1.2系统结构 企业电子系统拓扑结构是以中心站点为核心,包含8个分站点的星型结构,物理链路使用广域网链路。
系统建立的活动目录在结构上是一个单林单域结构,每个分站点是一个活动目录物理站点,并和中心站点进行双向复制。
系统以站点为管理组,采用单个路由组的方式实现的传递。每个管理组由前端和后端组成,其中前端是由若干台服务器组成的网络负载均衡(NLB)为用户提供访问,后端则是由若干台服务器组成的服务器群集(MSCS)来存储数据。
系统在中心站点设置统一的Internet出口,所有入站和出站都要通过中心站点的网关。
关键字企业、电子账号管理、电子系统规划、Exchange2003 第二章 管理规 2.1管理体系 信息管理部是电子系统的管理部门,负责电子系统的规划、设计、建设与管理,下达年度运行维护任务,审定年度运行维护计划,签订运行维护部任务书,检查运行维护工作,组织考核。
勘探开发研究院负责电子系统运行维护工作,组建电子中心站点,设立电子系统负责人、电子管理员。电子系统负责人全面负责电子系统的日常管理工作,电子管理员负责电子系统的运行维护工作。
电子分站点负责本站点电子系统设备的运行维护工作,负责接入单位管理员的技术支持。分站点应设置至少两名专职的电子服务器管理员,应保证服务器管理员的培训时间,保持其稳定性。未经中心站点批准,不得随意变更管理员岗位。
各应用单位应设置本单位的电子管理员,负责本单位管理工作;
应关闭原来自建的电子系统,停用在互联网上注册的,使用总公司统一的电子系统,采用统一的域名。
2.2 岗位职责 根据工作岗位不同,电子管理员设置为三级,分别为系统管理员、服务器管理员和管理员。电子管理员的上岗流程是,填写电子管理员申请表,由本单位信息主管领导签章确认,经培训合格后,签署承诺书,再由中心站点授予权限后上岗。电子管理员的岗位职责是 l 系统管理员 电子系统管理员只在中心站点设置,负责整个电子系统的运行维护、故障排除,负责制定、测试和实施系统升级方案,负责系统的分级授权管理,负责对服务器管理员和管理员进行技术支持。
l 服务器管理员 服务器管理员设置在各站点,其职责包括监控、维护本站点的正常运行,为接入单位管理员提供技术支持;
向系统管理员报告系统运行中出现的故障,配合中心站点排障;
汇总、分析本站点运行维护及使用情况,每月26日向中心站点提交站点运行维护月报。
l 管理员 管理员的岗位职责包括建立、变更和注销本单位OU和电子用户;
维护本单位OU和用户信息,保持其完整性和准确性,及时清理不活动的过期;
保持与系统管理员和服务器管理员的沟通,及时解决本单位用户在使用电子过程中遇到的各类问题;
每季度统计本单位数量,总结管理工作,并于下季度的第一周向中心站点提交总结报告。
2.3管理守则 一、 严格遵守国家制定的法律法规,不得散布违反国家法律法规的信息。遵守企业条例,不得泄露企业。
二、 高度本人管理,定期更改密码,严防泄密问题。
三、 不得将管理交给他人,一旦发现将追究管理员责任并停止的权限。如擅自将管理交予他人而造成误操作等管理事故,将由中心站点追究其责任,作为重大责任事故处理。
四、 管理员信息发生改变,必须第一时间将情况上报中心站点,由中心站点及时将管理作出相应处理,以避免造成泄密、责任事故等问题。
五、 按要求填写运行情况报告上交中心站点,服务器管理员每月提交运行维护月报,账号管理员每季度提交运行维护季报,详细报告运行维护状况。
六、 由于企业各应用系统使用统一的活动目录用户身份验证,当用户信息发生改变时可能会影响其他应用服务,在操作前一定要先做好各应用系统的沟通工作,以免造成用户权限丢失或其他应用问题。
七、 管理员应熟读管理员手册并熟悉自己负责的工作容和岗位职责,遇到本人不确定的事务及时联系中心站点寻求支持,不要违规操作,发现管理员无法胜任本职工作的,中心站点有权停止管理员的权限并要求管理员再次进行培训。
八、 严格按照电子管理办法执行相关操作流程,妥善保存申请表单及各种记录表单备查,便于信息管理部、中心站点、站点及单位领导检查工作。
九、 在用户支持的问题处理阶段,进行可能有风险的操作前务必做好数据备份工作,以免造成用户数据丢失。
十、 秉承为用户服务的原则,妥善处理用户关系不要与用户发生争执冲突,处理问题时诚恳、准确、高效,努力创造良好工作环境。
第三章 活动目录和基础知识 管理员的主要工具是“Active Directory 用户和计算机”(即“企业电子管理工具”)。“Active Directory 用户和计算机”利用了Windows 2003和Windows XP本身的管理控制台(MMC)功能,实现对活动目录中用户和用户属性的管理。为了让管理员更清楚的了解自己的操作,在介绍具体管理工作之前,我们先介绍一下活动目录和系统的基础知识。
