中国银行活动目录方案建议书上海赛卫思信息技术有限公司客户服务部2007-03-28V1.0上海浦东向城路15号锦城大厦11E中国银行活动名目部署建议书上海赛卫思信息技术有限公司客户服务部讲明本文档中所包含的内容是上海赛卫思信息技术有限公司为中国银行提供的活动名目部署方案，其中可能用到了赛卫思公司产品和技术的专有信息。

这些信息仅在中国银行活动名目部署过程中使用，不应该被扩散到中国银行以外，同样也不应该在参考此手册的前提下，复制、使用和扩散本手册。

Microsoft Windows Server、Internet Security and Acceleration Server 200 6、Microsoft SQL Server 或其它本手册中提及的 Microsoft 产品，是Microsoft 的商标或注册商标。

本文档所提到的真实的公司和产品名称可能是其各自所有者的商标。

项目概况随着中国银行业务的扩展和IT应用的增加，爱护整个网络系统的稳固、安全、高效越来越重要。

微软是企业IT基础架构领域的技术领先者，其活动名目技术被业界广泛认可，世界财宝五百强的跨国公司大多采纳活动名目技术来提供IT基础架构服务。

中国银行和微软有着良好的合作关系，在IT应用的各个领域都有专门多微软的解决方案。

为利用新技术全面提升IT治理能力，决定在此次项目中全面部署基于Windows Server 2003的网络基础服务和活动名目服务。

Windows 2003 操作系统集成了IT基础架构所需要的各种网络服务，让企业来建立和治理网络、连接远程工作人员、连接分支机构同时建立兄弟单位的外部网。

Windows 2003 Server在开放的平台上遵循标准的协议，它提供了增强的安全性和策略操纵，同时提升性能同时简化了系统的安装、治理和使用。

此次项目将以建立完善的网络基础服务，集中统一规划结构合理的基于Windows Server 2003活动名目为目标，赛卫思将关心中国银行建立更加大大的IT基础架构，以适应业务的高速进展。

二、项目方案下文中将就网络基础服务、活动名目服务、远程安装服务三个方面进行详细介绍。

2.1 网络基础服务2.1.1 背景简介Windows Server 2003的基础的网络服务包括以下两大方面：地址分配地址分配即IP地址的分配和治理。

目前中国银行的ip地址是静态的，其添加和爱护工作由IT人员在现场手工完成。

按照中国银行的安全策略，在此次项目中仍旧使用静态ip地址。

名称解析名称解析是指在访咨询网络资源（包括文件服务器和打印机）时，如何将资源的名称转换成对应的IP地址的服务。

通过DNS和WINS的服务，有关的服务器会自动将某个名称转换成实际的IP地址，用户只需记住容易辨识的资源名称即可进行相应的访咨询。

如此网络资源的共享和使用效率将得到专门大程度的提升。

下文将对有关的部分进行详细的介绍。

2.1.2 地址分配这次项目不牵涉对中国银行现有ip地址分配方法的改动。

Ip地址的划分和分配，还沿用原有的设计。

2.1.3 名称解析DNS内部名称解析建议在域内每一个站点都设一台DNS服务器。

该服务器同时也是域操纵器。

换而言之，所有的域操纵器同时也都将是DNS服务器。

DNS服务器都将DNS数据放在本地的AD数据库中，然而作为独立的A pplication Partition来参与域操纵器之间的名目复制(Directory Replication)从而同步DNS数据库。

中国银行内部目前使用linux的DNS服务，该DNS上面有银行内部一些应用程序需要的特有的服务纪录。

在部署过程中，我们建议在活动名目的D NS服务器上设置转发，当用户需要查询这些特有的纪录时，域的DNS服务器会将解析的要求自动转发到linux上。

如此既能够实现活动名目内资源的地址解析，也能够实现原有linux上提供的纪录的解析。

预期成效所有内网的客户端都将通过域DNS来进行名称解析。

包括登入域和访咨询文件服务器或其他客户端。

每一个加入域的客户端都通过动态注册在DNS 服务器上注册自己的主机纪录(A)和指针纪录(PTR)。

治理员在服务器上能够轻松的了解所有客户端的注册情形。

2.2 活动名目服务2.2.1 背景简介Windows 2003 的活动名目(Active Directory)服务是Windows 2003网络结构的一个必要和不可分离的部分，该服务是专门为分布式的网络环境而设计的。

活动名目能够让企业有效地共享和治理网络资源和用户的信息。

此外，活动名目扮演着网络安全性的要紧权威的角色，它让操作系统预备好验证用户的身份同时操纵他或她对网络资源的访咨询。

同等重要的是，活动名目起到了把系统集成到一起的结合点同时巩固治理任务的作用。

新版Windows 2003的活动名目服务在Windows 2000版本的基础上，保留了大部分体系结构，但在安全性，稳固性和扩展性上又有专门大的进步。

设计Windows 2003活动名目服务要紧包括以下几方面：域结构组织单元结构账号和口令治理站点结构FSMO角色2.2.2 域结构和DC位置规划域结构设计是活动名目中最重要，也是最基础的工作，是多种因素权衡的结果，它既要尽可能贴近用户的治理模式和组织结构，也要考虑网络情形及今后的各种变化。

