識別部署專案參與者

  • 發行項

適用於:Windows Server 2022、Windows Server 2019、Windows Server 2016、Windows Server 2012 R2、Windows Server 2012

建立 Active Directory Domain Service (AD DS) 部署專案的第一個步驟是建立設計和部署專案小組,而這些小組將負責管理 Active Directory 專案週期的設計階段和部署階段。 此外,您還必須識別將負責在部署完成之後擁有和維護目錄的個人和群組。

定義專案特定角色

建立專案小組的重要步驟是識別要保存專案特定角色的個人。 其中包括執行贊助者、專案架構設計人員和專案經理。 這些個人負責執行 Active Directory 部署專案。

在您任命專案架構設計人員和專案經理之後,這些個人會建立整個組織的溝通管道、建置專案排程,以及從各種擁有者開始來識別將成為專案小組成員的個人。

主管贊助人

部署 AD DS 這類基礎結構可能會對組織產生全面的影響。 基於這個原因,請務必讓執行贊助者瞭解部署的商業價值、支援執行層級的專案,並且有助於解決整個組織的衝突。

專案架構設計人員

每個 Active Directory 部署專案都需要專案架構設計人員來管理 Active Directory 設計和部署決策程序。 架構設計人員提供技術專長,以協助設計和部署 AD DS 的程序。

注意

如果組織中沒有現有人員具有目錄設計經驗,則您可能會想要雇用外部顧問,而其為 Active Directory 設計和部署專家。

Active Directory 專案架構設計人員的責任如下:

  • 擁有 Active Directory 設計

  • 瞭解和記錄關鍵設計決策的理由

  • 確保設計符合組織的商務需求

  • 建立設計、部署與作業小組之間的共識

  • 瞭解 AD DS 整合式應用程式的需求

最終 Active Directory 設計必須反映商務目標與技術決策的組合。 因此,專案架構設計人員必須檢閱設計決策,以確保其符合商務目標。

專案經理

專案經理可促進各業務單位和技術管理群組之間的合作。 在理想情況下,Active Directory 部署專案經理是組織內的人員,而此人員熟悉 IT 群組作業原則以及準備部署 AD DS 之群組的設計需求。 專案經理會監督整個部署專案 (從設計開始,並繼續到實作),並確保專案依排程進行並且保持在預算內。 專案經理的責任如下:

  • 提供基本專案規劃,例如排程和預算

  • 推動 Active Directory 設計和部署專案的進度

  • 確保設計程序的每個部分都涉及適當的個人

  • 作為 Active Directory 部署專案的單一連絡點

  • 建立設計、部署與作業小組之間的通訊

  • 在整個部署專案中建立和維護與執行贊助者之間的通訊

建立擁有者和系統管理員

在 Active Directory 部署專案中,本身為擁有者的個人是由管理所負責,以確保部署工作已完成,而且 Active Directory 設計規格符合組織的需求。 擁有者不一定可以直接存取或操作目錄基礎結構。 系統管理員是負責完成必要部署工作的個人。 系統管理員具有操作目錄和其基礎結構所需的網路存取權和權限。

擁有者的角色是策略性和管理。 擁有者負責與系統管理員溝通 Active Directory 設計實作所需的工作,例如在樹系內建立新的網域控制站。 系統管理員負責根據設計規格以在網路上實作設計。

在大型組織中,不同的個人會填入擁有者和系統管理員角色;不過,在一些小型組織中,相同的個人可能會同時作為擁有者和系統管理員。

服務和資料擁有者

每天管理 AD DS 涉及兩種類型的擁有者:

  • 服務擁有者負責規劃和長期維護 Active Directory 基礎結構,以及確保目錄繼續運作,並且維護服務等級協定中所建立的目標。
  • 負責維護目錄中所儲存資訊的資料擁有者。 這包括使用者和電腦帳戶管理,以及本機資源 (例如成員伺服器和工作站) 的管理。

