高潔

摘 要：隨著計(jì)算機(jī)網(wǎng)絡(luò)的飛速發(fā)展，很多單位的各項(xiàng)業(yè)務(wù)，大量依賴于網(wǎng)絡(luò)基礎(chǔ)上的計(jì)算機(jī)來(lái)完成。網(wǎng)絡(luò)帶來(lái)高效服務(wù)的同時(shí)。也為管理工作增加了挑戰(zhàn)。為了有效的管理局域網(wǎng)內(nèi)的用戶、計(jì)算機(jī)、軟硬件設(shè)備，本篇文章講述了Windows 2003 Server系統(tǒng)下如何安裝和應(yīng)用域控制器管理局域網(wǎng)。

關(guān)鍵詞：Windows 2003 Serve；域控制器；活動(dòng)目錄；組策略

1 引言

現(xiàn)在，很多單位組建了局域網(wǎng)以提高辦公效率。利用網(wǎng)絡(luò)可以實(shí)現(xiàn)資源的最佳利用，如：共享磁盤設(shè)備、打印機(jī)等，從而可以在局域網(wǎng)內(nèi)部互相調(diào)用文件，并可在任何一臺(tái)共享打印機(jī)上進(jìn)行打印。網(wǎng)絡(luò)帶來(lái)方便的同時(shí)，如何有效地管理計(jì)算機(jī)，便成為管理員的一個(gè)難題。本文給大家介紹了利用域控制器來(lái)管理整個(gè)網(wǎng)絡(luò)，盡量將客戶端的工作量降到最低，從分散管理轉(zhuǎn)換為集中管理，大大減輕管理員的工作量，提高了工作效率。

2 域和域控制器的定義

域（Domain）是Windows網(wǎng)絡(luò)中獨(dú)立運(yùn)行的單位，域之間相互訪問(wèn)則需要建立信任關(guān)系（Trust Relation）。信任關(guān)系是連接在域與域之間的橋梁。當(dāng)一個(gè)域與其他域建立了信任關(guān)系后，多個(gè)域之間不但可以按需相互進(jìn)行管理，還可以跨網(wǎng)分配文件和打印機(jī)等設(shè)備資源，使不同的域之間實(shí)現(xiàn)網(wǎng)絡(luò)資源的共享與管理[1]。

域既是Windows網(wǎng)絡(luò)操作系統(tǒng)的邏輯組織單元，也是Internet的邏輯組織單元，在Windows網(wǎng)絡(luò)操作系統(tǒng)中，域是安全邊界。域管理員只能管理域的內(nèi)部，除非其他的域顯式地賦予他管理權(quán)限，他才能夠訪問(wèn)或者管理其他的域；每個(gè)域都有自己的安全策略，以及它與其他域的安全信任關(guān)系。

在域模式下，至少有一臺(tái)服務(wù)器負(fù)責(zé)每一臺(tái)聯(lián)入網(wǎng)絡(luò)的電腦和用戶的驗(yàn)證工作，稱為“域控制器（Domain Controller，簡(jiǎn)稱DC）”。域控制器中包含了由這個(gè)域的賬戶、密碼、屬于這個(gè)域的計(jì)算機(jī)等信息構(gòu)成的數(shù)據(jù)庫(kù)。當(dāng)電腦聯(lián)入網(wǎng)絡(luò)時(shí)，域控制器首先要鑒別這臺(tái)電腦是否是屬于這個(gè)域，用戶使用的登錄賬號(hào)是否存在、密碼是否正確。如果以上信息有一樣不正確，那么域控制器就會(huì)拒絕這個(gè)用戶從這臺(tái)電腦登錄，用戶就不能訪問(wèn)服務(wù)器上有權(quán)限保護(hù)的資源，他只能以對(duì)等網(wǎng)用戶的方式訪問(wèn)Windows共享的資源，這樣就在一定程度上保護(hù)了網(wǎng)絡(luò)上的資源。要把一臺(tái)電腦加入域，僅僅使它和服務(wù)器在網(wǎng)上鄰居中能夠相互“看”到是遠(yuǎn)遠(yuǎn)不夠的，必須要由管理員進(jìn)行相應(yīng)的設(shè)置，把這臺(tái)電腦加入到域中，這樣才能實(shí)現(xiàn)文件的共享[2]。

