利用域控制器管理局域网

2014-06-20 18:14高洁
无线互联科技 2014年3期
关键词:域控制器组策略客户端

高洁

摘 要:随着计算机网络的飞速发展,很多单位的各项业务,大量依赖于网络基础上的计算机来完成。网络带来高效服务的同时。也为管理工作增加了挑战。为了有效的管理局域网内的用户、计算机、软硬件设备,本篇文章讲述了Windows 2003 Server系统下如何安装和应用域控制器管理局域网。

关键词:Windows 2003 Serve;域控制器;活动目录;组策略

1 引言

现在,很多单位组建了局域网以提高办公效率。利用网络可以实现资源的最佳利用,如:共享磁盘设备、打印机等,从而可以在局域网内部互相调用文件,并可在任何一台共享打印机上进行打印。网络带来方便的同时,如何有效地管理计算机,便成为管理员的一个难题。本文给大家介绍了利用域控制器来管理整个网络,尽量将客户端的工作量降到最低,从分散管理转换为集中管理,大大减轻管理员的工作量,提高了工作效率。

2 域和域控制器的定义

域(Domain)是Windows网络中独立运行的单位,域之间相互访问则需要建立信任关系(Trust Relation)。信任关系是连接在域与域之间的桥梁。当一个域与其他域建立了信任关系后,多个域之间不但可以按需相互进行管理,还可以跨网分配文件和打印机等设备资源,使不同的域之间实现网络资源的共享与管理[1]。

域既是Windows网络操作系统的逻辑组织单元,也是Internet的逻辑组织单元,在Windows网络操作系统中,域是安全边界。域管理员只能管理域的内部,除非其他的域显式地赋予他管理权限,他才能够访问或者管理其他的域;每个域都有自己的安全策略,以及它与其他域的安全信任关系。

在域模式下,至少有一台服务器负责每一台联入网络的电脑和用户的验证工作,称为“域控制器(Domain Controller,简称DC)”。域控制器中包含了由这个域的账户、密码、属于这个域的计算机等信息构成的数据库。当电脑联入网络时,域控制器首先要鉴别这台电脑是否是属于这个域,用户使用的登录账号是否存在、密码是否正确。如果以上信息有一样不正确,那么域控制器就会拒绝这个用户从这台电脑登录,用户就不能访问服务器上有权限保护的资源,他只能以对等网用户的方式访问Windows共享的资源,这样就在一定程度上保护了网络上的资源。要把一台电脑加入域,仅仅使它和服务器在网上邻居中能够相互“看”到是远远不够的,必须要由管理员进行相应的设置,把这台电脑加入到域中,这样才能实现文件的共享[2]。

3 采用域管理的优点

⑴方便管理,权限管理比较集中,管理人员可以较好的管理计算机资源。

⑵安全性高,有利于单位的一些保密资料的管理,比如一个文件只能让某一个人看,或者指定人员可以看,但不可以删/改/移等。

⑶方便对用户操作进行权限设置,可以分发,指派软件等,实现网络内的软件一起安装。

⑷很多服务必须建立在域环境中,对管理员来说有好处:统一管理,方便在MS软件方面集成,如ISA EXCHANGE(邮件服务器)、ISA SERVER(上网的各种设置与管理)等。

⑸使用漫游账户和文件夹重定向技术,个人账户的工作文件及数据等可以存储在服务器上,统一进行备份、管理,用户的数据更加安全、有保障。

⑹方便用户使用各种资源。

⑺SMS(System Management Server)能够分发应用程序、系统补丁等,用户可以选择安装,也可以由系统管理员指派自动安装。并能集中管理系统补丁(如Windows Updates),不需每台客户端服务器都下载同样的补丁,从而节省大量网络带宽。

⑻资源共享。用户和管理员可以不知道他们所需要的对象的确切名称,但是他们可能知道这个对象的一个或多个属性,他们可以通过查找对象的部分属性在域中得到一个所有已知属性相匹配的对象列表,通过域使得基于一个或者多个对象属性来查找一个对象变得可能。