請務必盡早識別 Active Directory 服務和資料擁有者,以最大程度地參與設計程序。 因為服務和資料擁有者負責部署專案完成後目錄的長期維護,所以這些個人必須提供有關組織需求的輸入,並熟悉特定設計決策的方式和原因。 服務擁有者包括樹系擁有者、Active Directory 網域命名系統 (DNS) 擁有者和網站拓撲擁有者。 資料擁有者包括組織單位 (OU) 擁有者。

服務和資料系統管理員

AD DS 的作業涉及兩種類型的系統管理員:服務系統管理員和資料系統管理員。 服務系統管理員會實作服務擁有者所做出的原則決策,並處理與維護目錄服務和基礎結構相關聯的日常工作。 這包括管理要裝載目錄服務的網域控制站、管理 AD DS 所需的其他網路服務 (例如 DNS),控制整個樹系設定的設定,以及確保一律可以使用目錄。

服務系統管理員也會負責完成初始 Windows Server 2008 Active Directory 部署程序完成之後所需的進行中 Active Directory 部署工作。 例如,隨著目錄需求的增加,服務系統管理員會視需要建立其他網域控制站以及建立或移除網域之間的信任。 因此,Active Directory 部署小組需要包括服務系統管理員。

您必須小心,只將服務系統管理員角色指派給組織中的受信任個人。 因為這些個人能夠修改網域控制站上的系統檔案,所以可以變更 AD DS 的行為。 您必須確定組織中的服務系統管理員熟悉您網路上的既有作業和安全性原則,而且瞭解強制執行這些原則的需求。

資料系統管理員是網域內的使用者,負責維護 AD DS 中所儲存的資料 (例如使用者和群組帳戶) 以及維護其網域成員的電腦。 資料系統管理員可控制目錄內物件的子集,而且無法控制目錄服務的安裝或設定。

預設不會提供資料系統管理員帳戶。 在設計小組決定如何管理組織的資源之後,網域擁有者必須建立資料系統管理員帳戶,並根據系統管理員所負責的物件集以對其委派適當的權限。

最好將組織中的服務系統管理員數目限制為確定基礎結構繼續運作所需的最低數目。 資料系統管理員可以完成大部分的系統管理工作。 服務系統管理員需要更廣泛的技能集,因為他們負責維護目錄以及支援它的基礎結構。 資料系統管理員只需要管理其目錄部分所需的技能。 以這種方式劃分工作指派可節省組織的成本,因為只有少數系統管理員需要經過訓練才能操作和維護整個目錄及其基礎結構。

例如,服務系統管理員需要瞭解如何將網域新增至樹系。 這包括如何安裝軟體以將伺服器轉換成網域控制站,以及如何操作 DNS 環境,以將網域控制站順暢地合併到 Active Directory 環境。 資料系統管理員只需要知道如何管理其所負責的特定資料,例如為部門中的新員工建立新的使用者帳戶。

部署 AD DS 需要在與網路基礎結構作業相關的許多不同群組之間進行協調和通訊。 這些群組應該任命負責在設計和部署程序期間代表各種群組的服務和資料擁有者。

部署專案完成之後,這些服務和資料擁有者會繼續負責其群組所管理基礎結構的部分。 在 Active Directory 環境中,這些擁有者是樹系擁有者、DNS for AD DS 擁有者、網站拓撲擁有者和 OU 擁有者。 下列各節說明這些服務和資料擁有者的角色。

樹系擁有者

樹系擁有者通常是組織中的資深資訊技術 (IT) 經理,負責 Active Directory 部署程序,而且最終會負責在部署完成之後維護樹系內的服務傳遞。 樹系擁有者會指派個人來填滿其他所有權角色,方法是識別組織內能夠提供必要網路基礎結構和系統管理需求資訊的關鍵人員。 樹系擁有者負責下列作業:

  • 部署樹系根網域以建立樹系

  • 在每個網域中部署第一個網域控制站以建立樹系所需的網域

  • 樹系所有網域中服務系統管理員群組的成員資格

  • 建立樹系中每個網域的 OU 結構設計

  • 將系統管理授權委派給 OU 擁有者

  • 結構描述的變更

  • 全樹系組態設定的變更

  • 實作特定「群組原則」原則設定,包括更細緻密碼和帳戶鎖定原則這類網域使用者帳戶原則

  • 套用至網域控制站的商務原則設定

  • 在網域層級套用的任何其他群組原則設定

樹系擁有者具有整個樹系的授權。 樹系擁有者負責設定群組原則和商務原則,以及選取作為服務系統管理員的個人。 樹系擁有者是服務擁有者。

DNS for AD DS 擁有者

DNS for AD DS 擁有者是徹底瞭解組織現有 DNS 基礎結構和現有命名空間的個人。

DNS for AD DS 擁有者負責下列作業:

  • 在設計小組與目前擁有 DNS 基礎結構的 IT 群組之間擔任聯絡人

  • 提供組織現有 DNS 命名空間的相關資訊,以協助建立新的 Active Directory 命名空間

  • 與部署小組合作,以確定根據設計小組的規格來部署新的 DNS 基礎結構,而且其運作正常

  • 管理 DNS for AD DS 基礎結構,包括 DNS 伺服器服務和 DNS 資料

DNS for AD DS 擁有者是服務擁有者。

網站拓撲擁有者

網站拓撲擁有者熟悉組織網路的實體結構,包括透過慢速連結來對應所連線的個別子網域、路由器和網路區域。 網站拓撲擁有者負責下列作業:

  • 瞭解實體網路拓撲以及其對 AD DS 的影響

  • 瞭解 Active Directory 部署對網路的影響

  • 判斷需要建立的 Active Directory 邏輯網站

  • 在新增、修改或移除子網域時更新網域控制站的網站物件

  • 建立網站連結、網站連結橋接器和手動連線物件

網站拓撲擁有者是服務擁有者。

OU 擁有者

OU 擁有者負責管理目錄中所儲存的資料。 這個人需要熟悉網路上的既有作業和安全性原則。 OU 擁有者只能執行服務系統管理員已委派給他們的工作,而且只能在指派它們的 OU 上執行這些工作。 可能指派給 OU 擁有者的工作如下:

  • 在指派的 OU 內執行所有帳戶管理工作

  • 管理其所指派 OU 成員的工作站和成員伺服器

  • 將授權委派給所指派 OU 內的本機系統管理員

OU 擁有者是資料擁有者。

建置專案小組

Active Directory 專案小組是負責完成 Active Directory 設計和部署工作的暫存群組。 Active Directory 部署專案完成時,擁有者會負責目錄,因此可以解散專案小組。

專案小組的大小會根據組織的大小而不同。 在小型組織中,單一人員可以涵蓋專案小組的多個責任領域,並參與多個部署階段。 大型組織可能需要較大的小組,而這些小組包含不同的個人,甚至涵蓋不同責任領域的不同小組。 只要指派所有責任領域,而且符合組織的設計目標,小組的大小就不重要。

識別潛在樹系擁有者

識別組織內的群組,而群組擁有並控制為網路上使用者提供目錄服務所需的資源。 這些群組會被視為潛在樹系擁有者。

AD DS 中服務與資料系統管理的區隔可讓組織的一或多個基礎結構 IT 群組管理目錄服務,而每個群組中的本機系統管理員管理屬於自己群組的資料。 潛在樹系擁有者具有透過網路基礎結構來部署和支援 AD DS 的必要授權。

針對具有一個集中式基礎結構 IT 群組的組織,IT 群組通常是樹系擁有者,因此,是任何未來部署的潛在樹系擁有者。 包括一些獨立基礎結構 IT 群組的組織具有許多潛在樹系擁有者。 如果您的組織已具有既有 Active Directory 基礎結構,則任何目前樹系擁有者也會是新部署的潛在樹系擁有者。