3 采用域管理的優(yōu)點(diǎn)

⑴方便管理，權(quán)限管理比較集中，管理人員可以較好的管理計(jì)算機(jī)資源。

⑵安全性高，有利于單位的一些保密資料的管理，比如一個(gè)文件只能讓某一個(gè)人看，或者指定人員可以看，但不可以刪/改/移等。

⑶方便對(duì)用戶操作進(jìn)行權(quán)限設(shè)置，可以分發(fā)，指派軟件等，實(shí)現(xiàn)網(wǎng)絡(luò)內(nèi)的軟件一起安裝。

⑷很多服務(wù)必須建立在域環(huán)境中，對(duì)管理員來(lái)說(shuō)有好處：統(tǒng)一管理，方便在MS軟件方面集成，如ISA EXCHANGE（郵件服務(wù)器）、ISA SERVER（上網(wǎng)的各種設(shè)置與管理）等。

⑸使用漫游賬戶和文件夾重定向技術(shù)，個(gè)人賬戶的工作文件及數(shù)據(jù)等可以存儲(chǔ)在服務(wù)器上，統(tǒng)一進(jìn)行備份、管理，用戶的數(shù)據(jù)更加安全、有保障。

⑹方便用戶使用各種資源。

⑺SMS（System Management Server）能夠分發(fā)應(yīng)用程序、系統(tǒng)補(bǔ)丁等，用戶可以選擇安裝，也可以由系統(tǒng)管理員指派自動(dòng)安裝。并能集中管理系統(tǒng)補(bǔ)?。ㄈ鏦indows Updates），不需每臺(tái)客戶端服務(wù)器都下載同樣的補(bǔ)丁，從而節(jié)省大量網(wǎng)絡(luò)帶寬。

⑻資源共享。用戶和管理員可以不知道他們所需要的對(duì)象的確切名稱，但是他們可能知道這個(gè)對(duì)象的一個(gè)或多個(gè)屬性，他們可以通過(guò)查找對(duì)象的部分屬性在域中得到一個(gè)所有已知屬性相匹配的對(duì)象列表，通過(guò)域使得基于一個(gè)或者多個(gè)對(duì)象屬性來(lái)查找一個(gè)對(duì)象變得可能。

⑼管理。域控制器集中管理用戶對(duì)網(wǎng)絡(luò)的訪問(wèn)，如登錄、驗(yàn)證、訪問(wèn)目錄和共享資源。為了簡(jiǎn)化管理，所有域中的域控制器都是平等的，你可以在任何域控制器上進(jìn)行修改，這種更新可以復(fù)制到域中所有的其他域控制器上。

域的實(shí)施通過(guò)提供對(duì)網(wǎng)絡(luò)上所有對(duì)象的單點(diǎn)管理進(jìn)一步簡(jiǎn)化了管理。因?yàn)橛蚩刂破魈峁┝藢?duì)網(wǎng)絡(luò)上所有資源的單點(diǎn)登錄，管理遠(yuǎn)可以登錄到一臺(tái)計(jì)算機(jī)來(lái)管理網(wǎng)絡(luò)中任何計(jì)算機(jī)上的管理對(duì)象。在NT網(wǎng)絡(luò)中，當(dāng)用戶一次登陸一個(gè)域服務(wù)器后，就可以訪問(wèn)該域中已經(jīng)開放的全部資源，而無(wú)需對(duì)同一域進(jìn)行多次登陸。但在需要共享不同域中的服務(wù)時(shí)，對(duì)每個(gè)域都必須要登陸一次，否則無(wú)法訪問(wèn)未登陸域服務(wù)器中的資源或無(wú)法獲得未登陸域的服務(wù)。

⑽可擴(kuò)展性。在活動(dòng)目錄中，目錄通過(guò)將目錄組織成幾個(gè)部分存儲(chǔ)信息從而允許存儲(chǔ)大量的對(duì)象。因此，目錄可以隨著組織的增長(zhǎng)而一同擴(kuò)展，允許用戶從一個(gè)具有幾百個(gè)對(duì)象的小的安裝環(huán)境發(fā)展成擁有幾百萬(wàn)對(duì)象的大型安裝環(huán)境。

