一、活动目录架构图

二、面临的问题

1、信息'孤岛'多，数据冗余大；

2、用户需要记忆多份登录凭证；

3、数据资源访问繁琐；

4、企业制定的IT系统管理规范无法被贯彻实施。

三、解决方案

通过Windows Server 2012R2 的AD（活动目录）功能，我们可以将所有的AD对象（用户、计算机、打印机、文件等）存储在AD数据库中，然后通过AD实现集中化的管理，实现集中化管理后，我们可以随时、灵活的根据单位需求定制统一的安全管理策略，减少问题，例如：

1）配置动态的IP管理策略，以后所有用户计算机的IP都由服务器统一租用，用户不允许配置静态的IP信息，没有权力更改相关配置。

2）用户每天开机后，都自动将自己的计算机信息注册到DNS、WINS服务器中，不需要管理手工来注册、维护用户计算机信息，保证单位内部DNS、NETBIOS列表是动态安全的。

3）用户以后每天上班打开计算机只能登陆到我们的AD域中，登陆到指定的计算机，不可以登陆到本地，保证只有通过验证的用户才能登陆计算机。

4）定制统一、安全的个人防火墙策略，防止网络、蠕虫的攻击

5）定制统一的IE安全策略，禁止流氓软件、恶意网络攻击、随意更改IE配置。

6）通过AD定制用户的应用权限，当有一台或几台计算机感染木马、蠕虫等病毒时，由于用户的权限有限，所以中毒计算机的传播能力很差，对整个企业网络不会造成很大的影响。

7）定制统一的外设（U盘、移动设备等）访问机制，禁止网络邻居功能，减少用户通过外设和网络邻居随意泄密文档、传播病毒。

8）定制统一的密码策略，不符合安全的密码策略的用户不能登陆计算机。

9）定制统一更新补丁的安全策略，用户的计算机在规定的时间会到指定的安全服务器上更新最新的补丁，然后通过SＣＣＭ可以产看相关的更新信息。

10）根据单位的需求可以随时配置新的安全策略、修改以前的安全策略、更改安全策略应用的对象（什么用户收到策略的影响，什么用户不受策略的影响）。

由于采取了集中化管理，以上所有的安全配置都是由域管理员在服务器端集中配置的，用户不能进行任何修改，所以实现了很高的安全管理。