選取其中一個潛在樹系擁有者,以作為您考慮要用於部署之每個樹系的樹系擁有者。 這些潛在的樹系擁有者負責與設計小組合作,以判斷是否會實際部署其樹系,或者,替代動作 (例如加入另一個現有樹系) 是否可較佳地使用可用資源但仍符合其需求。 您組織中的一或多個樹系擁有者是 Active Directory 設計小組的成員。

建立設計小組

Active Directory 設計小組負責收集 Active Directory 邏輯結構設計決策所需的所有資訊。

設計小組的責任如下:

  • 判斷需要多少樹系和網域,以及樹系與網域之間的關聯性

  • 與資料擁有者合作,以確保設計符合其安全性和系統管理需求

  • 與目前的網路系統管理員合作,以確保目前的網路基礎結構支援設計,而且設計不會對網路上所部署的現有應用程式造成負面影響

  • 與組織安全性群組的代表合作,以確保設計符合已建立的安全性原則

  • 設計 OU 結構,而其允許適當的保護層級,以及適當地將授權委派給資料擁有者

  • 與部署小組合作以在實驗室環境中測試設計,確保其如計劃般運作,並視需要修改設計,以解決所有發生的問題

  • 建立符合樹系複寫需求的網站拓撲設計,同時防止多載可用的頻寬。 如需設計網站拓撲的詳細資訊,請參閱設計 Windows Server 2008 AD DS 的網站拓撲

  • 與部署小組合作,確定已正確實作設計

設計小組包括下列成員:

  • 潛在樹系擁有者

  • 專案架構設計人員

  • 專案經理

  • 負責在網路上建立和維護安全性原則的個人

在邏輯結構設計程序期間,設計小組會識別其他擁有者。 這些個人必須在識別到之後立即開始參與設計程序。 將部署專案移交給部署小組之後,設計小組會負責監督部署程序,確定已正確實作設計。 設計小組也會根據測試的意見反應以對設計進行變更。

建立部署小組

Active Directory 部署小組負責測試和實作 Active Directory 邏輯結構設計。 這涉及下列工作:

  • 建立足以模擬生產環境的測試環境

  • 在實驗室環境中實作所提出的樹系和網域結構來測試設計,以確認其符合每個角色擁有者的目標

  • 在實驗室環境中開發和測試設計所提出的任何移轉案例

  • 確定每個擁有者都會在測試程序上登出,以確保將測試正確的設計功能

  • 在試驗環境中測試部署作業

設計和測試工作完成時,部署小組會執行下列工作:

  • 根據 Active Directory 邏輯結構設計來建立樹系和網域

  • 根據網站拓撲設計,視需要建立網站和網站連結物件

  • 確定 DNS 基礎結構已設定為支援 AD DS,而且任何新的命名空間都已整合到組織的現有命名空間

Active Directory 部署小組包括下列成員:

  • 樹系擁有者

  • DNS for AD DS 擁有者

  • 網站拓撲擁有者

  • OU 擁有者

部署小組會在部署階段期間與服務和資料系統管理員合作,以確定作業小組的成員熟悉新的設計。 這有助於確保所有權在部署作業完成時順暢轉換。 在部署程序完成時,維護新 Active Directory 環境的責任會傳移給作業小組。

記載設計和部署小組

記載 AD DS 設計和部署參與人員的名稱和連絡資訊。 識別誰將負責設計和部署小組上的每個角色。 一開始,此清單包括潛在樹系擁有者、專案經理和專案架構設計人員。 當您決定將部署的樹系數目時,可能需要為其他樹系建立新的設計小組。 請注意,您將需要在下列情況下更新文件:小組成員資格變更時,以及您在設計程序期間識別到各種 Active Directory 擁有者時。 若要讓工作表協助您記載每個樹系的設計和部署小組,請從 Windows Server 2003 部署套件的工作輔助程式下載 Job_Aids_Designing_and_Deploying_Directory_and_Security_Services.zip,並開啟<設計和部署小組資訊>(DSSLOGI_1.doc)。