⑾安全性。域?yàn)橛脩籼峁┝藛我坏牡卿涍^(guò)程來(lái)訪問(wèn)網(wǎng)絡(luò)資源，如所有他們具有權(quán)限的文件、打印機(jī)和應(yīng)用程序資源。也就是說(shuō)，用戶可以登錄到一臺(tái)計(jì)算機(jī)來(lái)使用網(wǎng)絡(luò)上另外一臺(tái)計(jì)算機(jī)上的資源，只要用戶具有對(duì)資源的合適權(quán)限。域通過(guò)對(duì)用戶權(quán)限合適的劃分，確定了只有對(duì)特定資源有合法權(quán)限的用戶才能使用該資源，從而保障了資源使用的合法性和安全性。

⑿可冗余性。每個(gè)域控制器保存和維護(hù)目錄的一個(gè)副本。在域中，你創(chuàng)建的每一個(gè)用戶帳號(hào)都會(huì)對(duì)應(yīng)目錄的一個(gè)記錄。當(dāng)用戶登錄到域中的計(jì)算機(jī)時(shí)，域控制器將按照目錄檢查用戶名、口令、登錄限制以驗(yàn)證用戶。當(dāng)存在多個(gè)域控制器時(shí)，他們會(huì)定期的相互復(fù)制目錄信息，域控制器間的數(shù)據(jù)復(fù)制，促使用戶信息發(fā)生改變時(shí)（比如用戶修改了口令），可以迅速的復(fù)制到其他的域控制器上，這樣當(dāng)一臺(tái)域控制器出現(xiàn)故障時(shí)，用戶仍然可以通過(guò)其他的域控制進(jìn)行登錄，保障了網(wǎng)絡(luò)的順利運(yùn)行[3]。

4 域的規(guī)劃

單位采用單域單站點(diǎn)管理模式，建設(shè)AD與BAD，即主域控器與備份域控制器，在其下面采用OU（組織單元）的模式進(jìn)行集中管理各部門人員與電腦。此種管理模式，成本降低，且減少管理復(fù)雜度和維護(hù)量[4]。

AD（主域控制器）：?jiǎn)挝凰袡?quán)限管理，用戶建立以及各種策略、軟件等的管理及實(shí)施到每臺(tái)電腦。

BAD（備份域控制器）：采用與AD完全相同的設(shè)置，繼承AD上的所有管理資料，防止AD出現(xiàn)故障后，公司電腦無(wú)法登陸AD和使用網(wǎng)絡(luò)資源，在BAD服務(wù)器上，建立資源共享文件夾，即File server，進(jìn)行公司種文件的共享和使用，將BAD服務(wù)器做成WSUS服務(wù)器（windows補(bǔ)丁服務(wù)器），管理公司所有電腦的補(bǔ)丁的下載與提供安裝的服務(wù)，如有需要還可集成ISA SERVER服務(wù)器，進(jìn)行公司網(wǎng)絡(luò)的管控（上外網(wǎng)的的控制）。

5 域控制器的安裝

在這里，我們以在一臺(tái)已經(jīng)安裝了windows 2003 server 的服務(wù)器上安裝活動(dòng)目錄（Active Directory），建立一個(gè)名為myspace.com的域，將該服務(wù)器作為該域的域控制器為例，向大家詳細(xì)介紹域控制器的安裝步驟。

⑴確認(rèn)服務(wù)器已經(jīng)接入網(wǎng)絡(luò)。

⑵在“開始菜單-運(yùn)行”里輸入“dcpromo”，打開活動(dòng)目錄安裝向?qū)В?/p>

⑶接下來(lái)使用默認(rèn)設(shè)置，選擇下一步。

⑷選擇安裝或配置DNS時(shí)（圖1），選擇“否，只在這臺(tái)計(jì)算機(jī)上安裝并配置DNS”，選擇下一步，輸入新域的DNS全名“myspace.com”（圖2），下一步，自動(dòng)生成新域的netBios名稱“MYSPACE”。在安裝DNS的過(guò)程中，會(huì)自動(dòng)將本機(jī)的首選DNS指向自己。

