欢迎来到天天文库
浏览记录
ID:12408426
大小:157.00 KB
页数:0页
时间:2018-07-16
《xxx企业ad规划建议书》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库。
1、XXX企业AD综合管理策略建议书总页数17正文14附录生效日期:2004-4-1编制:审核:版本:V2.0 Ø 引言ActiveDirectory作为目前微软网络系统的基础架构管理系统,随着应用系统得增加,AD本身的管理直接影响到其他应用的管理;所以AD管理是基础中的基础,本文是针对XXX企业5000人规模的AD作的一些指导性的管理规则。Ø 阅读对象CIO/企业信息主管基于AD应用程序的管理者AD的管理人员目录Ø引言2Ø阅读对象21帐号管理51.1计算机帐号命名规则51.2员工帐号命名规则51.3用户LogonName的命名规则:61.4其他帐号属性填写规则
2、61.5帐号安全策略规则61.6停用删除帐号规则71.7帐号管理者71.8Administrator管理规则72组管理72.1域模式规则82.2内置组的管理82.3基于管理角色的自定义组建立规则92.4分发组管理102.5组的使用基本原则113组织单元管理113.1OU的层次结构规划113.2帐号OU规划123.3成员服务器管理OU的建立规则143.4基于资源的OU管理153.5权限委派管理原则164组策略管理174.1规划GPO原则174.2GPO的管理原则175域控制器及站点部署规则185.1DC规划管理原则:185.2AD管理帐号组的建立规则185.3Si
3、te规划管理原则:195.4DC硬件配置需求206小结1 帐号管理在AD管理中,有两种帐号,计算机帐号和用户帐号,对于XXX企业5,000员工的规模,基本上每个员工对应一个计算机帐号和用户帐号,部分员工甚至对应多个帐号,这样大约有10,000多个帐号需要管理,考虑到企业的增长和人员变动情况,下面我们分别讨论对应的管理策略。1.1 计算机帐号命名规则缺省的情况下:AD中的计算机帐号就是加入到域中的计算机的NetBIOS名;我们也可以通过创建一个计算机帐号对应目标计算机的GUID,虽然计算机帐号的名字可以超过15位,但实际的管理中,AD只取前15位;所
4、以,对计算机帐号的管理我们建议按照NetBIOS名的规范去做即可:1. 计算机名的长度不能超过15位2. 计算机名应尽可能反映出物理使用者的信息,如可以通过以下的规则定义:XX_YYY_ZZZZZZZZ其中:XX代表物理siteYYY代表部门名ZZZZZZZZ可以用不超过8位的字母代表用户,基本上能让管理者能方便的查询到用户。如:HZ_IT_Zhangsan代表杭州IT部的张三的计算机;1.2 员工帐号命名规则员工帐号是AD管理的一个重点,因为帐号有许多的属性,需要作统一规范;考虑到XXX企业是跨国公司,其企业文化按照美国文化为主,建议规则如下:Firstn
5、ame:如果有英文名则用英文名,否则用汉语拼音全名;Lastname:如果有英文姓则用英文姓,否则用汉语拼音姓;Displayname:取系统自动,可以加其他字符作区分。如中文名例:张三Firstname:JerryLastname:ZhangDisplayname:JerryZhang(张三)1.3 用户LogonName的命名规则:目前采用的是员工号为LogonName;这样可以保证用户名在全球企业范围内的唯一;对临时员工或外包员工,在必要的情况下可以按以下规则建立帐号:V-Username,其中V-代表是临时、外包性质,Username取用户通用名,保
6、证其唯一性即可;1.4 其他帐号属性填写规则AD账户的属性,在基于AD的应用中有着丰富的作用,建议以下属性填写正确的内容:² 所属部门:按照HR规定的缩写² 电话号码:分级号码² 移动电话:个人移动电话号² 办公室位置:中(英)文信息,详细到楼层;1.5 帐号安全策略规则为保证必要的安全性,减少网络入侵的可能性,建议通过组策略,强制以下账户策略:² 使用强密码;² 最小密码长度5位² 密码每60天必须改变² 密码保留历史纪录为3个² 密码锁定阈值5
7、次,自动解锁时间3分中² 并对以下时间作审计:n 审核策略更改n 审核登录事件n 审核帐户登录事件n 审核帐户管理1.6 停用删除帐号规则一般不轻易删除帐号,对离职员工帐号作“禁用”设置;1.7 帐号管理者为降低管理成本,可以同过委派的方式,将帐号的完全管理权限委派给以下组:² HelpDesk_Account_Admin² HR_CreatAccount并且严格控制其组成员,建议每个物理站点不超过2个成员;1.8 Administrator管理规则由于Adm
8、inistrator的特
此文档下载收益归作者所有
