应用研究
数事教术导用
系统信息化活动目录基础架构在浙江省能源集团
的应用叶向东何莹婷来晨
(浙江天工自信科技工程有限公司浙江杭州310003)
摘要：为了在渐江省能源集团有限公司（以下荫称"新能集团”)范围内，建立统一的1T“实体"（用户惨号、计算机，网络资源)管理中心，提高1T管理的效率，降低维护成本，建立基于活动目录的安全管理中心，统一管理策略，提供信息系统的整体安全性。新江省能源集因有限公司建立统一规划的目录服务平台，平台采用Window%2008R2系统的ActiveDirectory架构作为目录服务的基础架构
关键调：活动目承基础架构身份验证
中图分类号：TN915 1、引言
文献标识码：A
文章编号：1007-9416(2011)11-0042-02
操作主控，其他各个电厂以站点的形式和集团主域连接，实现统
随着信息技术的发展，统一身份验证体系的建设与服务在企业生产、科技活动中起着重要的作用。浙江省能源集团有限公司计划在本部与各下属单位之间建立一套统-的基础架构系统，通过制定相关规则，建立企业级的统一-安全策略、用户账号、计算机和网络资源，以适应当前企业信息化的发展。
微软活动目录基础架构是Windows操作系统的核心组件，它为用户管理网络环境各个组成要素的标识和关系提供了--种有力的手段。活动目录存储了有关网络对象的信息，并且让管理员和用户能够轻松地查找和使用这些信息。活动目录使用了一种结构化的数据存储方式，并以此作为基础对目录信息进行合乎逐辑的分层组织。
2、系统概述
2.1功能概述
活动目录主要提供以下功能
(1)基础网络服务：包括DNS城名解析、DHCP网络地址分配，证书服务等。
(2)服务器及客户端计算机管理：管理服务器及客户端计算机账户，所有服务器及客户端计算机加人域管理并通过实施不同的组策略，达到对不同分组服务器和客户端的管理，
(3)用户服务：管理用户城账户，用户信息、企业通讯录(与电子邮件系统Exchange集成），用户组管理，用户身份认证，用户权限管理以及用户软件控制策略等
(4)资源管理和共享服务：管理网络打印机、文件其享服务等网络资源，对不同的用户，进行差别化的权限分配
(5)计算机策略配置：系统管理员可以集中的配置各种计算机策略配置，如：界面功能的限制、应用程序执行特征限制、网络连接限制、安全配置限制等，
(6)应用系统基础平台：支持补丁管理、企业门户，电子邮件、财务、人事，办公自动化、防病毒系统等各种应用系统。
2.2技术概述
MicrosoftActiveDirectory服务是Windows平台的核心组件。 ActiveDirectory存储了有关网络对象的信息（包括用户账户，计算机和网络资源等），并且让管理员和用户能够轻松地查找和使用这此信息，ActiveDirectory使用了一种结构化的数据存储方式，并以此作为基础对目录信息进行合乎逻辑的分层组织。
物理结构：采用单林单城多OU的形式，集团的两台服务器作为主城控，实现多点容错和性能优化，制定活动目录复制策略和
42 万数据
一管理。
逻辑结构：集团本部统-一作为单域，按各个电厂行成OU。安装和配置DNS服务以支持活动目录，配置活动目录对象的访间控制，
做委派授权，实现对用户权限的控制和统一化的管理。 3、部著方案
3.1网络拓扑结构
浙能集团互联网络包括城域网、广域网及VPN网，采用星型结构组网（各下属企业高城网不互通），成城网采用100M速率的课光纤互联，连接在杭子公司，广城网采用2*2M速率的渐江电力通信 SDH专线，10M速率的中国电信MPLS-VPN线路互联，实现双链路负载元余，连接非在杭下属企业，VPN网采用IPSEC加密方式.通过中国电信Internet网，中国网通Internet网连接筹建单位。浙能集团各单位内部采用10/100/1000M以太网技术组网。
3.2部署方式
根据项目要求，硬件平台统一采用HP或者IBM高性能服务器，软件平台统采用Windows2008R2企业版平台。50人以上的子公司，每个公司放置两台域控制器，台作为主城控服务器，另台作为备域控服务器。50人以下的子公司，每个公司放置-台城控制器。组考虑到容错，建议都放2台城控制器。主域控和备城控服务器均配置为可读写域控制器，其中集团本部和下属各单位的主域控服务器义作为全局编求服务器（GC)，
首先将Windows2008R2企业版操作系统完全安装，修改城控服务器的DNS.指向自己和另一台城控然后安装ActiveDi-rectory域服务运用提升工具Dcpromo进行服务器的提升，在提升过程中同时安装城集成的DNS服务。重启服务器之后，安装组策略服务等。
在城控中，创建站点、组织单位，批量导人需要创建的用户账户、用户属性、计算机账户等信息，同时针对不同的人员和不同的管理性质进行权限分配，可分为Administrators(管理员组），Domain Admins(指定的城管理员），OU管理员、ServerOperators(域服务管理员组),GPOCreators(GPO创建组），Event Log Readers(本地事件读取组)、Domianusers(普通域账户)等，对于集团本部及下属各单位的所有计算机要求全部加人浙能集团城
活动目录基础架构通过已建立的管理平台，从基础阶段向合理化阶段和动态化阶段过渡，通过微软其它产品的部署（如SCCM 2007和SCOM2007)使之能够从人为的管理到自动监测、自动管理阶段。
3.3系统详细设计