⑸接下來(lái)使用默認(rèn)設(shè)置，選擇下一步，注意設(shè)置好管理員密碼，并牢記該密碼。

⑹摘要中會(huì)顯示我們前面進(jìn)行的選擇和輸入），確認(rèn)后選擇下一步，系統(tǒng)開始自動(dòng)配置Active Directory。

⑺安裝的過(guò)程中，需要在光驅(qū)中放入Windows 2003 Server安裝光盤，經(jīng)過(guò)一段時(shí)間的等待，配置安裝完成。根據(jù)提示重啟計(jì)算機(jī)，用管理員賬號(hào)和剛才設(shè)置的密碼登錄計(jì)算機(jī)，打開“開始菜單-管理工具-Active Directory用戶和計(jì)算機(jī)”窗口（圖3），可以看到我們剛才的設(shè)置已經(jīng)正常安裝并運(yùn)行，myspace.com域已經(jīng)建立。

6 使用域控制器對(duì)局域網(wǎng)進(jìn)行管理

6.1 域控制器的配置

域控制器中包含由這個(gè)域的賬號(hào)、密碼、所屬計(jì)算機(jī)等相關(guān)信息所組成的數(shù)據(jù)庫(kù)。計(jì)算機(jī)在接入網(wǎng)絡(luò)時(shí)，域控制器會(huì)對(duì)計(jì)算機(jī)進(jìn)行識(shí)別，看是否屬于這個(gè)域，用戶的登錄賬號(hào)和密碼是否正確。如果有信息檢測(cè)到不正確，域控制器會(huì)拒絕該用戶從這臺(tái)計(jì)算機(jī)上登錄系統(tǒng)。

域控制器的配置包括服務(wù)器端的配置和客戶端的配置。

⑴服務(wù)器端的配置。打開“開始菜單-管理工具-Active Directory用戶和計(jì)算機(jī)”窗口（圖3），在程序界面中選擇“computer”，右鍵菜單中選擇“新建-計(jì)算機(jī)”，輸入想要加入域的計(jì)算機(jī)名。

在程序界面中選擇“user”，右鍵菜單中選擇“新建-用戶”，根據(jù)實(shí)際要求，給每個(gè)用戶配置賬戶和密碼。

⑵客戶端的配置。在計(jì)算機(jī)桌面選擇“我的電腦”，右鍵菜單中選擇“屬性-網(wǎng)絡(luò)標(biāo)識(shí)”，將原來(lái)的隸屬于工作組改為隸屬于域，域名為我們剛才設(shè)置的“myspace.com”。重新啟動(dòng)計(jì)算機(jī)，在登錄對(duì)話框中輸入正確的賬號(hào)、密碼、登錄域，就可以使用myspace.com域中的資源。

這里要注意，域用戶的賬號(hào)和密碼，是管理員為用戶配置的，而不是以前本機(jī)用戶自己創(chuàng)建的賬號(hào)和密碼。如果沒(méi)有將計(jì)算機(jī)加入域，或者域名、賬號(hào)、密碼有誤，那么在配置中就會(huì)出現(xiàn)錯(cuò)誤。

6.2 組織單位的規(guī)劃

組織單元（Organizational Units組織單元，簡(jiǎn)稱OU）就是包含在域中特別有用的目錄對(duì)象類型。Windows 2003 Server在Active Directory活動(dòng)目錄中增加了組織單位這種對(duì)象，使得整個(gè)域的規(guī)劃和管理更具彈性，更能發(fā)揮出"分層負(fù)責(zé)、授權(quán)自治"的優(yōu)點(diǎn)。組織單位是一個(gè)比域還小的管理單位。

新建的組織單位可以根據(jù)地域范圍劃分，例如：綿陽(yáng)，德陽(yáng)；也可以根據(jù)不同的行政職能劃分，如：教學(xué)處、教務(wù)處、信息中心。在一個(gè)組織單位中，可以新建多個(gè)用戶。在這里，我們創(chuàng)建一個(gè)名為“信息中心”的組織單位，在該單位下增加用戶“張三”（圖4）。

6.3 組策略的使用

組策略是活動(dòng)目錄上的最大應(yīng)用，可以讓許多重復(fù)的管理工作自動(dòng)化、簡(jiǎn)單化。組策略設(shè)置直接影響計(jì)算機(jī)或用戶帳戶，并可應(yīng)用于站點(diǎn)、域或組織單元。它可用于配置安全選項(xiàng)、管理應(yīng)用程序、管理桌面外觀、指派腳本，并將文件夾從本地計(jì)算機(jī)重新定向到網(wǎng)絡(luò)位置。

