AD安全优化解决方案 下载本文

内容发布更新时间 : 2024/11/9 14:40:17星期一 下面是文章的全部内容请认真阅读。

AD安全优化解决方案

设计一个稳定、可靠和扩展性良好的活动目录架构对一个企业网络的管理及安全具有重大意义,并对部署微软的相关产品如Exchange 等具有举足轻重和决定性的重要意义。

1.1. 活动目录介绍

活动目录是Windows 2012网络体系结构中一个基本且不可分割的部分,它为网络的用户、管理员和应用程序提供了一套分布式网络环境设计的目录服务。活动目录使得组织机构可以有效地对有关网络资源和用户的信息进行共享和管理。另外,目录服务在网络安全方面也扮演着中心授权机构的角色,从而使操作系统可以轻松地验证用户身份并控制其对网络资源的访问。同等重要的是,活动目录还担当着系统集成和巩固管理任务的集合点。

总的来说,活动目录的这些功能使组织机构可以将标准化的商业规则贯彻于分布式应用和网络资源当中,同时,无需管理员来维护各种不同的专用目录。

活动目录提供了对基于Windows的用户账号、客户、服务器和应用程序进行管理的唯一点。同时,它也帮助组织机构通过使用基于Windows的应用程序和与Windows相兼容的设备对非Windows系统进行集成,从而实现巩固目录服务并简化对整个网络操作系统的管理。公司也可以使用活动目录服务安全地将网络系统扩展到Internet上。活动目录因此使现有网络投资升值,同时,降低为使Windows网络操作系统更易于管理、更安全、更易于交互所需的全部费用。

活动目录是微软各种应用软件运行的必要和基础的条件。下图表示出活动目录成为各种应用软件的中心。

1.2. 应用Windows 2012 Server AD的好处

Windows 2012 Server是微软最新推出的网络操作系统服务器,它沿用了 Windows 2000 Server 的先进技术并且使之更易于部署、管理和使用。其结果是:其高效结构有助于使您的网络成为单位的战略性资产。 应用Windows 2012 Server的好处如下表所示:

优势 描述 Windows Server 2012 是迄今为止最快、最可靠和最安全的 Windows 服务器操作系统。 可靠性 提供集成结构,用于帮助您确保商业信息的安全性。 提供可靠性、实用性和可伸缩性,使您可以提供用户需要的网络结构。 Windows Server 2012 提供各种工具,允许您部署、管理和使用网络结构以获得最大效率。 高效 提供灵活易用的工具,有助于使您的设计和部署与组织及网络的要求相匹配。 通过加强策略、使任务自动化以及简化升级来帮助您主动管理网络。 通过让用户自行处理更多的任务来降低支持开销。 连接 Windows Server 2012 可以帮助您创建业务解决方案结构,以便与雇员、合作伙伴、系统和客户更好地连接。 连接性 提供集成的 Web 服务器和流媒体服务器,帮助您快速、轻松和安全地创建动态 Intranet 和Internet Web 站点。 提供集成的应用程序服务器,帮助您轻松地开发、部署和管理 XML Web 服务。 提供多种工具,使您得以将 XML Web 服务与内部应用程序、供应商和合作伙伴连接起来。 最经济 与来自 Microsoft 的许多硬件、软件和渠道合作伙伴的产品和服务相结合,Windows Server 2012 提供了有助于使您的基础架构投资获得最大回报的选择。 为使您得以快速将技术投入使用的完整解决方案提供简单易用的说明性指南。 通过利用最新的硬件、软件和方法来优化服务器部署,从而帮助您合并各个服务器。 降低用户的所属权总成本 (TCO),使投资很快就能获得回报。 Windows 2012 Server的核心是一组基于Active Directory(目录服务,简称“AD”)的基础结构服务。Windows 2012 AD简化了管理,加强了安全性,扩展了互操作性。它为用户、组、安全服务及网络资源的管理提供了一种集中化的方法。

应用Windows 2012 AD之后,企业信息化建设者和网络管理员可以从中获得如下好处:

系统平台基础架构。基于Windows 2012 AD规划网络基础架构,使企业获得一个稳定、可扩充的网络基础平台。不单单是满足当前的网络需要,更关键的是预计了今后3-5年内可能的发展需要,使得将来的网络规划建设无需再次重复投资。

单一登录。可以统一用户帐户设置和用户身份验证,实现用户单一登录,用户访问网络中的资源不再需要反复输入用户名称和口令。同时,它还是企业应用集成的基础。基于AD的单一登录功能,便于实现在不同程序之间的协作和集成应用。

网络安全。可以基于AD,集中设置和统一管理用户、组、资源的操作权限,方便维护管理。

集中管理和委派授权。基于Windows 2012活动目录OU实施委派授权管理,未来向下属企业推广时,分级维护,集团各部门、下属公司可以对所辖范围内的部分参数进行维护,如增加用户、设置权限、增加栏目、自定义流程等。

