xxx企業(yè)AD規(guī)劃建議書

XXX企業(yè)AD 綜合管理策略建議書總頁(yè)數(shù)17正文14附錄生效日期：2004-4-1編制： 審核：版本：2 引言Active Directory 作為目前微軟網(wǎng)絡(luò)系統(tǒng)的基礎(chǔ)架構(gòu)管理系統(tǒng)，隨著應(yīng)用系統(tǒng)得增加，AD 本身的管理直接影響到其他應(yīng)用的管理；所以AD管理是基礎(chǔ)中的基礎(chǔ)，本文是針對(duì)XXX企業(yè) 5000人規(guī)模的AD作的一些指導(dǎo)性的管理規(guī)則。 閱讀對(duì)象/企業(yè)信息主管基于應(yīng)用程序的管理者的管理人員目錄引言2閱讀對(duì)象21帳號(hào)管理51.1計(jì)算機(jī)帳號(hào)命名規(guī)則51.2員工帳號(hào)命名規(guī)則51.3用戶Logon Name 的命名規(guī)則：61.4其他帳號(hào)屬性填寫規(guī)則61.5帳號(hào)安全策略規(guī)則61.6停用刪除帳號(hào)規(guī)則71.7帳號(hào)管理者71.8Administrator 管理規(guī)則72組管理72.1域模式規(guī)則82.2內(nèi)置組的管理82.3基于管理角色的自定義組建立規(guī)則92.4分發(fā)組管理102.5組的使用基本原則113組織單元管理113.1的層次結(jié)構(gòu)規(guī)劃113.2帳號(hào)OU規(guī)劃123.3成員服務(wù)器管理OU的建立規(guī)則143.4基于資源的OU管理153.5權(quán)限委派管理原則164組策略管理174.1規(guī)劃GPO原則174.2GPO的管理原則175域控制器及站點(diǎn)部署規(guī)則185.1DC 規(guī)劃管理原則：185.2AD管理帳號(hào)組的建立規(guī)則185.3Site 規(guī)劃管理原則：195.4DC 硬件配置需求206小結(jié)1 帳號(hào)管理在AD 管理中，有兩種帳號(hào)，計(jì)算機(jī)帳號(hào)和用戶帳號(hào)，對(duì)于XXX企業(yè) 5，000員工的規(guī)模，基本上每個(gè)員工對(duì)應(yīng)一個(gè)計(jì)算機(jī)帳號(hào)和用戶帳號(hào)，部分員工甚至對(duì)應(yīng)多個(gè)帳號(hào)，這樣大約有10，000多個(gè)帳號(hào)需要管理，考慮到企業(yè)的增長(zhǎng)和人員變動(dòng)情況，下面我們分別討論對(duì)應(yīng)的管理策略。1.1 計(jì)算機(jī)帳號(hào)命名規(guī)則缺省的情況下：AD中的計(jì)算機(jī)帳號(hào)就是加入到域中的計(jì)算機(jī)的NetBIOS名；我們也可以通過(guò)創(chuàng)建一個(gè)計(jì)算機(jī)帳號(hào)對(duì)應(yīng)目標(biāo)計(jì)算機(jī)的GUID，雖然計(jì)算機(jī)帳號(hào)的名字可以超過(guò)15位，但實(shí)際的管理中，AD只取前15位；所以，對(duì)計(jì)算機(jī)帳號(hào)的管理我們建議按照NetBIOS名的規(guī)范去做即可：1 計(jì)算機(jī)名的長(zhǎng)度不能超過(guò)15位2 計(jì)算機(jī)名應(yīng)盡可能反映出物理使用者的信息，如可以通過(guò)以下的規(guī)則定義： XX_YYY_ZZZZZZZZ其中：XX 代表物理site YYY 代表部門名 ZZZZZZZZ 可以用不超過(guò)8位的字母代表用戶，基本上能讓管理者能方便的查詢到用戶。如：HZ_IT_Zhangsan 代表杭州IT部的張三的計(jì)算機(jī)；1.2 員工帳號(hào)命名規(guī)則員工帳號(hào)是AD管理的一個(gè)重點(diǎn)，因?yàn)閹ぬ?hào)有許多的屬性，需要作統(tǒng)一規(guī)范；考慮到XXX企業(yè) 是跨國(guó)公司，其企業(yè)文化按照美國(guó)文化為主，建議規(guī)則如下：First name：如果有英文名則用英文名，否則用漢語(yǔ)拼音全名；Last name ：如果有英文姓則用英文姓，否則用漢語(yǔ)拼音姓；Display name ：取系統(tǒng)自動(dòng)，可以加其他字符作區(qū)分。