确定部署项目参与者

为 Active Directory 域服务 (AD DS) 建立部署项目的第一步是组建设计和部署项目团队,他们将负责管理 Active Directory 项目周期的设计阶段和部署阶段。 此外,必须确定在部署完成后负责管理和维护目录的个人与组。

定义特定于项目的角色

组建项目团队的一个重要步骤是确定哪些人拥有特定于项目的角色。 这包括执行发起人、项目架构师和项目经理。 这些人负责运行 Active Directory 部署项目。

任命项目架构师和项目经理后,这些人将在整个组织中建立沟通渠道,制定项目日程,并从各个所有者开始确定项目团队成员。

执行发起人

部署 AD DS 之类的基础结构可能会对组织产生广泛影响。 因此,必须指派一名了解部署业务价值、在执行级别为项目提供支持,并帮助解决整个组织中的冲突的执行发起人。

项目架构师

每个 Active Directory 部署项目都需要有一名项目架构师来管理 Active Directory 设计和部署决策过程。 架构师提供技术专业知识来帮助完成 AD DS 的设计和部署过程。

注意

如果组织中没有具备目录设计经验的人员,可以聘请一位 Active Directory 设计和部署专家作为外部顾问。

Active Directory 项目架构师的职责包括:

  • 负责 Active Directory 设计

  • 了解并记录关键设计决策的理由

  • 确保设计符合组织的业务需求

  • 在设计、部署和运营团队之间建立共识

  • 了解 AD DS 集成应用程序的需求

最终的 Active Directory 设计必须反映业务目标和技术决策的组合。 因此,项目架构师必须评审设计决策,以确保设计符合业务目标。

项目经理

项目经理促进业务部门之间以及技术管理组之间的合作。 理想情况下,Active Directory 部署项目经理是组织内部的人员,此人应该熟悉 IT 组的运营策略,以及准备部署 AD DS 的组的设计要求。 项目经理监督从设计到实施的整个部署项目,并确保项目按日程进行且不超出预算。 项目经理的职责包括:

  • 提供基本项目规划,例如日程安排和预算

  • 推动 Active Directory 设计和部署项目的进度

  • 确保相应人员参与设计过程的每个环节

  • 充当 Active Directory 部署项目的单一联络点

  • 在设计、部署和运营团队之间建立沟通

  • 在整个部署项目中建立和保持与执行发起人的沟通

建立所有者和管理员

在 Active Directory 部署项目中,所有者由管理层负责,以确保完成部署任务,并且 Active Directory 设计规范符合组织的需求。 所有者不一定有权直接访问或操作目录基础结构。 管理员是负责完成所需部署任务的个人。 管理员拥有操作目录及其基础结构所需的网络访问权限和其他权限。

所有者的角色是战略性和管理性的。 所有者负责向管理员传达实施 Active Directory 设计所需的任务,例如在林中创建新的域控制器。 管理员负责根据设计规范在网络上实施设计。

在大型组织中,所有者和管理员角色由不同的人担任;但在某些小型组织中,所有者和管理员可能由同一个人担任。

服务和数据所有者

AD DS 的日常管理涉及两种类型的所有者:

  • 服务所有者,负责规划和长期维护 Active Directory 基础结构,确保目录持续运行,并维护服务级别协议中制定的目标。
  • 数据所有者,负责维护目录中存储的信息。 这包括用户和计算机帐户管理,以及本地资源(例如成员服务器和工作站)的管理。

必须尽早确定 Active Directory 服务所有者和数据所有者,以便他们可以尽可能多地参与设计过程。 由于服务所有者和数据所有者负责在部署项目完成后对目录进行长期维护,因此他们必须提供有关组织需求的输入,并熟悉如何以及为何做出特定的设计决策。 服务所有者包括林所有者、Active Directory 域命名系统 (DNS) 所有者和站点拓扑所有者。 数据所有者包括组织单位 (OU) 所有者。

服务和数据管理员

AD DS 的操作涉及两种类型的管理员:服务管理员和数据管理员。 服务管理员实施服务所有者做出的策略决策,并处理与维护目录服务和基础结构相关的日常任务。 这包括管理托管目录服务的域控制器,管理 AD DS 所需的其他网络服务(例如 DNS),控制林范围设置的配置,以及确保目录始终可用。

服务管理员还负责执行在完成初始 Windows Server 2008 Active Directory 部署过程之后所要完成的持续 Active Directory 部署任务。 例如,随着对目录的需求不断提高,服务管理员可创建更多域控制器,并根据需要在域之间建立或删除信任。 因此,Active Directory 部署团队需要包括服务管理员。

分配服务管理员角色时必须慎重,应该只将此类角色分配给组织中受信任的人员。 由于这些人员能够修改域控制器上的系统文件,因此他们可以更改 AD DS 的行为。 必须确保组织中的服务管理员是熟悉网络中部署的操作和安全策略,并且了解强制实施这些策略的必要性的人员。

