工作站加入WINDOWS 安全域實施方案 ,目錄1 綜述 .........................................................

工作站加入WINDOWS 安全域實施方案

目錄

1 綜述 ............................................................ 2

2 部署原則 ........................................................ 2

2.1 安全性 ..................................................... 2

2.2 可冗余性： ................................................. 2

2.3 可擴展性： ................................................. 3

2.4 應急性： ................................................... 3

3 部署前提 ........................................................ 3

4 部署步驟 ........................................................ 4

4.1 更改計算機名稱 ............................................. 4

第一種方法：................................................. 4

第二種方法：（推薦）.......................................... 6

4.2 加入域 ..................................................... 8

4.3 對域用戶的桌面恢復 ........................................ 12

4.4 安全策略應用 .............................................. 15

5 系統(tǒng)測試 ....................................................... 20

6 應急策略 ....................................................... 23

7 部署安排 ....................................................... 23

1

1 綜述

Windows 安全域客戶端的部署是整個項目的正式實施階段，也是項目的核心階段。因此在部署的過程中，誤必做到安全部署，合理部署，按需部署，零風險部署，從而達到順利成功的部署。我們將在方案對如何部署提供了詳細的解決方案。

2 加入安全域原則

2.1 安全性

安全性高，有利于企業(yè)的一些保密資料的管理，比如一個文件只能讓某一個人看, 或者指定人員可以看, 但不可以刪除、更改、移動等操作。同時能有效阻止木馬病毒的入侵行為，防止信息泄漏。域為用戶提供了單一的登錄過程來訪問網(wǎng)絡資源，如他們所具有權限的文件、打印機和應用程序資源。也就是說，用戶可以登錄到一臺計算機來使用網(wǎng)絡上另外一臺計算機上的資源，只要用戶具有對資源的合適權限。域通過對用戶權限合適的劃分，確定了只有對特定資源有合法權限的用戶才能使用該資源，從而保障了資源使用的合法性和安全性。

2.2 可冗余性：

每個域控制器保存和維護目錄的一個副本。在域中，你創(chuàng)建的每一個用戶帳號都會對應目錄的一個記錄。當用戶登錄到域中的計算機時，域控制器將按照目錄檢查用戶名、口令、登錄限制以驗證用戶。

2

當存在多個域控制器時，他們會定期的相互復制目錄信息，域控制器間的數(shù)據(jù)復制，促使用戶信息發(fā)生改變時（比如用戶修改了口令），可以迅速的復制到其他的域控制器上，這樣當一臺域控制器出現(xiàn)故障時，用戶仍然可以進行登錄，保障了業(yè)務的順利進行。

2.3 可擴展性：

在活動目錄中，目錄通過將目錄組織成幾個部分存儲信息從而允許存儲大量的對象。因此，目錄可以隨著組織的增長而一同擴展，允許用戶從一個具有幾百個對象的小的安裝環(huán)境發(fā)展成擁有幾百萬對象的大型安裝環(huán)境。

2.4 應急性：

在部署以后出現(xiàn)系統(tǒng)不能正常運行，影響銀行的正常業(yè)務工作。那么我們能恢復到域部署之前的系統(tǒng)狀態(tài)。

3 加入安全域前提

加入安全域之前需要有以下幾個前提：

3.1 客戶端系統(tǒng)必須是能加入WINDOWS 域的操作系統(tǒng)，如：

Windows NT Workstation、Windows 2000 Professional、Windows 7/vista商用入門版、商用進階版和旗艦版、Windows8專業(yè)版和企業(yè)版。此外, Windows 95 / 98 / Me 、Windows XP 家庭版、Windows 7家庭入門版、Windows 7家庭進階版, Windows8核心

3

版也都沒有加入域的功能。

3.2 網(wǎng)絡的可達性：DNS 能夠為oaad.bocd.com.cn 做域名解析、能

與AD 服務器建立連接。

3.3 將要加入安全域的計算機在域中擁有相應的域賬戶，并且確認

該計算機系統(tǒng)是否在規(guī)劃的范圍。

4 加入安全域步驟

4.1 更改計算機名稱

域管理實際上就是對計算機系統(tǒng)的管理，因此管理就必須要有一個明確的對象名稱，這類似于企業(yè)管理者對員工的管理首先就要知道員工名稱；為了讓管理者對計算機設備的方便管理，制定了相應的命名規(guī)范：BOCD 資產編號后6位，例如：BOCD022352；

步驟如下：

第一種方法：

1、 在桌面上【我的電腦】上點擊鼠標右鍵選擇【屬性】如圖：

4

左圖為XP 系統(tǒng)截圖，右圖為WINDOWS7系統(tǒng)截圖

2、 然后在【系統(tǒng)屬性】里選擇【計算機名】標簽頁，點擊【更改】

按扭，在計算機名編輯框中輸入要更改的新名字：如

BOCD022352，然后點擊【確定】，最后會讓你重新啟動計算機；如圖所示：

5

注：以上是XP 截圖，WIN7和WIN8的設置方法跟XP 都差不多，這里就不截圖了

第二種方法：（推薦）

但在現(xiàn)實系統(tǒng)中環(huán)境，維護人員為減少維護工作量，大多數(shù)計算機系統(tǒng)都是采用克隆的技術。因此就存在大量的計算機系統(tǒng)的SID 號相同。SID 相同的機器加入域往往會產生一些沖突，因此這里介紹另一種修改SID 和更改計算機名稱的方法：運行NewSID 程序，點擊【Next 】然后就能看到當然的SID 號，選擇【Random 】產生一個隨機的SID ，點擊【Next 】會顯示當然的計算機名，然后再輸入新的計算機名再點擊【Next 】，然后提示成功之后重新啟動計算機就完成計算機更名和SID 修改了。如圖所示：

6

7

注：為了避免不必要的維護工作量和錯誤的產生，推薦采用第二種方法。

4.2 加入域

當完成更改計算機名稱后，接下來就是加入域。加入域的步驟如下：

4.2.1 仍然是在【計算機名稱更改】標簽頁里，在【域】編輯框中輸

入：“oaad.bocd.com.cn ”，然后點擊【確認】如圖所示：

8

4.2.2 然后在彈出的對話框輸入域賬戶和密碼：

4.2.3 加入成功之后會有以下提示：

4.2.4 重新啟動后在登陸對話框中選擇登陸到OAAD 域，并輸入域用

戶和密碼，由于用戶第一次登陸需要更改密碼，更改密碼后就

9