如中文名例：張三First name：JerryLast name：ZhangDisplay name：Jerry Zhang (張三)1.3 用戶Logon Name 的命名規(guī)則：目前采用的是員工號(hào)為L(zhǎng)ogon Name；這樣可以保證用戶名在全球企業(yè)范圍內(nèi)的唯一；對(duì)臨時(shí)員工或外包員工，在必要的情況下可以按以下規(guī)則建立帳號(hào)：V-Username ,其中V-代表是臨時(shí)、外包性質(zhì)，Username 取用戶通用名，保證其唯一性即可；1.4 其他帳號(hào)屬性填寫規(guī)則AD賬戶的屬性，在基于AD的應(yīng)用中有著豐富的作用，建議以下屬性填寫正確的內(nèi)容： 所屬部門：按照HR規(guī)定的縮寫 電話號(hào)碼：分級(jí)號(hào)碼 移動(dòng)電話：個(gè)人移動(dòng)電話號(hào) 辦公室位置：中（英）文信息，詳細(xì)到樓層；1.5 帳號(hào)安全策略規(guī)則為保證必要的安全性，減少網(wǎng)絡(luò)入侵的可能性，建議通過(guò)組策略，強(qiáng)制以下賬戶策略： 使用強(qiáng)密碼； 最小密碼長(zhǎng)度5位 密碼每60天必須改變 密碼保留歷史紀(jì)錄為3個(gè) 密碼鎖定閾值 5 次，自動(dòng)解鎖時(shí)間3分中 并對(duì)以下時(shí)間作審計(jì)：n 審核策略更改n 審核登錄事件n 審核帳戶登錄事件n 審核帳戶管理1.6 停用刪除帳號(hào)規(guī)則一般不輕易刪除帳號(hào)，對(duì)離職員工帳號(hào)作“禁用”設(shè)置；1.7 帳號(hào)管理者為降低管理成本，可以同過(guò)委派的方式，將帳號(hào)的完全管理權(quán)限委派給以下組： HelpDesk_Account_Admin HR_CreatAccount 并且嚴(yán)格控制其組成員，建議每個(gè)物理站點(diǎn)不超過(guò)2個(gè)成員；1.8 Administrator 管理規(guī)則由于Administrator的特殊地位，依照安全性原則，建議如下：1 更改名字到普通的用戶名2 建立一個(gè)假的administrator 賬號(hào)3 每30天更換一次真administrator 賬號(hào)口令4 平時(shí)不用administrator 作交互式登錄和網(wǎng)絡(luò)訪問(wèn)，必要時(shí)用“Runas”命令實(shí)現(xiàn)切換；2 組管理在AD 的管理范疇中，組是用來(lái)組織管理用戶的，組又分為安全組合分發(fā)組，下面我們具體討論。2.1 域模式規(guī)則為更好的發(fā)揮安全組的作用，域模式建議采用純模式（Native Mode）。安全組是用來(lái)分發(fā)權(quán)限的，在 AD 中，有三種安全組：域本地組、域全局組和通用組，在先前兼容的模式混合模式下（Mix Mode），同以類組之間是不能嵌套，組成員也有限制，最多5000個(gè)成員。在純模式下（Native Mode）沒有該限制，而且通用組只能存在于純模式。下。2.2 內(nèi)置組的管理AD 有8 個(gè)系統(tǒng)內(nèi)置組，主要是做系統(tǒng)維護(hù)管理的，缺省的情況下，用好內(nèi)置組，80% 管理工作。如下圖：圖2.2 系統(tǒng)內(nèi)置組內(nèi)置組的管理策略，見下表：組名目的建議增強(qiáng)安全性成員Administrators成員可以執(zhí)行操作系統(tǒng)支持的所有功能嚴(yán)格控制成員數(shù)目；建議 3個(gè)；可通過(guò)組策略嚴(yán)格控制成員列表Backup Operators成員可以備份和恢復(fù)計(jì)算機(jī)上的文件，而不管這些文件的權(quán)限如何。他們還可以登錄計(jì)算機(jī)和關(guān)閉計(jì)算機(jī)，但不能更改安全性設(shè)置。建議每物理站點(diǎn)1個(gè)成員可通過(guò)組策略嚴(yán)格控制成員列表；可以考慮把備份的權(quán)利和恢復(fù)的權(quán)利獨(dú)立分開，付給不同的用戶角色，以提高安全性；Server Operators管理域中的服務(wù)器組成員為：給地理分支的Service Account可通過(guò)組策略嚴(yán)格控制成員列表；Account Operators管理域中帳號(hào)組成員是：HelpDesk_Account_Admin 和HR_CreatAccount 可通過(guò)組策略嚴(yán)格控制成員列表；print Operators管理域中的打印機(jī)建議每物理站點(diǎn)1個(gè)成員可通過(guò)組策略嚴(yán)格控制成員列表；Replicator該組用于配置目錄復(fù)制服務(wù)。