工作站加入WINDOWS安全域实施方案

2017-03-27

16525

工作站加入WINDOWS 安全域实施方案 ,目录1 综述 .........................................................

工作站加入WINDOWS 安全域实施方案

1 综述 ............................................................ 2

2 部署原则 ........................................................ 2

2.1 安全性 ..................................................... 2

2.2 可冗余性： ................................................. 2

2.3 可扩展性： ................................................. 3

2.4 应急性： ................................................... 3

3 部署前提 ........................................................ 3

4 部署步骤 ........................................................ 4

4.1 更改计算机名称 ............................................. 4

第一种方法：................................................. 4

第二种方法：（推荐）.......................................... 6

4.2 加入域 ..................................................... 8

4.3 对域用户的桌面恢复 ........................................ 12

4.4 安全策略应用 .............................................. 15

5 系统测试 ....................................................... 20

6 应急策略 ....................................................... 23

7 部署安排 ....................................................... 23

1 综述

Windows 安全域客户端的部署是整个项目的正式实施阶段，也是项目的核心阶段。因此在部署的过程中，误必做到安全部署，合理部署，按需部署，零风险部署，从而达到顺利成功的部署。我们将在方案对如何部署提供了详细的解决方案。

2 加入安全域原则

2.1 安全性

安全性高，有利于企业的一些保密资料的管理，比如一个文件只能让某一个人看, 或者指定人员可以看, 但不可以删除、更改、移动等操作。同时能有效阻止木马病毒的入侵行为，防止信息泄漏。域为用户提供了单一的登录过程来访问网络资源，如他们所具有权限的文件、打印机和应用程序资源。也就是说，用户可以登录到一台计算机来使用网络上另外一台计算机上的资源，只要用户具有对资源的合适权限。域通过对用户权限合适的划分，确定了只有对特定资源有合法权限的用户才能使用该资源，从而保障了资源使用的合法性和安全性。

2.2 可冗余性：

每个域控制器保存和维护目录的一个副本。在域中，你创建的每一个用户帐号都会对应目录的一个记录。当用户登录到域中的计算机时，域控制器将按照目录检查用户名、口令、登录限制以验证用户。

当存在多个域控制器时，他们会定期的相互复制目录信息，域控制器间的数据复制，促使用户信息发生改变时（比如用户修改了口令），可以迅速的复制到其他的域控制器上，这样当一台域控制器出现故障时，用户仍然可以进行登录，保障了业务的顺利进行。

2.3 可扩展性：

在活动目录中，目录通过将目录组织成几个部分存储信息从而允许存储大量的对象。因此，目录可以随着组织的增长而一同扩展，允许用户从一个具有几百个对象的小的安装环境发展成拥有几百万对象的大型安装环境。

2.4 应急性：

在部署以后出现系统不能正常运行，影响银行的正常业务工作。那么我们能恢复到域部署之前的系统状态。

3 加入安全域前提

加入安全域之前需要有以下几个前提：

3.1 客户端系统必须是能加入WINDOWS 域的操作系统，如：

Windows NT Workstation、Windows 2000 Professional、Windows 7/vista商用入门版、商用进阶版和旗舰版、Windows8专业版和企业版。此外, Windows 95 / 98 / Me 、Windows XP 家庭版、Windows 7家庭入门版、Windows 7家庭进阶版, Windows8核心

版也都没有加入域的功能。

3.2 网络的可达性：DNS 能够为oaad.bocd.com.cn 做域名解析、能

与AD 服务器建立连接。

3.3 将要加入安全域的计算机在域中拥有相应的域账户，并且确认

该计算机系统是否在规划的范围。

4 加入安全域步骤

4.1 更改计算机名称

域管理实际上就是对计算机系统的管理，因此管理就必须要有一个明确的对象名称，这类似于企业管理者对员工的管理首先就要知道员工名称；为了让管理者对计算机设备的方便管理，制定了相应的命名规范：BOCD 资产编号后6位，例如：BOCD022352；

步骤如下：

第一种方法：

1、在桌面上【我的电脑】上点击鼠标右键选择【属性】如图：

左图为XP 系统截图，右图为WINDOWS7系统截图

2、然后在【系统属性】里选择【计算机名】标签页，点击【更改】

按扭，在计算机名编辑框中输入要更改的新名字：如

BOCD022352，然后点击【确定】，最后会让你重新启动计算机；如图所示：

注：以上是XP 截图，WIN7和WIN8的设置方法跟XP 都差不多，这里就不截图了

第二种方法：（推荐）

但在现实系统中环境，维护人员为减少维护工作量，大多数计算机系统都是采用克隆的技术。因此就存在大量的计算机系统的SID 号相同。SID 相同的机器加入域往往会产生一些冲突，因此这里介绍另一种修改SID 和更改计算机名称的方法：运行NewSID 程序，点击【Next 】然后就能看到当然的SID 号，选择【Random 】产生一个随机的SID ，点击【Next 】会显示当然的计算机名，然后再输入新的计算机名再点击【Next 】，然后提示成功之后重新启动计算机就完成计算机更名和SID 修改了。如图所示：