数据管理员是域中的用户,他们既负责维护 AD DS 中存储的数据(例如用户和组帐户),也负责维护其域中的成员计算机。 数据管理员控制目录中对象的子集,但无法控制目录服务的安装或配置。

默认情况下不会提供数据管理员帐户。 在设计团队确定如何为组织管理资源后,域所有者必须创建数据管理员帐户,并根据管理员负责的对象集向这些帐户委托适当的权限。

最好将组织中的服务管理员数量限制为确保基础结构持续正常运行所需的最小数量。 大多数管理工作都可以由数据管理员完成。 服务管理员所需的技能组合要广泛得多,因为他们负责维护目录以及支持目录的基础结构。 数据管理员只需具备管理其目录部分所需的技能。 以这种方式划分工作任务可以节省组织的成本,因为只需为少量的管理员提供培训即可操作和维护整个目录及其基础结构。

例如,服务管理员需要了解如何将域添加到林。 这包括如何安装软件以将服务器转换为域控制器,以及如何操作 DNS 环境,以便域控制器可以无缝合并到 Active Directory 环境中。 数据管理员只需知道如何管理他们负责的特定数据,例如为其部门中的新员工创建新的用户帐户。

部署 AD DS 需要在网络基础结构操作所涉及的许多不同组之间进行协调和沟通。 这些组应任命负责在设计和部署过程中代表各个组的服务所有者和数据所有者。

部署项目完成后,这些服务所有者和数据所有者将继续负责其组管理的基础结构部分。 在 Active Directory 环境中,这些所有者是林所有者、AD DS 的 DNS 所有者、站点拓扑所有者和 OU 所有者。 以下部分解释了这些服务所有者和数据所有者的角色。

林所有者

林所有者通常是组织中的高级信息技术 (IT) 经理,负责 Active Directory 部署过程,并在部署完成后最终负责维护林中的服务交付。 林所有者需要分配个人来填补其他所有权角色,为此,林所有者可以确定组织中能够提供有关网络基础结构和管理需求的必要信息的关键人员。 林所有者负责以下工作:

  • 部署林根域以创建林

  • 在每个域中部署第一个域控制器,以创建林所需的域

  • 林的所有域中服务管理员组的成员身份

  • 创建林中每个域的 OU 结构设计

  • 向 OU 所有者委托管理权限

  • 更改架构

  • 更改林范围的配置设置

  • 实施某些“组策略”策略设置,包括域用户帐户策略,例如精细的密码和帐户锁定策略

  • 应用于域控制器的业务策略设置

  • 在域级别应用的任何其他组策略设置

林所有者对整个林拥有权限。 林所有者负责设置组策略和业务策略,以及选择服务管理员。 林所有者是服务所有者。

AD DS 的 DNS 所有者

AD DS 的 DNS 所有者是充分了解组织现有 DNS 基础结构和现有命名空间的人员。

AD DS 的 DNS 所有者负责以下工作:

  • 充当设计团队与当前负责 DNS 基础结构的 IT 组之间的联络人

  • 提供有关组织现有 DNS 命名空间的信息,以帮助创建新的 Active Directory 命名空间

  • 与部署团队协作,确保根据设计团队的规范部署新的 DNS 基础结构,并且部署的基础结构正常工作

  • 管理 AD DS 的 DNS 基础结构,包括 DNS 服务器服务和 DNS 数据

AD DS 的 DNS 所有者是服务所有者。

站点拓扑所有者

站点拓扑所有者熟悉组织网络的物理结构,包括通过慢速链路连接的各个子网、路由器和网络区域的映射。 站点拓扑所有者负责以下工作:

  • 了解物理网络拓扑及其对 AD DS 的影响

  • 了解 Active Directory 部署对网络的影响

  • 确定需要创建的 Active Directory 逻辑站点

  • 在添加、修改或删除子网后更新域控制器的站点对象

  • 创建站点链接、站点链接网桥和手动连接对象

站点拓扑所有者是服务所有者。

OU 所有者

OU 所有者负责管理目录中存储的数据。 此人员需要熟悉网络中部署的操作和安全策略。 OU 所有者只能执行由服务管理员委托给他们的任务,并且只能对分配给他们的 OU 执行这些任务。 可分配给 OU 所有者的任务包括:

  • 在分配给他们的 OU 中执行所有帐户管理任务

  • 管理分配给他们的 OU 中的成员工作站和成员服务器

  • 在分配给他们的 OU 中将权限委托给本地管理员

OU 所有者是数据所有者。

组建项目团队

Active Directory 项目团队是负责完成 Active Directory 设计和部署任务的临时组。 Active Directory 部署项目完成后,所有者将承担目录的责任,项目团队可以解散。