清空可通過(guò)組策略嚴(yán)格控制成員列表；guests該組提供對(duì)系統(tǒng)資源的有限訪問(wèn)。除系統(tǒng)成員帳號(hào)外，不添加任何帳號(hào)可通過(guò)組策略嚴(yán)格控制成員列表；users 所有域中的用戶保留缺省表2 內(nèi)置組的管理策略2.3 基于管理角色的自定義組建立規(guī)則在實(shí)際工作中，僅僅靠AD的系統(tǒng)內(nèi)置組還不能完全實(shí)現(xiàn)高效管理，建議按照管理角色來(lái)建立相應(yīng)的安全組，通過(guò)把日常的任務(wù)角色化，可以實(shí)現(xiàn)規(guī)范化管理。如：Help-desk 的管理員可能只需要修改用戶密碼的權(quán)限而不需要完整的管理員權(quán)限。所以可以定義這樣一個(gè)角色擁有修改密碼的單一權(quán)限，然后付給某一個(gè)組。結(jié)合XXX企業(yè) 目前的業(yè)務(wù)系統(tǒng)，推薦如下表：管理組目的成員Site _Topology Admins可以管理 Active Directory Site Topology，負(fù)責(zé)Site間、內(nèi)的AD復(fù)制 Machine_Account Creation可以有把計(jì)算機(jī)加入到域中的權(quán)力ut_user_admins管理企業(yè)的用戶帳號(hào)ut_group_admins管理企業(yè)的用戶組ut_computer_admins管理企業(yè)的計(jì)算機(jī)帳號(hào)ut_ou_admins管理企業(yè)的OUHelpDesk_reset_pw重設(shè)用戶密碼的權(quán)力VPN_Account_Creation可以建立VPN的撥入用戶Mail_account_creation 可以建立郵箱帳號(hào)其他基于AD應(yīng)用的管理角色可以委派相應(yīng)管理任務(wù)表2.3 基于管理角色的管理組設(shè)計(jì)策略建立規(guī)則如下： 組名盡量反映建組目的，但長(zhǎng)度不要超過(guò)30字符； 所有的自定義管理角色組缺省都是域本地組，成員為其他基于組織目的的域全局組和成員； 域本地組之間不嵌套； 域全局組可以嵌套，建議不要超過(guò)2層，必要的時(shí)候可以使用通用組來(lái)滿足復(fù)雜的管理需求；2.4 分發(fā)組管理分發(fā)組是相對(duì)于安全組的，不用于AD權(quán)限得分配，主要應(yīng)用在Exchange 中，可以實(shí)現(xiàn)郵件分發(fā)的作用。根據(jù)XXX企業(yè) 的現(xiàn)狀，可以考慮按照部門建立其對(duì)應(yīng)的分發(fā)組，實(shí)現(xiàn)郵件分發(fā)，通過(guò)郵件的形式來(lái)討論問(wèn)題。推薦如下表：分發(fā)組的建立目的成員基于技術(shù)的各種分發(fā)組；可參考現(xiàn)有的BBS討論組用戶自愿加入和委派加入基于行政的各種分發(fā)組；基本上按照組織機(jī)構(gòu)建立按照HR的分配基于管理/應(yīng)用需要的分發(fā)組按照管理/應(yīng)用的需求表2.4 分發(fā)組的設(shè)計(jì)策略 2.5 組的使用基本原則對(duì)企業(yè)來(lái)說(shuō)，用戶的管理往往借助于組的管理來(lái)實(shí)現(xiàn)的，其基本原則是“A G （U） DL P”的思想，就是通過(guò)全局組把需要授權(quán)的用戶組織起來(lái)，通過(guò)本地組跟具體的權(quán)限邦定，然后把組織好的全局組加入到相應(yīng)的付好權(quán)限的本地組中。在必要的情況下；可以使用域全局組的嵌套，或多域情況下使用通用組來(lái)實(shí)現(xiàn)大規(guī)模的人員組織情況。3 組織單元管理組織單元（OU）是一個(gè)容器對(duì)象，我們可以把域中的對(duì)象組織成邏輯組，所以O(shè)U純粹是一個(gè)邏輯概念，它可以幫助我們簡(jiǎn)化管理工作。