3.1活动目录的逻辑结构 活动目录是Windows服务器版本操作系统提供的服务,它提供了统一的对于对象存储、访问、检索、管理、安全的方式。
什么是活动目录 活动目录是一个系统服务,它的作用是标识网络中的所有资源,并使这些资源对用户和程序可用。它提供了对对象的快速访问方式。
我们可以给活动目录下一个定义一个目录就是一个用于储存用户感兴趣对象信息的信息源。如一个目录储存了有关用户的信息;
在一个文件系统中,文件目录就储存了有关文件的信息。
活动目录有哪些特点 l 与DNS集成活动目录使用于DNS一致的命名方式,和DNS保持同样的层次结构,DNS对活动目录的健康是至关重要的,所以必须要保证所有的客户端都配置了正确的DNS。
l 可扩展性活动目录具有很好的可扩展性,可以适应组织的快速增长的需求。
l 集中管理活动目录支持对对象的集中管理,可以由中心管理员通过统一的接口对目录对象进行集中的管理。
活动目录能做什么 l 活动目录功能活动目录提供目录服务功能,包括一种集中组织、管理和控制网络资源访问的方法。活动目录使物理网络拓扑和协议透明化,这样网络上的用户可以访问任何资源,而不需要知道资源在什么地方或物理上它是如何连接网络上的。
l 集中的控制网络资源一个运行Windows 2003的服务器可以在活动目录中存储系统配置、用户配置文件和应用程序信息等,管理员可以通过统一的集中界面管理桌面、应用程序和网络服务,只有被验证的用户才能访问网络资源,确保安全性。
l 实现用户的单一登录用户只要登录域中,访问整个网络和信任网络都不再需要重新输入帐户和密码,实现单一登录,提高效率。
l 对象存储安全性在活动目录中,对象被存储到具有安全层次的逻辑结构中,确保对象不被恶意修改。
l 优化网络流量借助活动目录的物理结构,可以有效的控制和优化网络流量,提高用户登录速度。
林、树、域和组织单元(OU) 活动目录具有逻辑结构和物理结构两大部分,在这里我们主要介绍活动目录的逻辑结构,它主要包括以下四种结构 l 林活动目录的林是活动目录最外层的安全边界,也是活动目录最大的对象,同一个林的所有域之间均具有双向可传递信任关系并共享同样的架构和配置信息等。
l 树由多个具有连续名称空间关系连接在一起的域组成的结构称为树。
l 域域是一个基本的安全单元和复制单元,它是活动目录中的一个基本单元。域是出于管理考虑定义的管理集合。
n 安全单元一个域具有独立的安全策略和管理边界,域管理员只能管理自己的域(除非有授权或委派) n 复制单元域中的域控制器具有本域对象的完整副本,并参与复制以同步信息。
l 组织单元(OU)组织单元是出于管理需要建立的活动目录逻辑容器,用于将对象存储在层次的逻辑结构中,便于管理和维护。
OU的层次关系 OU是有层次关系的,其层次关系取决于组织的管理需求。在企业的活动目录系统中,是按组织机构划分了多层OU的(具体可参见组织结构图)。
3.2活动目录的对象安全性 活动目录中存储着大量的对象,这些对象都有着严密的安全保护,以防止意外的修改或未授权的访问。标准权限包括完全访问、写入、读取等。这些安全权限控制着对象只能被授权用户访问,在本系统中,管理员的权限被设置为限定在自己所在的OU。
活动目录对象的安全性描述 活动目录对象的安全性是通过安全主体、安全描述符和安全标识符来共同决定的。体现在对象上就是对象的安全页和审核页,其中安全页是随机访问控制列表(DACL),而审核页则为系统访问控制列表(SACL)。
3.3DNS和活动目录 活动目录中的DNS Domain Name Service(DNS)称为域名服务系统,是一个有层次的分布式数据库,包含DNS域名到各种类型数据的映射。其主要作用就是将域名翻译为其对应的IP地址。不仅如此,DNS在活动目录中起着重要的作用。
DNS和活动目录结合可以提供如下的优点 l 支持活动目录结构 l 使用活动目录复制代替和实现区域复制 l 安全动态更新 l 多主操作机制 l 可用性高 l 单点故障率低 l 支持增量区域复制 客户计算机如何通过DNS定位域控制器 DNS还为客户端寻找域控制器(DC)提供了帮助,所有的域控制器都会在DNS的合适区域里创建自己的SRV记录,客户计算机通过查询DNS的特定SRV记录,以获得本站点的DC地址列表,从而找到最近的DC以提供登录验证服务。因此,正确配置客户端的DNS是非常重要的,必须保证配置的DNS可以或间接可以找到域的信息,通常我们建议配置客户端DNS为本站点的DNS服务器或可以转发到本站点DNS服务器的其他DNS服务器。
1、 用户登录域,开始活动目录搜索。
2、 网络收集用户提交的登录信息,判定其所在站点,提交信息给DNS进行查询 3、 D