組策略的打開與設(shè)置。在開始-程序-打開運(yùn)行對(duì)話框，輸入gpmc.msc，彈出"組策略管理"窗口（圖5）。如果彈出找不到組件的消息，可以到微軟網(wǎng)站免費(fèi)下載gpmc.msi軟件包，并在安裝域控制器的機(jī)子上安裝。

在這里，我們介紹幾個(gè)組策略的典型應(yīng)用。

⑴使用組策略實(shí)現(xiàn)軟件的統(tǒng)一安裝。比如安裝某個(gè)殺毒軟件，員工自己安裝有很多的問(wèn)題，有的員工不會(huì)安裝，有的員工安裝完不及時(shí)更新。管理員去每個(gè)員工的機(jī)子上安裝，工作量又比較大。這里就可以通過(guò)組策略來(lái)實(shí)現(xiàn)。

打開"組策略管理"，新建組策略對(duì)象，命名為“軟件安裝”（圖5）。將新建的組策略對(duì)象“軟件安裝”拖動(dòng)到相對(duì)應(yīng)的組織單位上。在“軟件安裝”上點(diǎn)擊右鍵，選擇“編輯”，打開組策略編輯器，使用用戶配置中的軟件安裝，將安裝包發(fā)布（圖6）?？蛻舳嗽趩?dòng)計(jì)算機(jī)的時(shí)候就會(huì)自動(dòng)安裝該程序了。

⑵使用組策略限制某些軟件的使用。有些單位在上班時(shí)間不允許員工安裝QQ，MSN或游戲等軟件。同上操作，首先新建策略，打開組策略編輯器。在左側(cè)列表"用戶配置"下雙擊“Windows設(shè)置-安全設(shè)置”，右鍵單擊"軟件限制策略"。如果要阻止QQ程序的運(yùn)行，可以為它創(chuàng)建路徑規(guī)則。右鍵選取“其它規(guī)則-新路徑規(guī)則”，在彈出的對(duì)話框里點(diǎn)“瀏覽”找到QQ文件夾（比如C：＼Program Files＼Tencent＼QQ），設(shè)置“安全級(jí)別”為“受限”?？蛻舳嗽谑褂肣Q程序的時(shí)候就會(huì)受到限制。但使用這種方法只是對(duì)路徑做了限制，如果客戶端將QQ程序安裝在其他位置就不受該策略的限制。所以建議使用“其它規(guī)則-哈希規(guī)則”，知道QQ程序的哈希值，對(duì)該值做限制。那么，客戶端的QQ程序不管安裝在什么路徑下都要受到限制。

⑶IE設(shè)置。“禁用Internet選項(xiàng)”功能可以達(dá)到阻止用戶對(duì)IE隨便設(shè)置的目的。

如果不希望用戶修改E瀏覽器主頁(yè)，可以啟用“禁止修改IE瀏覽器的主頁(yè)”。

以上功能位于“組策略編輯器-用戶配置-管理模板-Windows組件-Internet Explorer”。

⑷提高網(wǎng)絡(luò)的安全性。隱藏“我的電腦”中指定的驅(qū)動(dòng)器。該組策略可以從“我的電腦”和“Windows資源管理器”上刪除代表所選硬件驅(qū)動(dòng)器的圖標(biāo)。并且驅(qū)動(dòng)器號(hào)代表的所有驅(qū)動(dòng)器不出現(xiàn)在標(biāo)準(zhǔn)的打開對(duì)話框上。

如果不希望用戶訪問(wèn)計(jì)算機(jī)的“控制面板”，同樣可以使用組策略來(lái)實(shí)現(xiàn)。還可以通過(guò)組策略禁止使用注冊(cè)表編輯器，禁止使用命令提示符等，這樣可以更有效地去管理計(jì)算機(jī)，防止不必要的錯(cuò)誤發(fā)生。

7 結(jié)束語(yǔ)

目前網(wǎng)絡(luò)應(yīng)用非常廣泛，管理網(wǎng)絡(luò)的方式也有很多種。該管理模式不占用系統(tǒng)資源，不借助第三方軟件，由服務(wù)器端統(tǒng)一管理，極大地方便了管理員對(duì)整個(gè)網(wǎng)絡(luò)的統(tǒng)一管理、統(tǒng)一設(shè)置、統(tǒng)一維護(hù)工作，提高了管理效率，極大的減少了管理員的工作量。

[參考文獻(xiàn)]

[1]錢春花.淺談企業(yè)活動(dòng)目錄設(shè)計(jì)實(shí)例方案[J].中小企業(yè)管理與科技（下旬刊），2009年09期.