⑼管理。域控制器集中管理用户对网络的访问,如登录、验证、访问目录和共享资源。为了简化管理,所有域中的域控制器都是平等的,你可以在任何域控制器上进行修改,这种更新可以复制到域中所有的其他域控制器上。

域的实施通过提供对网络上所有对象的单点管理进一步简化了管理。因为域控制器提供了对网络上所有资源的单点登录,管理远可以登录到一台计算机来管理网络中任何计算机上的管理对象。在NT网络中,当用户一次登陆一个域服务器后,就可以访问该域中已经开放的全部资源,而无需对同一域进行多次登陆。但在需要共享不同域中的服务时,对每个域都必须要登陆一次,否则无法访问未登陆域服务器中的资源或无法获得未登陆域的服务。

⑽可扩展性。在活动目录中,目录通过将目录组织成几个部分存储信息从而允许存储大量的对象。因此,目录可以随着组织的增长而一同扩展,允许用户从一个具有几百个对象的小的安装环境发展成拥有几百万对象的大型安装环境。

⑾安全性。域为用户提供了单一的登录过程来访问网络资源,如所有他们具有权限的文件、打印机和应用程序资源。也就是说,用户可以登录到一台计算机来使用网络上另外一台计算机上的资源,只要用户具有对资源的合适权限。域通过对用户权限合适的划分,确定了只有对特定资源有合法权限的用户才能使用该资源,从而保障了资源使用的合法性和安全性。

⑿可冗余性。每个域控制器保存和维护目录的一个副本。在域中,你创建的每一个用户帐号都会对应目录的一个记录。当用户登录到域中的计算机时,域控制器将按照目录检查用户名、口令、登录限制以验证用户。当存在多个域控制器时,他们会定期的相互复制目录信息,域控制器间的数据复制,促使用户信息发生改变时(比如用户修改了口令),可以迅速的复制到其他的域控制器上,这样当一台域控制器出现故障时,用户仍然可以通过其他的域控制进行登录,保障了网络的顺利运行[3]。

4 域的规划

单位采用单域单站点管理模式,建设AD与BAD,即主域控器与备份域控制器,在其下面采用OU(组织单元)的模式进行集中管理各部门人员与电脑。此种管理模式,成本降低,且减少管理复杂度和维护量[4]。

AD(主域控制器):单位所有权限管理,用户建立以及各种策略、软件等的管理及实施到每台电脑。

BAD(备份域控制器):采用与AD完全相同的设置,继承AD上的所有管理资料,防止AD出现故障后,公司电脑无法登陆AD和使用网络资源,在BAD服务器上,建立资源共享文件夹,即File server,进行公司种文件的共享和使用,将BAD服务器做成WSUS服务器(windows补丁服务器),管理公司所有电脑的补丁的下载与提供安装的服务,如有需要还可集成ISA SERVER服务器,进行公司网络的管控(上外网的的控制)。

5 域控制器的安装

在这里,我们以在一台已经安装了windows 2003 server 的服务器上安装活动目录(Active Directory),建立一个名为myspace.com的域,将该服务器作为该域的域控制器为例,向大家详细介绍域控制器的安装步骤。

⑴确认服务器已经接入网络。

⑵在“开始菜单-运行”里输入“dcpromo”,打开活动目录安装向导)。

⑶接下来使用默认设置,选择下一步。

⑷选择安装或配置DNS时(图1),选择“否,只在这台计算机上安装并配置DNS”,选择下一步,输入新域的DNS全名“myspace.com”(图2),下一步,自动生成新域的netBios名称“MYSPACE”。在安装DNS的过程中,会自动将本机的首选DNS指向自己。

⑸接下来使用默认设置,选择下一步,注意设置好管理员密码,并牢记该密码。

⑹摘要中会显示我们前面进行的选择和输入),确认后选择下一步,系统开始自动配置Active Directory。

⑺安装的过程中,需要在光驱中放入Windows 2003 Server安装光盘,经过一段时间的等待,配置安装完成。根据提示重启计算机,用管理员账号和刚才设置的密码登录计算机,打开“开始菜单-管理工具-Active Directory用户和计算机”窗口(图3),可以看到我们刚才的设置已经正常安装并运行,myspace.com域已经建立。

