构建 Active Directory 域的最佳实践

Active Directory是IT基础架构的核心，也是构建声音的主要步骤，网络安全态势并保持合规，要创建正确的基础架构，必须遵循一些基本步骤以避免配置和安全性问题。

应用于新域或在重组现有域时应用的一些步骤

• 坚持基本原则
• 创建适当的站点拓扑
• 有专门的域控制器
• 不同服务器上的主机域控制器
• 创建可扩展的结构
• 在设置服务器之前设计管理计划
• 命名约定和说明
• 仅在需要时进行后勤更改
• 制定迁移策略
• 分配足够的内存空间
• 硬件配置

坚持基本原则

保持您的活动目录尽可能简单将有助于提高整体效率，并将使故障排除过程更容易。为每个部门设计一个域可能看起来很理想，但通常建议运行较少的有效域。为每个部门创建域的另一种方法是使用组织单位(OU)。

创建适当的站点拓扑

大型网络通常需要多个Active Directory站点。站点拓扑结构应反映网络拓扑结构，连接的网络部分应放置在单个站点内。

有专门的域控制器

让域控制器在专用服务器(物理或虚拟)上运行是一种很好的做法。在域控制器中添加多个角色会影响性能、降低安全性，并且会导致服务器备份和恢复的复杂性。

不同服务器上的主机域控制器

组织通常有多个域控制器作为备份机制，以防以下情况之一域控制器失败。但是，服务器通常会绕过这种冗余虚拟化。有时，组织将其所有虚拟化域控制器放在单个虚拟化主机服务器。因此，如果该主机服务器出现故障，则所有域控制器也将受到影响。

创建可扩展的结构

大多数组织开始时都有一个精心安排的活动目录架构。然而，随着时间的推移，Active Director会变得相当复杂。为了避免这种情况，提前计划最终的Active Directory增长是明智的。尽管很难准确地预测Active Directory将如何发展，但是可以定义一些治理实践来规定在它发展时将使用的结构。

在设置服务器之前设计管理计划

除了预先规划Active Directory结构外，还应该制定一个良好的管理计划。谁来管理Active Directory?职责是根据域还是OU划分的?这些类型的管理决策必须在实际设置域控制器之前做出。

命名约定和说明

坚持AD对象的标准命名格式将使故障排除更加容易。在构建网络中的基础设施、用户、客户机、服务器、设备、组和共享之前，定义一个命名约定。

仅在需要时进行后勤更改

Active Directory的设计是灵活的，并且可以在不停机或数据丢失的情况下对其进行重大重组。但是，在某些情况下，重组过程会导致一些Active Directory对象损坏，特别是在运行不同版本Windows Server的域控制器之间移动对象时。

制定迁移策略

有一个适当的迁移策略是您的整体设计计划的一个组成部分，以应对任何可能的失败。这包括研究当前或建议的配置细节，并对将要迁移的域的各个方面进行分类。

分配足够的内存空间

Active Directory域控制器的一个重要属性是它们的内存空间，建议在磁盘上预留两倍于AD数据库大小的内存，有了足够的内存，Active Directory服务器对磁盘访问的依赖就会大大减少，而且通过更快、无问题的用户身份验证，性能得到了极大的提高。

硬件配置

域控制器的主要职责是验证和验证用户对网络的访问。为了确保服务不中断，部署足够数量的域控制器至关重要。

Active Directory 工具

ADManager Plus是一个集成的AD、Exchange Server、Microsoft 365、Skype for Business (Lync)和Google Workspace管理和报告解决方案。此工具允许您安全地将基于 OU 和组的 AD 任务委派给技术支持人员，还提供可自定义的工作流程，可帮助您简化和监控 AD 任务的执行，以及自动执行关键任务和例程。

• 从单个控制台管理AD、Exchange、Microsoft 365、Skype for Business和Google Workspace。
• 200 多个预打包的 AD 报告。
• 为AD用户和组批量创建Exchange邮箱。
• 通过模板或csv批量创建具有适当许可证的Microsoft 365用户。
• 自动化日常操作，如用户配置和AD清理。
• 使用多级工作流以工单为基础执行 AD 任务。
• 通过iOS和Android应用程序管理AD。