[2]李發(fā)旭，衛(wèi)良.Windows2000活動(dòng)目錄技術(shù)及其應(yīng)用[J].青海師范大學(xué)學(xué)報(bào)（自然科學(xué)版），2004年01期.

[3]邢華.域控制器的使用和安全[J].硅谷，2012年13期.

[4]張勇.借助域管理和網(wǎng)管軟件來(lái)提升醫(yī)院信息系統(tǒng)安全[J].電腦知識(shí)與技術(shù)，2011年34期.

⑵使用組策略限制某些軟件的使用。有些單位在上班時(shí)間不允許員工安裝QQ，MSN或游戲等軟件。同上操作，首先新建策略，打開組策略編輯器。在左側(cè)列表"用戶配置"下雙擊“Windows設(shè)置-安全設(shè)置”，右鍵單擊"軟件限制策略"。如果要阻止QQ程序的運(yùn)行，可以為它創(chuàng)建路徑規(guī)則。右鍵選取“其它規(guī)則-新路徑規(guī)則”，在彈出的對(duì)話框里點(diǎn)“瀏覽”找到QQ文件夾（比如C：＼Program Files＼Tencent＼QQ），設(shè)置“安全級(jí)別”為“受限”?？蛻舳嗽谑褂肣Q程序的時(shí)候就會(huì)受到限制。但使用這種方法只是對(duì)路徑做了限制，如果客戶端將QQ程序安裝在其他位置就不受該策略的限制。所以建議使用“其它規(guī)則-哈希規(guī)則”，知道QQ程序的哈希值，對(duì)該值做限制。那么，客戶端的QQ程序不管安裝在什么路徑下都要受到限制。

⑶IE設(shè)置?！敖肐nternet選項(xiàng)”功能可以達(dá)到阻止用戶對(duì)IE隨便設(shè)置的目的。

如果不希望用戶修改E瀏覽器主頁(yè)，可以啟用“禁止修改IE瀏覽器的主頁(yè)”。

以上功能位于“組策略編輯器-用戶配置-管理模板-Windows組件-Internet Explorer”。

⑷提高網(wǎng)絡(luò)的安全性。隱藏“我的電腦”中指定的驅(qū)動(dòng)器。該組策略可以從“我的電腦”和“Windows資源管理器”上刪除代表所選硬件驅(qū)動(dòng)器的圖標(biāo)。并且驅(qū)動(dòng)器號(hào)代表的所有驅(qū)動(dòng)器不出現(xiàn)在標(biāo)準(zhǔn)的打開對(duì)話框上。

如果不希望用戶訪問(wèn)計(jì)算機(jī)的“控制面板”，同樣可以使用組策略來(lái)實(shí)現(xiàn)。還可以通過(guò)組策略禁止使用注冊(cè)表編輯器，禁止使用命令提示符等，這樣可以更有效地去管理計(jì)算機(jī)，防止不必要的錯(cuò)誤發(fā)生。

7 結(jié)束語(yǔ)

目前網(wǎng)絡(luò)應(yīng)用非常廣泛，管理網(wǎng)絡(luò)的方式也有很多種。該管理模式不占用系統(tǒng)資源，不借助第三方軟件，由服務(wù)器端統(tǒng)一管理，極大地方便了管理員對(duì)整個(gè)網(wǎng)絡(luò)的統(tǒng)一管理、統(tǒng)一設(shè)置、統(tǒng)一維護(hù)工作，提高了管理效率，極大的減少了管理員的工作量。

[參考文獻(xiàn)]

[1]錢春花.淺談企業(yè)活動(dòng)目錄設(shè)計(jì)實(shí)例方案[J].中小企業(yè)管理與科技（下旬刊），2009年09期.