6 使用域控制器对局域网进行管理

6.1 域控制器的配置

域控制器中包含由这个域的账号、密码、所属计算机等相关信息所组成的数据库。计算机在接入网络时,域控制器会对计算机进行识别,看是否属于这个域,用户的登录账号和密码是否正确。如果有信息检测到不正确,域控制器会拒绝该用户从这台计算机上登录系统。

域控制器的配置包括服务器端的配置和客户端的配置。

⑴服务器端的配置。打开“开始菜单-管理工具-Active Directory用户和计算机”窗口(图3),在程序界面中选择“computer”,右键菜单中选择“新建-计算机”,输入想要加入域的计算机名。

在程序界面中选择“user”,右键菜单中选择“新建-用户”,根据实际要求,给每个用户配置账户和密码。

⑵客户端的配置。在计算机桌面选择“我的电脑”,右键菜单中选择“属性-网络标识”,将原来的隶属于工作组改为隶属于域,域名为我们刚才设置的“myspace.com”。重新启动计算机,在登录对话框中输入正确的账号、密码、登录域,就可以使用myspace.com域中的资源。

这里要注意,域用户的账号和密码,是管理员为用户配置的,而不是以前本机用户自己创建的账号和密码。如果没有将计算机加入域,或者域名、账号、密码有误,那么在配置中就会出现错误。

6.2 组织单位的规划

组织单元(Organizational Units组织单元,简称OU)就是包含在域中特别有用的目录对象类型。Windows 2003 Server在Active Directory活动目录中增加了组织单位这种对象,使得整个域的规划和管理更具弹性,更能发挥出"分层负责、授权自治"的优点。组织单位是一个比域还小的管理单位。

新建的组织单位可以根据地域范围划分,例如:绵阳,德阳;也可以根据不同的行政职能划分,如:教学处、教务处、信息中心。在一个组织单位中,可以新建多个用户。在这里,我们创建一个名为“信息中心”的组织单位,在该单位下增加用户“张三”(图4)。

6.3 组策略的使用

组策略是活动目录上的最大应用,可以让许多重复的管理工作自动化、简单化。组策略设置直接影响计算机或用户帐户,并可应用于站点、域或组织单元。它可用于配置安全选项、管理应用程序、管理桌面外观、指派脚本,并将文件夹从本地计算机重新定向到网络位置。

组策略的打开与设置。在开始-程序-打开运行对话框,输入gpmc.msc,弹出"组策略管理"窗口(图5)。如果弹出找不到组件的消息,可以到微软网站免费下载gpmc.msi软件包,并在安装域控制器的机子上安装。

在这里,我们介绍几个组策略的典型应用。

⑴使用组策略实现软件的统一安装。比如安装某个杀毒软件,员工自己安装有很多的问题,有的员工不会安装,有的员工安装完不及时更新。管理员去每个员工的机子上安装,工作量又比较大。这里就可以通过组策略来实现。

打开"组策略管理",新建组策略对象,命名为“软件安装”(图5)。将新建的组策略对象“软件安装”拖动到相对应的组织单位上。在“软件安装”上点击右键,选择“编辑”,打开组策略编辑器,使用用户配置中的软件安装,将安装包发布(图6)。客户端在启动计算机的时候就会自动安装该程序了。

⑵使用组策略限制某些软件的使用。有些单位在上班时间不允许员工安装QQ,MSN或游戏等软件。同上操作,首先新建策略,打开组策略编辑器。在左侧列表"用户配置"下双击“Windows设置-安全设置”,右键单击"软件限制策略"。如果要阻止QQ程序的运行,可以为它创建路径规则。右键选取“其它规则-新路径规则”,在弹出的对话框里点“浏览”找到QQ文件夹(比如C:\Program Files\Tencent\QQ),设置“安全级别”为“受限”。客户端在使用QQ程序的时候就会受到限制。但使用这种方法只是对路径做了限制,如果客户端将QQ程序安装在其他位置就不受该策略的限制。所以建议使用“其它规则-哈希规则”,知道QQ程序的哈希值,对该值做限制。那么,客户端的QQ程序不管安装在什么路径下都要受到限制。

