Active Directory是IT基础架构的核心,也是构建声音的主要步骤,网络安全态势并保持合规,要创建正确的基础架构,必须遵循一些基本步骤以避免配置和安全性问题。
应用于新域或在重组现有域时应用的一些步骤
- 坚持基本原则
- 创建适当的站点拓扑
- 有专门的域控制器
- 不同服务器上的主机域控制器
- 创建可扩展的结构
- 在设置服务器之前设计管理计划
- 命名约定和说明
- 仅在需要时进行后勤更改
- 制定迁移策略
- 分配足够的内存空间
- 硬件配置
坚持基本原则
保持您的活动目录尽可能简单将有助于提高整体效率,并将使故障排除过程更容易。为每个部门设计一个域可能看起来很理想,但通常建议运行较少的有效域。为每个部门创建域的另一种方法是使用组织单位(OU)。
创建适当的站点拓扑
大型网络通常需要多个Active Directory站点。站点拓扑结构应反映网络拓扑结构,连接的网络部分应放置在单个站点内。
有专门的域控制器
让域控制器在专用服务器(物理或虚拟)上运行是一种很好的做法。在域控制器中添加多个角色会影响性能、降低安全性,并且会导致服务器备份和恢复的复杂性。
不同服务器上的主机域控制器
组织通常有多个域控制器作为备份机制,以防以下情况之一域控制器失败。但是,服务器通常会绕过这种冗余虚拟化。有时,组织将其所有虚拟化域控制器放在单个虚拟化主机服务器。因此,如果该主机服务器出现故障,则所有域控制器也将受到影响。
创建可扩展的结构
大多数组织开始时都有一个精心安排的活动目录架构。然而,随着时间的推移,Active Director会变得相当复杂。为了避免这种情况,提前计划最终的Active Directory增长是明智的。尽管很难准确地预测Active Directory将如何发展,但是可以定义一些治理实践来规定在它发展时将使用的结构。
在设置服务器之前设计管理计划
除了预先规划Active Directory结构外,还应该制定一个良好的管理计划。谁来管理Active Directory?职责是根据域还是OU划分的?这些类型的管理决策必须在实际设置域控制器之前做出。
命名约定和说明
坚持AD对象的标准命名格式将使故障排除更加容易。在构建网络中的基础设施、用户、客户机、服务器、设备、组和共享之前,定义一个命名约定。
仅在需要时进行后勤更改
Active Directory的设计是灵活的,并且可以在不停机或数据丢失的情况下对其进行重大重组。但是,在某些情况下,重组过程会导致一些Active Directory对象损坏,特别是在运行不同版本Windows Server的域控制器之间移动对象时。
制定迁移策略
有一个适当的迁移策略是您的整体设计计划的一个组成部分,以应对任何可能的失败。这包括研究当前或建议的配置细节,并对将要迁移的域的各个方面进行分类。
分配足够的内存空间
Active Directory域控制器的一个重要属性是它们的内存空间,建议在磁盘上预留两倍于AD数据库大小的内存,有了足够的内存,Active Directory服务器对磁盘访问的依赖就会大大减少,而且通过更快、无问题的用户身份验证,性能得到了极大的提高。
硬件配置
域控制器的主要职责是验证和验证用户对网络的访问。为了确保服务不中断,部署足够数量的域控制器至关重要。
Active Directory 工具
ADManager Plus是一个集成的AD、Exchange Server、Microsoft 365、Skype for Business (Lync)和Google Workspace管理和报告解决方案。此工具允许您安全地将基于 OU 和组的 AD 任务委派给技术支持人员,还提供可自定义的工作流程,可帮助您简化和监控 AD 任务的执行,以及自动执行关键任务和例程。
- 从单个控制台管理AD、Exchange、Microsoft 365、Skype for Business和Google Workspace。
- 200 多个预打包的 AD 报告。
- 为AD用户和组批量创建Exchange邮箱。
- 通过模板或csv批量创建具有适当许可证的Microsoft 365用户。
- 自动化日常操作,如用户配置和AD清理。
- 使用多级工作流以工单为基础执行 AD 任务。
- 通过iOS和Android应用程序管理AD。