[2]李發(fā)旭，衛(wèi)良.Windows2000活動(dòng)目錄技術(shù)及其應(yīng)用[J].青海師范大學(xué)學(xué)報(bào)（自然科學(xué)版），2004年01期.

[3]邢華.域控制器的使用和安全[J].硅谷，2012年13期.

[4]張勇.借助域管理和網(wǎng)管軟件來(lái)提升醫(yī)院信息系統(tǒng)安全[J].電腦知識(shí)與技術(shù)，2011年34期.

⑵使用組策略限制某些軟件的使用。有些單位在上班時(shí)間不允許員工安裝QQ，MSN或游戲等軟件。同上操作，首先新建策略，打開組策略編輯器。在左側(cè)列表"用戶配置"下雙擊“Windows設(shè)置-安全設(shè)置”，右鍵單擊"軟件限制策略"。如果要阻止QQ程序的運(yùn)行，可以為它創(chuàng)建路徑規(guī)則。右鍵選取“其它規(guī)則-新路徑規(guī)則”，在彈出的對(duì)話框里點(diǎn)“瀏覽”找到QQ文件夾（比如C：＼Program Files＼Tencent＼QQ），設(shè)置“安全級(jí)別”為“受限”?？蛻舳嗽谑褂肣Q程序的時(shí)候就會(huì)受到限制。但使用這種方法只是對(duì)路徑做了限制，如果客戶端將QQ程序安裝在其他位置就不受該策略的限制。所以建議使用“其它規(guī)則-哈希規(guī)則”，知道QQ程序的哈希值，對(duì)該值做限制。那么，客戶端的QQ程序不管安裝在什么路徑下都要受到限制。

⑶IE設(shè)置。“禁用Internet選項(xiàng)”功能可以達(dá)到阻止用戶對(duì)IE隨便設(shè)置的目的。

如果不希望用戶修改E瀏覽器主頁(yè)，可以啟用“禁止修改IE瀏覽器的主頁(yè)”。

以上功能位于“組策略編輯器-用戶配置-管理模板-Windows組件-Internet Explorer”。

⑷提高網(wǎng)絡(luò)的安全性。隱藏“我的電腦”中指定的驅(qū)動(dòng)器。該組策略可以從“我的電腦”和“Windows資源管理器”上刪除代表所選硬件驅(qū)動(dòng)器的圖標(biāo)。并且驅(qū)動(dòng)器號(hào)代表的所有驅(qū)動(dòng)器不出現(xiàn)在標(biāo)準(zhǔn)的打開對(duì)話框上。

如果不希望用戶訪問(wèn)計(jì)算機(jī)的“控制面板”，同樣可以使用組策略來(lái)實(shí)現(xiàn)。還可以通過(guò)組策略禁止使用注冊(cè)表編輯器，禁止使用命令提示符等，這樣可以更有效地去管理計(jì)算機(jī)，防止不必要的錯(cuò)誤發(fā)生。

7 結(jié)束語(yǔ)

目前網(wǎng)絡(luò)應(yīng)用非常廣泛，管理網(wǎng)絡(luò)的方式也有很多種。該管理模式不占用系統(tǒng)資源，不借助第三方軟件，由服務(wù)器端統(tǒng)一管理，極大地方便了管理員對(duì)整個(gè)網(wǎng)絡(luò)的統(tǒng)一管理、統(tǒng)一設(shè)置、統(tǒng)一維護(hù)工作，提高了管理效率，極大的減少了管理員的工作量。

[參考文獻(xiàn)]

[1]錢春花.淺談企業(yè)活動(dòng)目錄設(shè)計(jì)實(shí)例方案[J].中小企業(yè)管理與科技（下旬刊），2009年09期.

[2]李發(fā)旭，衛(wèi)良.Windows2000活動(dòng)目錄技術(shù)及其應(yīng)用[J].青海師范大學(xué)學(xué)報(bào)（自然科學(xué)版），2004年01期.

[3]邢華.域控制器的使用和安全[J].硅谷，2012年13期.

[4]張勇.借助域管理和網(wǎng)管軟件來(lái)提升醫(yī)院信息系統(tǒng)安全[J].電腦知識(shí)與技術(shù)，2011年34期.