劉惠謀

（天津一汽夏利汽車股份有限公司產品開發(fā)中心）

域管理模式是一種主/從管理模式，通過一臺域控制器來集中管理域內用戶帳號和權限，訪問權限由控制器統(tǒng)一管理，帳號信息保存在域控制器內，共享信息分散在每臺計算機中。汽車開發(fā)設計需要采用域管理模式來管理汽車產品的設計數(shù)據(jù)，保證數(shù)據(jù)的安全，提高企業(yè)的工作效率，實現(xiàn)資源共享。文章介紹了域管理模式對于保障汽車產品設計數(shù)據(jù)安全的重要意義。

1 工作組與域的區(qū)別

汽車開發(fā)設計需要采用域管理模式[1]而非工作組管理模式，域管理與工作組管理的主要區(qū)別在于：

1）工作組網(wǎng)[2]實現(xiàn)的是分散的管理模式，用戶賬戶和權限信息保存在本機中，每一臺計算機都是獨立自主的，同時借助工作組來共享信息，共享信息的權限設置由每臺計算機控制。而域網(wǎng)實現(xiàn)的是主/從管理模式，通過一臺域控制器來集中管理域內用戶帳號和權限，帳號信息保存在域控制器內，共享的信息分散在每臺在域計算機里，但是信息的訪問權限由控制器統(tǒng)一管理。這就是兩者最大的不同。

2）“域”的真正含義是指使用服務器控制網(wǎng)絡上計算機加入的計算機組合。實行嚴格的管理對網(wǎng)絡安全非常必要。在網(wǎng)模式下，任何一臺電腦只要接入網(wǎng)絡，其他機器就都可以訪問共享資源，如共享上網(wǎng)等。盡管網(wǎng)絡上的共享文件可以加訪問密碼，但易被破解。在“域”模式下，資源的訪問有較嚴格的管理，至少有一臺服務器負責每一臺聯(lián)入網(wǎng)絡的電腦和用戶的驗證工作，稱為“域控制器（Domain Controller，簡寫為 DC）”。必須由網(wǎng)絡管理員進行相應的設置，才能把某臺計算機加入到域中，實現(xiàn)文件的共享。域控制器以系統(tǒng)管理員的身份進行服務器端設置和客戶端設置。

3）域控制器中包含由域的賬戶、密碼以及屬于這個域的計算機等信息構成的數(shù)據(jù)庫。如圖1所示，當計算機聯(lián)入網(wǎng)絡時，域控制器首先要鑒別該計算機是否屬于這個域，并且驗證用戶使用的登錄賬號是否存在及密碼是否正確。如果以上信息有一項不正確，則域控制器就不允許用戶從該計算機登錄。如果不能登錄，用戶就不能訪問服務器上有權限保護的資源，只能以網(wǎng)用戶的方式訪問Windows共享的資源，這樣就在一定程度上保護了網(wǎng)絡上的資源。而工作組只是進行本地計算機信息與安全的認證。

2 對汽車產品數(shù)據(jù)采用域管理的優(yōu)點

2.1 權限管理比較集中[3]

1）方便對用戶操作進行權限設置。比如一個汽車產品數(shù)據(jù)文件只允許指定人員查看，但不可以對數(shù)據(jù)文件進行刪除、修改或移動。

2）能夠實現(xiàn)網(wǎng)絡內的軟件一起安裝，避免病毒的侵入，從而大大提高產品數(shù)據(jù)的安全性。很多服務建立在域環(huán)境中，管理員便于統(tǒng)一管理，方便在MS軟件方面集成，如ISA EXCHANGE（郵件服務器）、ISA SERVER（上網(wǎng)的各種設置與管理）及PDM（產品數(shù)據(jù)管理）等。使用漫游賬戶和文件夾重定向技術，個人賬戶的工作文件及數(shù)據(jù)等可以存儲在服務器上，統(tǒng)一進行備份和管理，使汽車產品數(shù)據(jù)更加安全和有保障。