3.1 的層次結(jié)構(gòu)規(guī)劃在AD中我們的管理單元基本就是OU，通過(guò)權(quán)限委派和組策略來(lái)實(shí)現(xiàn)管理。所以如何管理OU是非常重要的。在這里我們可以依照以下原則來(lái)建立：的建立基本上可以以物理機(jī)構(gòu)和行政組織為基礎(chǔ)劃分的建立目的是從管理的角度出發(fā)的，絕不是行政組織的簡(jiǎn)單對(duì)應(yīng)最小的單元建立原則是以可以獨(dú)立的管理、安全為邊界分割的雖然的邏輯結(jié)構(gòu)是樹狀的，可以無(wú)限擴(kuò)充，但從管理效率上考慮，不建議嵌套的層次超過(guò)五層按照XXX企業(yè) 的實(shí)際，我們建議采用按照地理組織、管理需求的混合組織方法，建立OU層次框架，如下圖： 圖3.1 OU規(guī)劃框架其中 Account_OU 是按照地理組織劃分的，如：杭州、上海、北京、西安等Resouce_OU 是按照資源和應(yīng)用需求劃分的，如：Edoc、ERP、搬遷 等詳細(xì)的規(guī)劃，請(qǐng)見后面相關(guān)部分。3.2 帳號(hào)OU規(guī)劃為方便日常維護(hù)管理，按照實(shí)際物地理分布，建立以地理位置命名的OU，并建立以下子OU用于管理目的，：Users: 存放該地理組織內(nèi)的所有成員帳號(hào)，建議按照人事部門組織的形式劃分子OU；Service Account: 存放該地理組織內(nèi)的系統(tǒng)服務(wù)需要的服務(wù)帳號(hào)，一般都需要加入到Server Operators ，實(shí)現(xiàn)其特權(quán)；Computers: 存放該地理組織內(nèi)的所有計(jì)算機(jī)帳號(hào)；Member Servers: 存放該地理組織內(nèi)的所有成員服務(wù)器帳號(hào)，一般按照服務(wù)器角色劃分子；Groups: 存放該地理組織內(nèi)的所有組帳號(hào)；Admins: 存放該地理組織內(nèi)的所有管理員帳號(hào)；以杭州為例其結(jié)構(gòu)如下圖： 圖3.2 Account_OU管理框架上圖是按照杭州為模版建立的，其他各地可以依次規(guī)劃。這樣管理的好處是，方便統(tǒng)一部署，如一些基于策略的實(shí)施和升級(jí)等操作，或某些成員服務(wù)器安全加固等；結(jié)合SMS管理將更加方便。注： 對(duì)于經(jīng)常移動(dòng)的用戶，一般情況下以歸屬地為主要的命名依據(jù)，在集中管理上，我們也可以根據(jù)DHCP分割的地址段位管理范圍，從而達(dá)到邏輯和物理上的統(tǒng)一。3.3 成員服務(wù)器管理OU的建立規(guī)則隨著業(yè)務(wù)應(yīng)用的不斷發(fā)展，公司必然有大量的成員服務(wù)器，目前XXX企業(yè) 大約有近150臺(tái)服務(wù)器，這些服務(wù)器帳號(hào)的管理，也非常重要；按照管理需求，建議把所有的成員服務(wù)器帳號(hào)按照實(shí)際功能設(shè)計(jì)從缺省的“Computer”容器移動(dòng)到與其物理位置一致的OU中的獨(dú)立的按照服務(wù)器角色設(shè)計(jì)組織單元（OU）樹中-Member Servers，其結(jié)構(gòu)如圖一。結(jié)合XXX企業(yè) 的實(shí)情，建議建立基于服務(wù)的OU，詳見下表：OU/Container目的DNS ServersContains objects relating to DNS network service.WINS (Standalone) ServersContains the WINS infrastructure service-related objects.IIS ServersContains objects relating to IIS Cluster1 services.File ServersContains the file service-related objects.Print ServersContains the print service-related objects.Backup ServersContains the backup infrastructure service-related objects.ISA ServersContains the ISA service-related