楊莉

[摘 要] 隨著網(wǎng)絡(luò)的普及，信息技術(shù)的發(fā)展，企業(yè)在信息化應(yīng)用方面已很廣泛，計(jì)算機(jī)和用戶數(shù)量也與日俱增，默認(rèn)工作組的模式使各計(jì)算機(jī)自成體系，軟件應(yīng)用問題頻發(fā)，用戶、資源及USB口難于控制，同一軟件不能統(tǒng)一分發(fā)，內(nèi)網(wǎng)中的計(jì)算機(jī)不受控，微軟域控、活動(dòng)目錄（ActireDirdctory）的出現(xiàn)將分散的管理模式變?yōu)榧泄芾?，?quán)限控制更為精準(zhǔn)。本人從域控的創(chuàng)建、用戶及組織結(jié)構(gòu)的管理、組策略、域信任關(guān)系的建立，將域控在大中型網(wǎng)絡(luò)中的優(yōu)勢進(jìn)行論述，讓更多的網(wǎng)管人員能學(xué)習(xí)并利用這種技術(shù)，為企業(yè)信息化的發(fā)展提供更安全的網(wǎng)絡(luò)環(huán)境。

[關(guān)鍵詞] 域控；集中管理；活動(dòng)目錄；組策略

doi ： 10 . 3969 / j . issn . 1673 - 0194 . 2016. 21. 039

[中圖分類號(hào)] F270.7；TP309 [文獻(xiàn)標(biāo)識(shí)碼] A [文章編號(hào)] 1673 - 0194（2016）21- 0085- 03

1 引 言

隨著網(wǎng)絡(luò)的普及，信息技術(shù)的發(fā)展，企業(yè)在信息化應(yīng)用方面已很廣泛，從研發(fā)、辦公自動(dòng)化再到生產(chǎn)制造，從20世紀(jì)80年代的甩圖板，90年代的0A，直到近幾年的PDM、ERP，信息化正改變著傳統(tǒng)的工作模式及管理模式，從粗放式向精細(xì)化過渡。

21世紀(jì)是一個(gè)創(chuàng)新的時(shí)代，是信息孤島向資源共享化、集成化發(fā)展的時(shí)代，在此環(huán)境下，企業(yè)的所有業(yè)務(wù)都將通過計(jì)算機(jī)完成，計(jì)算機(jī)高效、快捷的優(yōu)勢很快顯示出來，因此計(jì)算機(jī)和用戶數(shù)量也與日俱增，試想一下，如果1 000臺(tái)電腦也按100臺(tái)電腦的管理方式進(jìn)行管理，也就是按工作組的方式管理，帶來的結(jié)果是軟件應(yīng)用問題頻發(fā)，用戶、資源及USB口難于控制，同一軟件不能統(tǒng)一分發(fā)，內(nèi)網(wǎng)中的計(jì)算機(jī)不受控，這種分散的管理方式，直接導(dǎo)致工作效率低，況且弱口令問題、亂改IP問題、隨意安裝不安全軟件問題；再比如有300人要求共享網(wǎng)絡(luò)資源，而且要求的權(quán)限也不一樣，有的可讀、有的可改、有的可刪，如何進(jìn)行權(quán)限控制？300人要安裝同一軟件你要單臺(tái)機(jī)器去安裝嗎？公司的服務(wù)器不是一臺(tái)而是多臺(tái)，都要為用戶共享資源，面對(duì)如此種種問題，WINDOWS系統(tǒng)從NT4.0 SERVER開始有這項(xiàng)技術(shù)，利用域、活動(dòng)目錄（Active Director）、組策略進(jìn)行集中管理和控制，這是工作組所不能實(shí)現(xiàn)的。

2 工作組與域的區(qū)別

對(duì)資源進(jìn)行訪問，微軟管理計(jì)算機(jī)有工作組和域兩種管理模式，企業(yè)應(yīng)該根據(jù)需求、對(duì)資源的訪問程度合理設(shè)計(jì)管理方案。

2.1 工作組的特點(diǎn)