项目团队的规模根据组织规模而异。 在小型组织中,一个人就可以处理项目团队的多个职责范围,并可以参与多个部署阶段。 大型组织可能需要组建包括不同人员的较大团队,甚至组建处理不同职责范围的不同团队。 只要分配了所有职责范围,并且满足组织的设计目标,团队的规模就不重要。

确定潜在林所有者

确定组织中负责和控制向网络用户提供目录服务所需的资源的组。 这些组被视为潜在林所有者。

AD DS 中的服务管理和数据管理分离使组织的基础结构 IT 组能够管理目录服务,同时每个组中的本地管理员能够管理属于其自己的组的数据。 潜在林所有者在网络基础结构中拥有部署和支持 AD DS 所需的权限。

对于组建了集中式基础结构 IT 组的组织而言,IT 组通常是林所有者,因此也是任何未来部署的潜在林所有者。 包含多个独立基础结构 IT 组的组织具有许多的潜在林所有者。 如果组织已部署 Active Directory 基础结构,则任何当前林所有者也是新部署的潜在林所有者。

选择一个潜在林所有者充当你要考虑部署的每个林的林所有者。 这些潜在林所有者负责与设计团队合作,以确定是否实际部署其林,或者某种替代做法(例如加入另一个现有林)是否可以在仍满足其需求的情况下更好地利用可用资源。 组织中的林所有者是 Active Directory 设计团队的成员。

组建设计团队

Active Directory 设计团队负责收集做出 Active Directory 逻辑结构设计方面的决策所需的所有信息。

设计团队的职责包括:

  • 确定需要多少个林和域,以及林和域之间的关系

  • 与数据所有者合作,确保设计满足其安全和管理要求

  • 与当前网络管理员合作,确保当前网络基础结构支持该设计,并且该设计不会对网络上部署的现有应用程序产生不利影响

  • 与组织的安全组代表合作,确保设计符合制定的安全策略

  • 设计出允许适当保护级别以及向数据所有者正确委托权限的 OU 结构

  • 与部署团队合作,在实验室环境中测试设计以确保其按计划运行,并根据需要修改设计以解决出现的任何问题

  • 创建满足林复制要求的站点拓扑设计,同时防止可用带宽过载。 有关设计站点拓扑的详细信息,请参阅设计 Windows Server 2008 AD DS 的站点拓扑

  • 与部署团队合作,确保正确实施设计

设计团队包括以下成员:

  • 潜在林所有者

  • 项目架构师

  • 项目经理

  • 负责制定和维护网络安全策略的人员

在逻辑结构设计过程中,设计团队将确定其他所有者。 在确定后,这些人员必须立即开始参与设计过程。 将部署项目移交给部署团队后,设计团队将负责监督部署过程,以确保正确实施设计。 设计团队还根据测试反馈对设计进行更改。

组建部署团队

Active Directory 部署团队负责测试和实施 Active Directory 逻辑结构设计。 这涉及到以下任务:

  • 建立足以用于模拟生产环境的测试环境

  • 通过在实验室环境中实施提议的林和域结构来测试设计,以验证它是否符合每个角色所有者的目标

  • 在实验室环境中开发和测试设计团队提议的任何迁移方案

  • 确保每个所有者签名确认测试过程,以确保测试正确的设计功能

  • 在试点环境中测试部署操作

设计和测试任务完成后,部署团队将执行以下任务:

  • 根据 Active Directory 逻辑结构设计创建林和域

  • 根据站点拓扑设计按需创建站点和站点链接对象

  • 确保 DNS 基础结构配置为支持 AD DS,并且任何新命名空间将集成到组织的现有命名空间中

Active Directory 部署团队包括以下成员:

  • 林所有者

  • AD DS 的 DNS 所有者

  • 站点拓扑所有者

  • OU 所有者

部署团队在部署阶段与服务管理员和数据管理员合作,确保运营团队的成员熟悉新设计。 这有助于确保在部署操作完成后顺利移交所有权。 部署过程完成后,维护新 Active Directory 环境的职责将移交给运营团队。

记录设计和部署团队

记录参与 AD DS 设计和部署的人员的姓名与联系信息。 确定设计和部署团队中每个角色的负责人。 最初此列表包括潜在林所有者、项目经理和项目架构师。 确定要部署的林数时,可能需要为其他林组建新的设计团队。 请注意,当团队成员身份发生变化,以及在设计过程中确定各种 Active Directory 所有者时,需要更新文档。 如需可帮助你记录每个林的设计和部署团队的工作表,请从 Windows Server 2003 部署工具包作业辅导下载 Job_Aids_Designing_and_Deploying_Directory_and_Security_Services.zip,然后打开“设计和部署团队信息”(DSSLOGI_1.doc)。