objects.Proxy ServersContains objects relating to proxy infrastructure services.Intranet Web ServersContains the IIS service-related objects.Internet Web ServersContains the IIS service related-objects.Management ServersContains objects relating to management services.Certificate Authority ServersContains the certificate authority infrastructure service-related objects.Application ServersContains the application infrastructure service-related objects.SQL ServersContains objects relating to SQL Server services.Database ServersContains the SQL service-related objects.Database ClustersContains the SQL clustered service-related objects.Radius ServersContains the RADIUS service-related objects.Client VPN ServersContains objects relating to virtual private network (VPN) network services for client VPN access.Site-to-site VPN ServersContains objects relating to VPN network services for site-to-site connectivity.SMTP ServersContains objects relating to Simple Mail Transfer Protocol (SMTP) services.Security ServersContains objects relating to security services, such as IDS and so on.表3.3 建立基于應(yīng)用服務(wù)的OU框架建議服務(wù)器角色盡量單一，如果是某臺(tái)服務(wù)器承擔(dān)多個(gè)角色，需要在文檔中注釋清楚。3.4 基于資源的OU管理OU可以跟實(shí)際中的IT資源/應(yīng)用捆綁在一起，這樣的目的是為了更好的管理資源。建議的資源OU可以按下表的模式建立；OU管理組名控制權(quán)限成員類別_ou_adminsFull controlAll objects_ou_user_adminsFull controlUser objects_ou_user_adminsFull controlUser objects_group_adminsFull controlGroup objects表3.4 基于資源的OU管理組設(shè)計(jì)策略以當(dāng)前的EDOC 應(yīng)用為例，我們需要給Edoc單獨(dú)設(shè)立一個(gè)OU，分成管理者OU和普通用戶OU，然后按照應(yīng)用角色，細(xì)分若干子OU，通過(guò)把相應(yīng)的管理組移動(dòng)到相應(yīng)的Ou實(shí)現(xiàn)管理委派。在OU的組織上表現(xiàn)如下圖：圖3.4 資源OU的設(shè)計(jì)3.5 權(quán)限委派管理原則權(quán)限委派是組織單元的一個(gè)強(qiáng)大應(yīng)用，主要可以解決給予范圍的權(quán)限分配的問(wèn)題，將活動(dòng)目錄部分對(duì)象的具體權(quán)限委派給某些用和組，并通過(guò)建立和布置定制的MMC控制臺(tái)進(jìn)行部署，從而減輕了集中管理的負(fù)擔(dān)。權(quán)限委派可以通過(guò)使用 委派控制向?qū)?lái)完成。