小型企业AD域环境搭建项目文档

小型企业AD域环境搭建项目文档

一、项目概述

1.1 项目名称

小型企业AD域环境搭建

1.2 项目背景

为了提升公司信息化管理水平，实现员工账号集中管理、资源权限统一分配、内部通信高效流畅，公司计划建设一个包含100台客户端设备的局域网系统，基于Windows Server环境部署Active Directory域服务，实现多部门、跨组织的账号与资源统一管理。

二、项目设计需求

2.1 计算基础配置信息

- 网络结构：192.168.3.0/24 单网段
- 客户端数量：100台（实验中用两台客户端主机代替）
- 客户端系统：Windows Server 2016
- 域控制器服务器：共部署4台服务器，每域2台（主ADC + 辅BDC）
- 网络拓扑：所有计算机连接至同一交换网络环境中，域控服务器集中于机房中统一管理。

2.2 域部署需求

- 构建两个独立域：magua.com 与 mofa.com，
- 每个域配备：
  - 一台主域控制器
  - 一台辅助域控制器

2.3 权限需求

- 普通员工使用标准权限用户账户，不得有本地管理员权限
- 管理员账户分级管理，部门管理本部门下权限，实施“最小权限原则”
- 文件访问需启用共享策略，两域均可访问对方域中的share文件夹
- 域用户仅可登录自己所在部门的计算机，其他部门登录无效

2.4 策略要求

策略项目	说明
桌面壁纸统一	所有员工桌面背景统一，体现企业形象
限制注册表编辑器使用	限制注册表编辑器使用
软件分发	要求将WinRAR分发各办公机

三、部署规划
1.环境准备（略）

A.安装 Windows Server 2019/2022

B.设置静态 IP 和 DNS

C.修改服务器名称

2.域环境搭建

A.添加角色：Active Directory Domain Services

B.安装完成后，使用“推广此服务器为域控制器”

C.新建域、新建林

D.设置恢复密码（DSRM）

E.自动安装 DNS

F.将客户机加入域

1. 域管理（设置自动备份）建立额外域控制器

1. 在两域主域控制器上手动备份一次

1. 设置每周天晚10点自动备份，并启用AD回收站功能

1. 分别为两域建立额外域控制器

1. 迁移角色到额外域控制器

1. 用户账户设置

1. 创建各部门OU

1. 在各部门的OU中分别创建部门员工唯一域用户账户

1. 账户名为员工职位拼音，要求第一次登录修改密码

1. 密码最小长度8，符合复杂度要求

1. 根据资源访问的需要创建对应的全局组和本地组

1. 部门经理计算机安装ADDS管理工具

1. 各部门经理有本部门员工账户修改删除等权限

1. 组策略管理

1. 在双域上都建立组策略，限制员工计算机桌面背景一致，销售部门有所区分

1. 静止人力部，行政部，财务部使用注册表编辑器

1. 建立软件分发策略

1. 文件共享

五、测试方案

- 用户登录测试：模拟员工登录及权限验证
- GPO测试：验证策略（如禁止U盘）是否生效
- 文件共享测试：验证不同组用户访问权限是否正确
- 宕机恢复测试：测试主域控制器离线后，BDC是否正常接管