3）可以分發(fā)和指派軟件等，方便用戶使用各種資源。SMS（SystemManagement Server）能夠分發(fā)應用程序和系統(tǒng)補丁等，用戶可以選擇安裝，也可以由系統(tǒng)管理員指派自動安裝。并能集中管理系統(tǒng)補?。ㄈ鏦indows Updates），不需每臺客戶端服務器都下載同樣的補丁，從而節(jié)省大量網(wǎng)絡帶寬。

2.2 便于用戶查找、訪問及修改數(shù)據(jù)

汽車設計[4]人員和管理員可以在不知道所需對象確切名稱的情況下，通過該對象的1個或多個屬性查找對象的部分屬性，從而在域中得到一個與所有已知屬性相匹配的對象列表。通過域可以使得基于1個或多個對象屬性來查找一個對象變成可能。域控制器集中管理用戶對網(wǎng)絡的訪問，如登錄、驗證、訪問目錄和共享資源。為了簡化管理，所有域中的域控制器都是平等的，可以在任何域控制器上進行修改，這種更新可以復制到域中所有的其他域控制器上。域的實施通過提供對網(wǎng)絡上所有對象的單點管理進一步簡化了管理。因為域控制器提供了對網(wǎng)絡[5]上所有資源的單點登錄，管理員可以登錄到一臺計算機來管理網(wǎng)絡中任何計算機上的管理對象。在NT網(wǎng)絡中，當用戶一次登陸一個域服務器后，就可以訪問該域中已經(jīng)開放的全部資源，而無需對同一域進行多次登陸。但在需要共享不同域中的服務時，對每個域都必須要登陸一次，否則無法訪問未登陸域服務器中的資源或無法獲得未登陸域的服務。

2.3 具有較強的可擴展性

在活動目錄中，通過將目錄組織成幾個部分存儲信息，從而允許存儲大量的對象。因此，目錄可以隨著組織的增長而一同擴展，允許用戶從一個具有幾百個對象的小的安裝環(huán)境發(fā)展成擁有幾百萬對象的大型安裝環(huán)境。域為汽車設計人員提供了單一的登錄過程來訪問網(wǎng)絡資源，如所有他們具有權限的文件、打印機和應用程序資源。即用戶可以登錄到一臺計算機來使用網(wǎng)絡上另外一臺計算機上的資源，只要用戶具有對資源的合適權限。域通過對用戶權限合適的劃分，確定了只有對特定資源有合法權限的用戶才能使用該資源，從而保障了資源使用的合法性和安全性。每個域控制器保存和維護目錄的一個副本。在域中，創(chuàng)建的每一個用戶賬號都會對應目錄的一個記錄。當汽車設計人員登錄到域中的計算機時，域控制器將按照目錄檢查用戶名、口令及登錄限制以驗證用戶。當存在多個域控制器時，他們會定期相互復制目錄信息。域控制器間的數(shù)據(jù)復制，促使登錄人員信息發(fā)生改變時（比如用戶修改了口令），可以迅速復制到其他的域控制器上，因此當一臺域控制器出現(xiàn)故障時，用戶仍然可以通過其他的域控制器進行登錄，保障了網(wǎng)絡的順利運行。

3 結論

域管理模式能有效隔離開內網(wǎng)與外網(wǎng)，防止公司資料外泄，從根源上杜絕病毒的侵襲。同時域管理模式使得管理員能夠更方便地管理系統(tǒng)，方便用戶使用各種資源，提高了企業(yè)的工作效率，實現(xiàn)了資源共享，并且具有較強的可擴展性。但域管理也存在成本高和需要高性能的服務器等缺點。如果沒有備用服務器，主服務器崩壞后果非常嚴重?？傮w來說，域管理模式能夠擔負起保障汽車產品設計數(shù)據(jù)安全的重任。