趙新平

（呂梁學院汾陽師范分校 信息技術系，山西 汾陽 032200）

應用WindowsServerD域提升內網(wǎng)管理水平

趙新平

（呂梁學院汾陽師范分校 信息技術系，山西 汾陽 032200）

很多企事業(yè)單位都擁有自己的內部網(wǎng)絡，內網(wǎng)計算機和用戶數(shù)量也在與日俱增，但由于缺乏相應的管理手段，內網(wǎng)運行狀態(tài)大多不盡如人意.本文針對內部網(wǎng)絡存在的問題，提出用Windows Server的AD（Active Directory）域服務提升內網(wǎng)的集中管控能力，并結合實例論述了域管理模式建設的一般流程.

內網(wǎng)管理；AD域；組策略

1 前言

隨著信息技術應用領域的不斷擴大，不少企業(yè)和事業(yè)單位都建設了自己的內部網(wǎng)絡，接入了因特網(wǎng)，這對他們信息傳遞和資源共享帶來了很大的便利.但是，由于種種原因，很多單位的內部網(wǎng)絡缺乏管理，在資源被濫用的同時也存在巨大的安全隱患.

2 內網(wǎng)管理現(xiàn)狀及域管理模式的優(yōu)勢

2.1 內網(wǎng)管理現(xiàn)狀

目前，很多企事業(yè)單位的網(wǎng)絡終端都是基于工作組模式運行，網(wǎng)絡管理員無法對終端計算機進行集中管理，終端安全策略需要逐臺設置，費時費力.由于對網(wǎng)內計算機的權限缺乏管理，導致終端用戶對計算機擁有完全控制權限.用戶可以隨意安裝操作系統(tǒng)和應用軟件，可以隨意使用移動存儲器，可以隨意安裝和運行未經過安全檢測的軟件.用戶往往設置空口令或弱口令，不開啟防火墻，設置文件或文件夾共享，開啟遠程控制，開啟Guest賬戶.這對網(wǎng)內信息安全和網(wǎng)絡運行帶來了巨大的安全隱患.

2.2 域管理模式的優(yōu)勢

活動目錄（ActiveDirectory）是WindowsServer操作系統(tǒng)中存儲網(wǎng)絡對象（如：網(wǎng)絡計算機、用戶賬戶、共享資源和網(wǎng)絡打印機等）的標準服務.域控制器通過活動目錄服務對網(wǎng)絡中所轄區(qū)域的計算機、用戶及網(wǎng)絡資源進行管理即為域管理模式.相對于工作組模式，域管理模式具有以下優(yōu)勢：

2.2.1 集中管理用戶賬戶與權限

工作組模式實行的是分散管理模式，每一臺計算機都是獨立自主的.用戶賬戶和權限信息存儲在本機，共享資源的權限由共享資源的計算機獨立控制.域管理模式是主-從管理模式，通過域控制器存儲域內所有計算機的賬戶和權限信息，共享資源可以分布在域中的計算機上，但訪問權限由域控制器統(tǒng)一管理.管理員對于域中所有用戶的賬戶管理和權限分配可以在域控制器上集中完成，減少了管理的工作量.

2.2.2 方便用戶使用網(wǎng)絡共享資源，安全性高

域為用戶提供了單一的登錄過程來訪問網(wǎng)絡資源.即用戶可以登錄到域中任意一臺被許可登錄的計算機上，使用網(wǎng)絡上的共享資源，只要用戶擁有對該資源的合適權限.域通過對用戶權限的精確劃分，確定了只有特定用戶才能使用某一項網(wǎng)絡資源，從而保障了資源使用的合法性和安全性.

使用漫游賬戶和文件夾重定向技術，個人賬戶的工作文件及數(shù)據(jù)等可以存儲在服務器上，統(tǒng)一進行備份、管理，用戶的數(shù)據(jù)更加安全、有保障.

2.2.3 可以分發(fā)、指派軟件，實現(xiàn)域內軟件統(tǒng)一安裝

在日常維護工作中，管理員經常要為客戶端計算機統(tǒng)一安裝某個軟件.在域管理模式下可以通過設置組策略，方便實現(xiàn)客戶端統(tǒng)一安裝軟件.需要注意的是，默認只能發(fā)布M S I格式的軟件包，對于其它格式的軟件包，需要通過第三方軟件將其打包為M S I格式再進行發(fā)布.另外，還可能通過在域內布署WSUS（WindowsServerUpdateServices）服務，為客戶端計算機統(tǒng)一安裝補丁.

另外，在域管理模式下，我們還可以限制客戶端的某些軟件運行、禁用USB存儲設備、進行網(wǎng)絡準入控制、網(wǎng)絡訪問保護等.

3 域管理模式規(guī)劃與實施

3.1 情境假設

某公司總部設在A地，兩個子公司分別位于B地和C地，現(xiàn)有員工2 0 0人左右.公司已有一個局域網(wǎng)，運行200臺計算機，服務器操作系統(tǒng)為WindowsServer2008，客戶機操作系統(tǒng)是WindowsXP，運行于工作組模式下.由于計算機較多，管理上缺乏層次，公司希望利用Windows域模式管理所有網(wǎng)絡資源，提高辦公效率，加強內網(wǎng)安全，規(guī)范計算機使用.

