通常,企业需要选择合适的域架构,为便于理解和成本控制,这里以单林单域(我这儿主域、辅域和边缘域控)的环境做介绍,最大满足100,000人(10万人)公司规模的用户使用。(注意,一般来说子域或多域架构,基于LDAP集成的第三方业务系统license是另外计算的。)
AD域里头有两种对象,一种是计算机对象,一种是用户对象。对应的有计算机策略和用户策略。对象属性信息都要完善的,HR电子化数据有提供人员信息,组织架构内的用户属性可以实时的自动化管理,以1万用户为例,每个小时执行一次遍历自动修改保持组织架构最新的时间大约是5分钟。关闭3389端口,特殊情况的用户对象再由单独专人通过堡垒机访问管理。
AD域管理考核指标:新入职的账号及权限新建应24小时内完成、岗位变动的权限应24小时内更新完成、离职的应于24小时内注销或删除并拿掉权限和匿名化处理。计算机对象应符合对应OU和正确描述,员工账号应在对应的组织架构,正确的安全组。HR提供的字段对应的所有的属性字段应全部完整维护。特别注意,客户名称在任何系统以及任何位置都以代码形式,防止暴露。域同步及时性、每月被锁账号数量等等。
时间服务:域控服务器配置NTP时间服务器地址为time.windows.com,在这里HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\DateTime\Servers,域控服务器的组策略gpedit.msc → 计算机配置 → 管理模板 → 系统 → Windows时间服务不得配置,设置权威服务器reg add "HKLM\SYSTEM\CurrentControlSet\Services\W32Time\Config" /v "AnnounceFlags" /t REG_DWORD /d 10 /f,启用NTP服务器reg add "HKLM\SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\NtpServer" /v "Enabled" /t REG_DWORD /d 1 /f配置新的组策略(不得使用Default Domain Policy编辑,需要另外新建名称gpedit.msc → 计算机配置 → 管理模板 → 系统 → Windows时间服务里头启用全局配置、配置和启用windowsNTP客户端并连接到对应的OU),设置使得加域客户端能自动的时间同步。
更新服务:一台winSer2016加入域,配置更新服务。
优化域控:禁用defender、Chrome浏览器自动更新、禁止自动更新NVIDIA显卡驱动、禁止ProgramDataUpdater、禁用诊断跟踪 、卸载Edge浏览器。
域策略:Default Domain Policy包含域控本身也会被应用,谨慎使用。配置更新和禁用Office更新,禁用所有本地用户并重命名本地管理员、关闭UAC、关闭防火墙、禁止计算机睡眠休眠、禁止USB(只读的单独新建usbREAD允许策略)、导入edge、google、office的admx管理模板配置edge、google、office相关设置、设置统一壁纸、5分钟锁屏、映射公共盘、用户桌面及配置文件重定向到D盘。具体配置步骤不再赘述。
防火墙状态 | 关闭 |
用户帐户控制: 以管理员批准模式运行所有管理员 | 已禁用 |
策略 | 设置 | 注释 |
睡眠时允许待机状态(S1-S3)(接通电源) | 已禁用 | |
睡眠时允许待机状态(S1-S3)(使用电池) | 已禁用 | |
指定无人参与睡眠超时(接通电源) | 已启用 |