设计需求
权限要求
公司按部门进行管理,每部门设经理一位,所有部门归总经理统一管理,每个部门的账号不能登录到其他部门,并且只允许在上班时间登录计算机。部门经理要有添加本部门员工和重设本部门员工账号、密码的权利,以减少管理员工工作量。公司有合理的用户管理制度,所有的用户采用统一的命名规范,按不同的部门管理用户账户。
策略要求
要保证员工账号,密码的安全性,并要求员工定期更改密码,对于试图的密码猜测要有规范。为了体现公司良好的统一形象,要求公司计算机的桌面背景统一,但是市场部桌面背景为另一种占用背景并且不能让员工随意更改桌面背景,但部门经理不受此限制,公司某些部门禁止使用注册表编辑器。将“MBSA”软件分发到各员工的办公机。
域管理要求
为了两台域控制器能更快的提供服务,需要将主域控中的部分操作主机角色转移到额外域控制器中。为了保证员工账户信息的安全性,对活动目录数据库进行定期备份。
项目实施
用户账户
在各部门的OU中分别为该部门员工创建唯一的域用户账户,部门划分如下:
人事部:负责人员招聘、统筹协调各个部门、活动策划等。
技术部:负责办公网络管理维护,售前售后技术支持等。
项目部:负责项目计划目标,开展立项、组织实施等。
市场部:负责客户接洽、项目谈判、市场宣传等。
财务部:负责工资结算、公司账目管理等。
账户名为员工姓名的拼音。要求域用户账户在第一次登录时更改密码。
密码最小长度为8,并且符合复杂性要求。
为每个部门创建全剧组。
部门经理计算机需要安装AD DS管理工具。
委派的各部门经理有对本部门员工修改、删除用户等权限,并可设置员工登录系统的
组策略
建立组策略限制员工办公及=机的桌面背景一致,市场部有所有区分,筛选部门经理
账户不受此策略影响。
建立组策略禁止人事部,市场部和财务部使用注册表编辑器。
建立软件分发策略,将“MBSA”软件分发到所有员工办公机上。
使用精细化策略区分别财务部门。
域管理
建立额外域控制器。
将RID、PDC、基础结构主机三个角色转移到额外域控上。
手动备份一次活动目录。每周六晚10点进行自动备份,按任务计划自动执行活动目录备份并启用AD回收站。
原文:https://blog.51cto.com/15070913/2576857