工作組是操作系統(tǒng)裝完后默認(rèn)的一種模式，它是一群計(jì)算機(jī)在邏輯上的集合，計(jì)算機(jī)之間是平等關(guān)系，資源和帳戶由每臺(tái)計(jì)算機(jī)的管理員各自管理，網(wǎng)絡(luò)訪問時(shí)即便同一工作組之間也需要輸入用戶名及密碼進(jìn)行驗(yàn)證，但在對(duì)等網(wǎng)的密碼很容易被破解。

2.2 域的特點(diǎn)

域（Domain）是具有安全邊界的計(jì)算機(jī)集合，凡是在共享域邏輯范圍內(nèi)的用戶都使用公共的安全機(jī)制和用戶賬戶信息，同一域中的用戶默認(rèn)是互相信任的，相互訪問不再需要用戶名，密碼驗(yàn)證，域中的密碼其實(shí)是登錄票據(jù)，域控每30天會(huì)自動(dòng)更新此登錄票據(jù)。域也是活動(dòng)目錄的一個(gè)分區(qū)，在活動(dòng)目錄（ActireDirdctory）中， 目錄存儲(chǔ)只有一種形式， 即域控制器（Domain Controller），域控制器具有對(duì)整個(gè)域以及域中的所有計(jì)算機(jī)的管理權(quán)限，用戶賬號(hào)、計(jì)算機(jī)賬號(hào)和安全策略被存儲(chǔ)在域控制器上一個(gè)名為Active Director的數(shù)據(jù)庫中。

3 域控的布署

3.1 活動(dòng)目錄的安裝

Server2003 enterprise 安裝完成后，在運(yùn)行處輸入‘dcpromo命令，按照向?qū)б徊讲桨惭b，如果是局域網(wǎng)內(nèi)的第一臺(tái)域控服務(wù)器請(qǐng)選擇‘在新林中的域，否則根據(jù)情況選擇子域或現(xiàn)有域的域樹，最后還要安裝DNS。值得提醒的是，安裝活動(dòng)目錄時(shí)，第一，保證是本地Administrator權(quán)限；第二，本地磁盤得有一個(gè)NTFS分區(qū)。

3.2 域控制器的應(yīng)用

3.2.1 OU組織單位的管理

組織單位簡稱OU，是域環(huán)境下最小的管理單位，是活動(dòng)目錄中的一種對(duì)象，它可以管理諸如用戶帳戶、組帳戶、計(jì)算機(jī)帳戶等。組織單位可以根據(jù)部門、位置、功能來建立，合理的創(chuàng)建組織單位便于用戶授權(quán)和檢索。

3.2.2 用戶的建立

管理員在各組織單位下建立域用戶和全局組，并為全局組添加域用戶，全局組的命名最好把特征描述出來。建立后的域用戶授權(quán)后就可以在客戶端登錄并訪問網(wǎng)絡(luò)資源。

3.2.3 組策略的設(shè)置

組策略是域環(huán)境用的最多的功能，幾乎涵蓋了控制計(jì)算機(jī)的方方面面，如：桌面的控制、密碼長度和復(fù)雜度的限制、USB口的控制、控制面板內(nèi)容的控制、程序的控制、打印機(jī)的控制等等，幾乎你想控制的安全事項(xiàng)都可以在組策略內(nèi)完成，這是工作組管理方式不能實(shí)現(xiàn)的，它將許多重復(fù)勞動(dòng)自動(dòng)化、簡單化，這也是建立域控的價(jià)值所在。運(yùn)行中輸入Gpedit.msc 就可打開組策略按需求進(jìn)行以上設(shè)置。

3.2.4 信任關(guān)系的建立

在WINDOWS系統(tǒng)對(duì)企業(yè)計(jì)算機(jī)進(jìn)行管理的過程中，企業(yè)因?yàn)樾姓澐挚赡艽嬖诙嘤颦h(huán)境，需要建立域之間信任關(guān)系以實(shí)現(xiàn)多域環(huán)境資源的互訪。當(dāng)在同一個(gè)林中添加域樹或子域后， 林中所有域之間的信任關(guān)系在安裝時(shí)就會(huì)自動(dòng)創(chuàng)建，資源就可以互訪；但當(dāng)不在同一林中時(shí)，林之間需要通過域和信任關(guān)系控制臺(tái)創(chuàng)建可傳遞的信任關(guān)系，可以是單向，也可以是雙向。

