王曉紅

(中國飛機強度研究所，陜西 西安 710065)

1.引言

隨著信息化建設(shè)的深入，各類應(yīng)用系統(tǒng)的開發(fā)、使用，使企業(yè)信息系統(tǒng)的功能得以充分發(fā)揮，極大地提高了工作效率，企業(yè)員工通過局域網(wǎng)辦公自動化系統(tǒng)終端即可完成各項工作。但是局域網(wǎng)帶來便利的同時，也存在安全上的隱患。鑒于局域網(wǎng)網(wǎng)絡(luò)中計算機和用戶賬戶的日益增多，應(yīng)采用域管理手段，不但使網(wǎng)絡(luò)管理工作變得簡單化、條理化，同時也可提升局域網(wǎng)的可用性和安全性。

2.域管理的含義

域是Windows操作系統(tǒng)的邏輯組織單元，在Windows網(wǎng)絡(luò)操作系統(tǒng)中，域是安全邊界，每個域都有自己的安全策略，以限制域的訪問管理權(quán)限。域管理即通過Windows的活動目錄對所轄的域進行管理的模式。

2.1 活動目錄（ActiveDirectory）

活動目錄（ActiveDirectory）是Windows操作系統(tǒng)的最大優(yōu)勢，它是在Windows Server版上應(yīng)用的目錄服務(wù)。它能夠存儲網(wǎng)絡(luò)對象大量的相關(guān)信息，使管理員和用戶能很容易找到這些信息，提供一種邏輯的、有層次的目錄信息組織機構(gòu)?；顒幽夸浭蔷W(wǎng)絡(luò)操作系統(tǒng)對網(wǎng)絡(luò)資源進行管理的標(biāo)準(zhǔn)方式，為企業(yè)信息化的實施打下良好基礎(chǔ)。

2.2 組策略

組策略是使用在域中的、為網(wǎng)絡(luò)用戶和計算機制定的、控制程序、網(wǎng)絡(luò)資源及操作系統(tǒng)行為的主要工具。通過使用組策略可以設(shè)置各種軟件、計算機和用戶的策略，從而達(dá)到方便管理計算機，同時提高網(wǎng)絡(luò)安全性的目的。

3.域管理的優(yōu)勢

3.1 合理分配用戶權(quán)限

在局域網(wǎng)中遵循最低權(quán)限原則，應(yīng)合理分配用戶權(quán)限。對普通用戶僅分配Domain Users即可，Domain Users組只能運行已安裝的程序，并對文件進行基本操作，不能添加、刪除設(shè)備或應(yīng)用程序，不能設(shè)置共享，不能啟動或停止系統(tǒng)服務(wù)，不能修改注冊表和系統(tǒng)目錄，甚至不能修改系統(tǒng)時間和網(wǎng)絡(luò)配置。這樣可以降低域用戶對網(wǎng)絡(luò)系統(tǒng)的影響，加強網(wǎng)絡(luò)的安全性和易管理性。

3.2 提高系統(tǒng)安全性

計算機的安全策略包括帳戶策略、本地策略、密碼策略、系統(tǒng)服務(wù)、注冊表、事件日志等，通過配置組策略，可以控制計算機上的運行程序，強制糾正域用戶的一些違規(guī)行為，比如，通過設(shè)置帳戶密碼策略可以定期提示域用戶修改口令或弱口令、關(guān)閉計算機的默認(rèn)共享，關(guān)閉Guest帳戶等。

3.3 實現(xiàn)軟件自動分發(fā)

應(yīng)用組策略中的軟件自動安裝功能可以方便地實現(xiàn)多臺客戶端統(tǒng)一安裝應(yīng)用程序。只有系統(tǒng)管理員才具有訪問系統(tǒng)目錄的權(quán)限，通過軟件安裝策略，普通客戶端僅從系統(tǒng)目錄上裝載軟件。但是，域活動目錄中只能安裝MSI格式的安裝包，其它各式的安裝軟件可制作或打包成MSI格式后再進行發(fā)布。通過這種方式，可強制向客戶端下發(fā)防病毒軟件及補丁程序。

3.4 回收管理員密碼，限制本地功能

腳本是使用一種特定的描述性語言，通過編輯腳本并將其應(yīng)用到開機、關(guān)機、登錄及注銷過程中，可以實現(xiàn)對客戶端的管理控制。比如，修改域計算機本地管理員密碼，由域管理員自己掌握。管理員根據(jù)用戶需要開通必要的權(quán)限，以降低域用戶對計算機系統(tǒng)造成有意或無意的破壞，能有效地控制用戶對服務(wù)器的訪問，從而加強網(wǎng)絡(luò)和服務(wù)器的安全性。

3.5 實現(xiàn)接入控制

域用戶接入控制分為三個步驟：用戶名的識別與驗證、用戶口令的識別與驗證和用戶帳號的缺省限制三道關(guān)卡，只要任何一關(guān)未過，該用戶便不能進入網(wǎng)絡(luò)。域用戶帳號只有域管理員才能建立，用戶口令是每個域用戶訪問網(wǎng)絡(luò)所必需提供的“證件”，域用戶可以修改自己的口令。域接入控制與防病毒系統(tǒng)、WSUS補丁服務(wù)器、桌面管理等系統(tǒng)緊密配合，對已通過認(rèn)證的用戶終端進行安全檢查，強制用戶終端進行防病毒、操作系統(tǒng)補丁等安全策略檢查，從而提高了網(wǎng)絡(luò)的安全性和保密性。

4.結(jié)論

通過在局域網(wǎng)實施域管理，將局域網(wǎng)由原來的分散式管理升級到集中式管理模式上，不但提升了網(wǎng)絡(luò)系統(tǒng)的安全性，而且也降低了網(wǎng)絡(luò)運行成本。同時，隨著信息技術(shù)的飛速發(fā)展，對域管理的應(yīng)用也將從廣度和深度上不斷探索和改進，使我們擁有一個更加安全的網(wǎng)絡(luò)環(huán)境.

[1]戴有煒.Windowsserver 2003 Active Directory配置指南[M].清華大學(xué)出版社，2004.

[2]韓最蛟，李偉.網(wǎng)絡(luò)維護與安全技術(shù)教程與實訓(xùn)[M].清華大學(xué)出版社，2008.