在XXX企業(yè) 的應(yīng)用中，結(jié)合易于資源的OU設(shè)計(jì)和基于角色的管理組設(shè)計(jì)兩部分，按照管理需求共同實(shí)現(xiàn)，由于權(quán)限委派結(jié)果查詢不方便，建議管理規(guī)則為： 按照層級(jí)實(shí)現(xiàn)權(quán)限委派，不要跨級(jí)； 建立報(bào)告制度，沒級(jí)管理員定期（一個(gè)月）獻(xiàn)上級(jí)管理員匯報(bào)委派情況4 組策略管理組策略（）是AD管理中強(qiáng)大使用的管理手段，使用組策略可以做到： 站點(diǎn)/域級(jí)別的集中管理，OU級(jí)別分散的管理 控制用戶的系統(tǒng)軟件環(huán)境 通過(guò)控制用戶和計(jì)算機(jī)環(huán)境，降低管理成本通?？梢酝^(guò)組策略編輯器來(lái)定制需要的策略，必要的情況也可以自定義開發(fā)，通過(guò).inf 文件導(dǎo)入組策略編輯器。結(jié)合XXX企業(yè) 的實(shí)際應(yīng)用，目前我們可以按照微軟提供的基本模版完成一些常規(guī)的GPO設(shè)置和實(shí)施，以下時(shí)規(guī)劃和管理GPO時(shí)需要參考的原則：4.1 規(guī)劃GPO原則 在最高層應(yīng)用GPO，這樣很好應(yīng)用了GPO的繼承性； 降低GPO的數(shù)目，在帶寬允許的情況下，盡可能用GPO Link 而不是重建GPO； 定制GPO的設(shè)置，最好一個(gè)GPO只負(fù)責(zé)一個(gè)管理需求； 當(dāng)GPO只針對(duì)用戶和計(jì)算機(jī)一項(xiàng)的時(shí)候，禁用掉另一項(xiàng)以提高性能； 只有必要的時(shí)候才使用“阻止繼承”（Block Inheritance）和“禁止替代”（No Override）和篩選（security filtering）4.2 GPO的管理原則 建立GPO管理組：建立GPO_admin 和 GPO_link 兩個(gè)域本地組，GPO_admin的成員可以管理所有GPO，建議成員數(shù)目不要超過(guò)3個(gè)；GPO-Link 組的成員只能連接GPO，建議每一個(gè)地理分支OU有一個(gè)成員； 按照管理需求建立GPO維護(hù)組，并通過(guò)權(quán)限委派實(shí)現(xiàn)降低管理負(fù)荷；如：可以規(guī)劃以下范圍的GPO管理維護(hù)組： 用戶配置管理 數(shù)據(jù)管理 軟件分發(fā) 。 建立GPO的審計(jì)規(guī)劃，以確保GPO的執(zhí)行效果； 推廣一個(gè)GPO前一定要通過(guò)測(cè)試，并且應(yīng)該有詳細(xì)文檔；5 域控制器及站點(diǎn)部署規(guī)則域控制器（DC）和站點(diǎn)（Site）都是AD的物理實(shí)體，在規(guī)劃上我們需要嚴(yán)格遵需以下原則：5.1 DC 規(guī)劃管理原則： 嚴(yán)格控制AD管理帳號(hào)組成員； 嚴(yán)格控制 DC的物理安全，DC不能存放于不安全的地方； 嚴(yán)格控制 DC的備份資料，備份資料不能存放于不安全的地方； 每3個(gè)月做一次AD恢復(fù)測(cè)試； DC上裝的軟件和應(yīng)用要盡量少；5.2 AD管理帳號(hào)組的建立規(guī)則目錄服務(wù)的管理被分成5個(gè)角色，如下： Forest owner: Enterprise Admin Forest owner: Schema Admin Site topology owner Domain owner Organizational unit owner其中森林所有者有2個(gè)角色構(gòu)成，Schema Admin 和 Enterprise Admin，下表將詳細(xì)描述這些角色：角色名職責(zé) 成員Forest Owner: Enterprise Admin傳遞目錄服務(wù)，并控制Forest的配置信息更改，如：添加新域后者改變Site拓?fù)洹uilt-in user group (Enterprise Admins).Forest Owner: Schema Admin傳遞目錄服務(wù)，并控制Forest的schema配置信息更改。Built-in user group (Schema Admins).Site Topology Owner 傳遞目錄服務(wù)，并控制Forest的site topology配置信息更改。 如：DC的IP、subnet、location、router-cost 的改變信息。自定義一角色組：Global