5.4域帐号批量创建

5.4.1用户信息统计

根据员工名单及命名规则，统计所有员工的信息，应包含用户域帐号及可登录的计算机帐号信息。

5.4.2批量创建域帐号

(1)建立user.csv文件。

将用户信息统计表设计为以下电子表格式，并保存为user.csv格式。

A列：域帐号

B列：描述和显示信息

C列：部门名称

D列：组安全名称

(2)批量创建域帐号。

建立dsadd.bat命令，并将dsadd.bat、user.csv拷贝到域控根目录下，执行dsadd.bat即可完成域帐号创建。

dsadd.bat内容如下：

For /F "tokens=1,2,3,4delims=," %%a in (user.csv) do dsadd user CN=%%a,

OU=test,DC=abc,DC=com -upn %%a@abc.com -display %%b -desc %%b -dept %%c -pwd ****** -pwdneverexpires

(3)批量修改域帐号可登录的计算机。

为了加强用户权限管理，需要限定域帐号登录的计算机帐号。

建立userWorkstations.txt，格式如下：

拷贝此文件至域控根目录下，执行power shell（管理员）命令，命令如下：

Import-CSV C:userWorkstations.txt | % {

$UserN = $_.UserName

$ComputerN = $_.ComputerName

$ObjFilter = "(&(objectCategory=person)(objectCategor y=User)(samaccountname=$UserN))"

$objSearch = New-Object System.DirectoryServices. DirectorySearcher

$objSearch.PageSize = 15000

$objSearch.Filter = $ObjFilter

$objSearch.SearchRoot = "LDAP://dc=abc,dc=com"

$AllObj = $objSearch.findOne()

$user = [ADSI] $AllObj.path

$user.psbase.invokeSet("userWorkstations",$_. ComputerName)

$user.setinfo()

}

6　客户端加入域

根据命名规则，修改客户端名称，并将客户端加入ABC.com域，验证各项域策略是否生效。

7　域系统日常管理

包含域控服务器的日常维护；域帐号的申请、创建、启用、维护、回收；域终端计算机的问题处理等等。

8　建立域控系统应急预案机制

根据实际需要，建立域控系统应急预案，并进行实际演练，保证域系统在突发事件时能在最小时间内恢复。

内容应包括演练的目标及范围、组织机构及职责、联络方式、应急准备条件、突发事件响应流程、恢复和重续运行、重建和回退等。

9　结束语

使用域控系统这种管理模式，不借助第三方软件，由服务器统一管理，极大提高了管理员对整个网络的统一管理、统一设置、统一维护，提高了效率，极大减轻了网管员的工作量。

参考文献

[1]王淑江编著.windows server 2012活动目录管理实践(第1版)[M].人民邮电出版社,2014,2.