以下是单域结构有关于其他结构的优点：使用Enterprise Administrators组集中治理整个集团的安全策略。

利用域里的组织单元反映具体的企业内部组织结构。

当机构重组时能够专门灵活的进行调整。

当资源和用户需要在组织机构内迁移时能够专门灵活的调整。

2.2.3 组织单元结构一个组织单元是一个容器对象，用于治理域中的对象，例如：用户账号、组、运算机、打印机和其他的组织单位。

能够使用组织单位在一个逻辑层次中组织各种对象，如此能够体现企业基于部门的或基于地理分界的结构。

能够在域中创建组织单位的层次结构。

组织单位可包含用户、组、运算机、打印机、共享文件夹以及其他组织单位。

组织单位是名目容器对象。

它们表现为“Active Directory 用户和运算机”中的文件夹。

组织单位简化了域中名目对象的视图以及这些对象的治理。

可将每个组织单位的治理操纵权委派给特定的人。

如此，您就能够在治理员中分配域的治理工作，以更接近指派的单位职责的方式来治理这些治理性职责工作。

在中国银行活动名目部署中，组织单元的设计将遵循两点原则：反映中国银行内部的组织结构有利于通过组策略进行细化的终端治理由于用户帐号（在那个地点包括用户组账号）和运算机账号分数两种不同的资源类型，因此也需要分开治理。

通常，应该创建能反映组织单位的职能或商务结构的单位。

例如，您能够创建顶级单位，例如人事、设备治理和营销等部门单位。

在人事单位中，您能够创建其他的嵌套组织单位，例如福利和聘请单位。

在聘请单位中，也能够创建另一级的嵌套单位。

例如，内部聘请和外部聘请单位。

总之，组织单位可使您以一种更有意义且易于治理的方式来模拟本单位实际工作的情形，而且在任何一级指派一个适当的本地权益机构作为治理员。

具体的组织单元结构在进行后续部署时进行细化。

组织单元示意图：2.2.4 账号和口令治理账号治理能够分为个人账号治理、组账号治理和机器账号治理。

个人账号治理个人账号能够分为两类：第一类为一般账号，采纳一人一号的方式，为每一位职员建立自己的账号。

当职员加入或者离开时，按照一定的规则增加或者删除用户的账号。

第二类为专门账号，通常不属于某一位职员，而是为了满足某些专门的功能，例如系统治理、匿名访咨询等等。

专门账号有以下几个：Administrator，系统治理员账号，具有最高的权限，能够进行任何治理操作，该账号不能被删除，只能更换用户名。

为了提升系统的安全性，建议将治理员账号的用户名更换，例如hqadmin（仅仅是建议，系统治理员能够自行决定）。

Guest，匿名登录的账号，为了提升系统的安全性，建议将Guest账号禁止。

服务的账号，在Windows 2003中，每一个服务都需要一个账号，通常这些账号采纳系统账号，无须关怀，但有一些服务需要专门的用户账号。

每个个人账号都有一个口令来爱护，为了防止口令被盗用和攻击，建议在整个域中启用相应的密码策略以保证每个密码都符合一定的复杂度，具体要求如下：长度不得小于7个字符必须包含大写和小写字母Array:例如：姓名英文名帐户名张刚 tony tony.zhang运算机账号治理所有加入到域中的运算机都需要一个运算机账号，通过该帐号，能够对运算机的各种配置进行治理。

建议的运算机命名规则为：部门+序号。

例如：HR-001（人力资源部第一台运算机）。

组账号治理分组治理是重要而有效的治理策略。

在Windows 2003中有三种组帐户：通用组（Universal Group）、全局组（global group）和域本地组（Domain loca l group），全局组能够包括本域的用户帐户（user account），域本地组能够包括本域和资源域的用户帐户和全局组帐户，通用组的使用则没有任何限制。

良好的分组策略能够降低治理的复杂性，幸免安全上的漏洞，大大提升治理的可靠性。

采纳如此的分组策略：按照职位分组。

按职能分组，例如所有的财务人员，所有的科技人员，所有的系统治理员等等。

对职员分类，例如一般职员，临时职员等等。

由于爱护用户和组账号是一项日常的工作，这项工作将由中国银行的IT 人员，依据治理的需求来创建。

第一将所有用户分到各个不同的组织单元(OU)下面。

每个组织单元下还包含一个用户组，该用户组的成员即是该组织单元内的所有用户，如此能够较为轻松的治理用户资源。

2.2.5 治理操纵委派总部集中的治理并不以为着所有与IT有关的操作、配置都必须由总部的IT人员完成，Windows Server 2003的活动名目提供了专门好的委派治理机制，能够有效地减少总部的治理负担，实现既中央集权，又分布治理。

关于一个大型的银行而言，治理IT资源的人员不可能局限于一两个人。

在有多个治理员同时存在的情形下，如何分配治理权限是一个重要的咨询题。

如果权限过于疏松，个不的人为误操作或恶意攻击将对整个企业的环境产生威逼；而权限过于严格，又会产生诸多不便，阻碍工作效率并增加治理负担。

Windows 2003提供了一种叫做治理操纵委派 (Delegation of Administrative Control) 的机制来解决这一咨询题。

通过对不同治理操纵的委派，能够轻松的让某一个或某一组一般用户帐号治理一定的资源，同时又不放松对整个域和其他重要资源的操纵。

通过一定的委派，这些帐号都有权限治理自己分支机构所对应的OU下面所有的用户帐号和运算机账号，包括改名，改密码，创建用户和组，或加入运算机到域内。