4 域控制器的優(yōu)越性

4.1 用戶及權(quán)限集中管理，管理成本下降

在域環(huán)境下，用戶、計(jì)算機(jī)都按組織單位在服務(wù)器上進(jìn)行統(tǒng)一維護(hù)，統(tǒng)一分配權(quán)限，域控制器存儲(chǔ)了域中所有用戶的賬號(hào)及權(quán)限信息，對(duì)異地用戶、計(jì)算機(jī)的管理效果非常明顯，管理員只需要在域控制器上進(jìn)行集中管理及授權(quán)，利用組策略統(tǒng)一進(jìn)行策略下發(fā)，達(dá)到異地計(jì)算機(jī)管理本地化、標(biāo)準(zhǔn)化、簡單化，客戶端計(jì)算機(jī)的故障率大大降低，從而降低了網(wǎng)管員的管理成本，這是工作組模式不能實(shí)現(xiàn)的。

4.2 單個(gè)賬戶登錄，資源訪問更便捷

傳統(tǒng)網(wǎng)絡(luò)管理模式下，用戶訪問網(wǎng)絡(luò)資源需要進(jìn)行用戶名、密碼的身份驗(yàn)證，域管理模式下，無論是單域或多域（只要相互建立了信任關(guān)系），只需單個(gè)賬戶登錄，所有域內(nèi)資源在權(quán)限允許的情況下，省去輸用戶名、密碼的麻煩，使資源訪問更快速、便捷，提高工作效率。

4.3 賬戶漫游及文件夾重定向

使用漫游及文件夾重定向功能，個(gè)人用戶的文檔及數(shù)據(jù)就可以存貯在服務(wù)器上，方便了數(shù)據(jù)的備份及管理，即使客戶機(jī)DOWN機(jī)，只需要重裝系統(tǒng)，用域賬號(hào)登錄，文檔和數(shù)據(jù)的位置保持不變。

5 域控模式的不足

本機(jī)管理員疏于限制帳戶登錄情況下，域用戶可以隨便登錄域內(nèi)計(jì)算機(jī)，使域內(nèi)客戶端硬盤數(shù)據(jù)輕易獲取，建議將重要數(shù)據(jù)存于域控服務(wù)器或進(jìn)行登錄限制。

域模式的建立和設(shè)置比較復(fù)雜，一旦域控崩潰，將面臨域賬號(hào)不能登錄計(jì)算機(jī)、控制失效問題，建議建立主域控時(shí)同時(shí)建立備份域控服務(wù)器。

6 結(jié) 語

通過域管理模式在企業(yè)的應(yīng)用，客戶端計(jì)算機(jī)的管理明顯趨于控制，從原來無序到有序、從分散到集中，從不受控到目前的合理控制，明顯提高了網(wǎng)絡(luò)管理員的工作效率并減少了不必要的工作量，在沒有第三方網(wǎng)管軟件的情況下，通過組策略設(shè)置，很好地控制了用戶對(duì)資源的訪問程度，內(nèi)網(wǎng)的安全性更加增強(qiáng)，域內(nèi)用戶相對(duì)安全的使用網(wǎng)絡(luò)資源，但隨著信息化的發(fā)展，計(jì)算機(jī)技術(shù)及網(wǎng)絡(luò)技術(shù)的提升，網(wǎng)絡(luò)安全仍需要重視，不可掉以輕心，只有對(duì)網(wǎng)絡(luò)技術(shù)不斷學(xué)習(xí)，創(chuàng)新管理手段，才能營造安全的網(wǎng)絡(luò)環(huán)境，也才能在“工業(yè)4.0”和“中國制造2025”的大趨勢下發(fā)揮更大作用。

主要參考文獻(xiàn)

[1]王隆杰，梁廣民.Windows Server 2008網(wǎng)絡(luò)管理[M]. 北京：清華大學(xué)出版社，2012.

[2] 龔秀琴，張桂芬.Windows Server 2008中Active Directory域的配置管理[J].數(shù)字技術(shù)與應(yīng)用，2012（12）：155-156.

[3] 趙長明. 我國二手房地產(chǎn)交易價(jià)格風(fēng)險(xiǎn)的核算[J]. 統(tǒng)計(jì)與決策， 2014（1）.