公司下設部門有：總經理辦公室、人力資源部、行政部、財務部、工程部、銷售部.

3.2 域管理模式規(guī)劃

在總公司A地建立根域：companyloc，內部子網(wǎng)：192.168.1.0/24

在分公司B地建立子域：b.company.loc，內部子網(wǎng)：192.168.2.0/24

在分公司C地建立子域：c.company.loc，內部子網(wǎng)：192.168.3.0/24

因為在域管理模式下，域控制器（DomainController，DC）負責全網(wǎng)用戶的登錄審核以及用戶權限的控制，域控制器一旦停機，將會使網(wǎng)絡處于癱瘓狀態(tài).所以，在總公司及B、C兩地的分公司分別設置兩臺域控制器，當主D C停機時，備用D C可以接替主D C提供服務.

DC規(guī)劃情況如下表所示：

地區(qū) 計算機名 IP地址 子網(wǎng)掩碼 DNS A地DC-A-01 192.168.1.251 255.255.255.0 192.168.1.251 DC-A-02 192.168.1.252 255.255.255.0 192.168.1.251 B地C地DC-B-01 192.168.2.251 255.255.255.0 192.168.1.251 DC-B-02 192.168.2.252 255.255.255.0 192.168.1.251 DC-C-01 192.168.3.251 255.255.255.0 192.168.1.251 DC-C-02 192.168.3.252 255.255.255.0 192.168.1.251

3.3 域管理模式實施

3.3.1 安裝域控制器

在提供域控制器功能的服務器上添加“ActiveDirectory域服務”角色，在安裝過程中需要提供域名.如果安裝的是主域控制器，則將D N S服務一起安裝.在設置數(shù)據(jù)庫及日志文件路徑時最好將數(shù)據(jù)庫文件和日志文件的路徑設置到不同分區(qū).

3.3.2 規(guī)劃組織單位

為了便于管理，在域控制器上按公司部門劃分創(chuàng)建組織單位（OrganizationUnits，OU），將相關帳號和組劃入組織單位，即可按部門設置組策略.

3.3.3 創(chuàng)建用戶

為所有內網(wǎng)用戶創(chuàng)建帳號，加入適當?shù)臋嘞藿M，并加入相關OU.在域管理模式下，管理員可以在域控制器上統(tǒng)一管理全網(wǎng)用戶賬戶及權限.只要管理員授權，用戶就可以用自己的帳號在網(wǎng)內的多臺計算機上登錄.如果使用漫游賬戶和文件夾重定向技術，用戶個人賬戶的工作文件和數(shù)據(jù)可以存儲在服務器上，進行統(tǒng)一備份管理，用戶數(shù)據(jù)更加安全.

3.3.4 設置組策略

組策略是WindowsAD域用戶安全管理的重要手段，在具體應用時應該先進行測試，再進行策略下發(fā).

通過設置組策略，可以糾正一些用戶不規(guī)范的操作行為.如：

（1）強制用空口令或弱口令的賬戶修改口令.

（2）強制關閉Guest賬戶.

（3）強制開啟客戶端防火墻.

（4）關閉客戶端硬盤和文件夾共享.

（5）關閉遠程桌面.

通過設置組策略，可以提高網(wǎng)管的工作效率.如：

（1）統(tǒng)一設置客戶端桌面、屏保、瀏覽器主頁等，以宣傳公司企業(yè)文化內容.

（2）設置軟件分發(fā)和指派，統(tǒng)一進行軟件安裝，省時省力.

（3）禁止用戶安裝軟件、卸載軟件、修改IP等操作，防止用戶擅自修改工作環(huán)境.

3.4 測試和切換到域管理模式

域管理環(huán)境搭建完畢后，應先針對個別部門的少量計算機時行測試，待運行穩(wěn)定無誤后，再有計劃地將公司各部門的計算機分步驟加入域，且每加入一個部門的計算機，就要進行測試，以免出現(xiàn)大面積的故障而影響公司的業(yè)務運行.

4 結束語

WindowsServer的AD域是內網(wǎng)桌面管理的有效工具，合理利用可以減少管理員的重復勞動，有效加強內網(wǎng)安全.但隨著信息技術和發(fā)展，內網(wǎng)面臨的安全隱患也層出不窮.作為系統(tǒng)管理員，只有不斷創(chuàng)新，不斷學習和引入新的安全管理技術，才能使內部網(wǎng)絡更好好服務于各自單位的信息化建設.

〔1〕戴有煒.Windows Server 2008 R2 Active Directory配置指南[M].北京：清華大學出版社，2011.

〔2〕Mark MInasi.精通Windows Server 2008 R2 [M].北京：清華大學出版社，2012.

TP393.1

A

1673-260 X（2013）12-0022-02