用户桌面管理。通过规划部署Windows 2012 OU和组策略,可以统一规划用户桌面和用户操作环境,实现对客户计算机的集中控制管理,加强信息管理的安全可靠性。

软件自动分发。通过规划部署Windows 2012 OU和组策略,还可以实现应用程序的自动分发、升级和删除,不但可以实现客户机软件的统一安装管理,而且大大减轻了软件安装配置的工作量。

1.3. 明确系统规划目标

企业的Windows 2012 AD系统规划构建是为企业信息化建设服务的,需要达到以下战略目标:

围绕企业的战略发展需要,进行企业信息化建设系统规划,满足企业3-5年的业务发展对IT建设的要求; 以业务为驱动,通过有效的信息系统,加强信息共享和协同办公,提高工作效率,降低成本; 整合企业现有信息资产,加强企业管理与监控;从信息中挖掘知识,提高经营决策与驾驭风险的能力; 推进知识管理理念,建立知识型企业,增强企业的核心竞争力。 Windows 2012 AD系统规划实施的具体目标如下:

规划和部署基于Windows 2012 AD的企业目录服务,首先实现用户的单一登录,保障网络系统安全; 通过AD实现用户桌面的集中和自动管理,分发软件补丁;

进一步部署微软的相关应用平台软件,如实现基于Exchange 2013的企业内部邮件和协作服务,

1.4. 活动目录设计方案

我们为企业设计一个域,用户的所有计算机(服务器和客户机)全部加入到域,用户实现单一登录和管理员通过域组策略实现安全及桌面管理。

用户关心问题解答

2.1. 活动目录优势

1.计算机工作组管理和AD管理比较

对于基于Microsoft Windows操作系统的计算机运行和管理在两种模式下:工作组(workgroup)和域(domain)。 在工作组模式下,计算机处于一个孤立状态,使用计算机的用户登录帐号和计算机的管理均须在每台计算机上创建或进行。

当计算机超过20台以上时,计算机的管理变得越来越困难,并且要为用户创建越来越多的访问网络资源的帐号,用户要记住多个访问不同资源的帐号。

而在域的模式下,用户只需记住一个域帐号,即可登录访问域中的资源。并且管理员通过组策略,可以轻松配置用户的桌面工作环境和加强计算机安全设置。域模式下所有的域帐号保存在域控制器的活动目录数据库中。见下图。 2.为什么要提供目录服务?

对更加强大、透明且高度集成的目录服务的不断需求是由爆炸性增长的网络计算所导致的。随着局域网(LAN)、广域网(WAN)规模与复杂性的不断提高和这些网络不断被连入Internet,以及应用程序对网络的依赖程度不断增强并不断被链接到协作企业网中的其它系统上,对目录服务的需求也日渐增多。基于下列原因,目录服务成为扩展的计算机系统中最重要的部件之一: 简化管理 提供对用户、应用程序和设备的单一、一致性的管理点。

加强安全性 向用户提供单一的网络资源登录,为管理员提供强大、一致性的工具以使他们能够管理为内部台式机用户、远程拨号用户以及外部电子商务客户提供的安全服务。

扩展的互操作性 向所有活动目录特性提供基于标准的存取方式以及对通用目录的同步支持。

目录服务兼任管理工具和用户工具。随着网络中对象数量的增加,目录服务变得必不可少。目录服务在一个庞大的分布式系统中发挥着网络集线器的作用。致力于这些需求,Windows 2012服务器版引入了活动目录--即一套用于改进Windows网络操作系统管理、安全性和互操作性的完整的目录服务集。 下图描述了活动目录带来的计算机安全和管理上的一些最重要的好处。 3.AD简化了计算机系统管理

分布式系统常常导致时间的消耗和管理的冗余。当公司在他们的基础结构上添加应用程序并雇用新的职员时,他们需要适当地向各桌面系统分发软件并管理多个应用程序目录。通过在单一的位置管理用户、组和网络资源以及分发软件和管理桌面系统配置,活动目录可以显著降低公司的管理费用。例如,活动目录在同一个位置管理Windows用户和Microsoft Exchange邮箱信息。基于下列原因,活动目录可以从以下方面帮助公司简化管理:

消除冗余管理任务 提供对Windows用户账号、客户、服务器和应用程序以及现存目录同步能力进行单一点管理。

降低桌面系统的行程 针对用户在公司中所担当的角色自动向其分发软件,以减少或消除系统管理员为软件安装和配置而安排的多次行程。

更好的实现IT资源的最大化 安全地将管理功能分派到组织机构的所有层次上。

降低总体拥有成本(TCO) 通过使网络资源容易被定位、配置和使用来简化对文件和打印服务的管理和使用。

4. 加强安全性

强大且一致的安全服务对企业网络而言是必不可少的。管理用户验证和访问控制的工作往往单调乏味且容易出错。活动目录集中进行管理并加强了与组织机构的商业过程一致、且基于角色的安全性。例如,对多身份验证协议(如Kerberos,X.509认证以及由灵活的访问控制模型组成的智能卡)的支持实现了对于内部桌面系统用户、远程拨号用户和外部电子商务客户强大且一致的安全服务。活动目录使用以下方法增强安