小型AD域方案

方案背景

APang从漂亮国回国发展，最近收购了一教学公司，要为其部署一套AD域控，于是联系到了我们IT博尔特。

IT博尔特（IT Bolt）是一家深耕企业级IT基础设施服务的科技公司，专注于 Windows Server Active Directory（AD）域架构设计、部署与全生命周期管理。我们以AD域控为核心，为企业提供从本地化部署、混合云集成到安全加固的一站式解决方案，助力客户实现高效、安全的IT资源管理与数字化转型。

基础规划

域管理方案

•需要采用一主一备的架构，要区分领导域和员工域，基于此设置bg.com和bc.com两个域和相应的辅助域。

•分别在两个域的主域控制器上手动备份一次 AD。每周六晚 10 点进行自动备份，按任务计划自动执行 AD 备份并启用 AD 回收站功能。

•将域 bg.com 上的 RID、PDC、基础结构主机3个角色转移到额外域控制器上。

•将域 bc.com 上的架构主机、域命名主机2个角色转移到额外域控制器上。

用户账户设置

在各部门的 OU 中分别为该部门员工创建唯一的域用户账户，部门划分如下

•人力部:负责人员招聘、统筹协调各部门、活动策划等

•行政部:负责制订项目计划目标、开展立项、组织实施等

•销售部:负责客户接洽、项目谈判、市场宣传等。

•财务部:负责工资结算、公司账目管理等。

•教学部:负责课程的研发和教学实施等。

账户名为员工姓名的拼音。要求域用户账户在第一次登录时更改密码。

密码最小长度为8，并且符合复杂性要求。

根据资源访问的需要分别创建对应的全局组和本地组

本域委派的各部门经理有对本部门员工的账户有修改、删除等权限，并可设置员工登录系统的时间。

组略管理

在域 bg.com 和域 bc.com 上都需要建立组策略，以限制员工办公机的桌面背景一致，销售部有所区分，部门经理账号不受此策略的影响。

在域 bg.com 上建立组策略，以禁止人力部、行政部和财务部使用注册表编辑器。

在域 bg.com 和域 bc.com 上建立软件分发策略，将 智能时钟 软件分发到所有员工的办公机上。

在域 bg.com 上使用精细化密码策略区分财务部门。

本文IT博尔特如有雷同，纯属巧合