⑶IE设置。“禁用Internet选项”功能可以达到阻止用户对IE随便设置的目的。

如果不希望用户修改E浏览器主页,可以启用“禁止修改IE浏览器的主页”。

以上功能位于“组策略编辑器-用户配置-管理模板-Windows组件-Internet Explorer”。

⑷提高网络的安全性。隐藏“我的电脑”中指定的驱动器。该组策略可以从“我的电脑”和“Windows资源管理器”上删除代表所选硬件驱动器的图标。并且驱动器号代表的所有驱动器不出现在标准的打开对话框上。

如果不希望用户访问计算机的“控制面板”,同样可以使用组策略来实现。还可以通过组策略禁止使用注册表编辑器,禁止使用命令提示符等,这样可以更有效地去管理计算机,防止不必要的错误发生。

7 结束语

目前网络应用非常广泛,管理网络的方式也有很多种。该管理模式不占用系统资源,不借助第三方软件,由服务器端统一管理,极大地方便了管理员对整个网络的统一管理、统一设置、统一维护工作,提高了管理效率,极大的减少了管理员的工作量。

[参考文献]

[1]钱春花.浅谈企业活动目录设计实例方案[J].中小企业管理与科技(下旬刊),2009年09期.

[2]李发旭,卫良.Windows2000活动目录技术及其应用[J].青海师范大学学报(自然科学版),2004年01期.

[3]邢华.域控制器的使用和安全[J].硅谷,2012年13期.

[4]张勇.借助域管理和网管软件来提升医院信息系统安全[J].电脑知识与技术,2011年34期.

⑵使用组策略限制某些软件的使用。有些单位在上班时间不允许员工安装QQ,MSN或游戏等软件。同上操作,首先新建策略,打开组策略编辑器。在左侧列表"用户配置"下双击“Windows设置-安全设置”,右键单击"软件限制策略"。如果要阻止QQ程序的运行,可以为它创建路径规则。右键选取“其它规则-新路径规则”,在弹出的对话框里点“浏览”找到QQ文件夹(比如C:\Program Files\Tencent\QQ),设置“安全级别”为“受限”。客户端在使用QQ程序的时候就会受到限制。但使用这种方法只是对路径做了限制,如果客户端将QQ程序安装在其他位置就不受该策略的限制。所以建议使用“其它规则-哈希规则”,知道QQ程序的哈希值,对该值做限制。那么,客户端的QQ程序不管安装在什么路径下都要受到限制。

⑶IE设置。“禁用Internet选项”功能可以达到阻止用户对IE随便设置的目的。

如果不希望用户修改E浏览器主页,可以启用“禁止修改IE浏览器的主页”。

以上功能位于“组策略编辑器-用户配置-管理模板-Windows组件-Internet Explorer”。

⑷提高网络的安全性。隐藏“我的电脑”中指定的驱动器。该组策略可以从“我的电脑”和“Windows资源管理器”上删除代表所选硬件驱动器的图标。并且驱动器号代表的所有驱动器不出现在标准的打开对话框上。

如果不希望用户访问计算机的“控制面板”,同样可以使用组策略来实现。还可以通过组策略禁止使用注册表编辑器,禁止使用命令提示符等,这样可以更有效地去管理计算机,防止不必要的错误发生。

7 结束语

目前网络应用非常广泛,管理网络的方式也有很多种。该管理模式不占用系统资源,不借助第三方软件,由服务器端统一管理,极大地方便了管理员对整个网络的统一管理、统一设置、统一维护工作,提高了管理效率,极大的减少了管理员的工作量。

[参考文献]

[1]钱春花.浅谈企业活动目录设计实例方案[J].中小企业管理与科技(下旬刊),2009年09期.

[2]李发旭,卫良.Windows2000活动目录技术及其应用[J].青海师范大学学报(自然科学版),2004年01期.

[3]邢华.域控制器的使用和安全[J].硅谷,2012年13期.

[4]张勇.借助域管理和网管软件来提升医院信息系统安全[J].电脑知识与技术,2011年34期.

⑵使用组策略限制某些软件的使用。有些单位在上班时间不允许员工安装QQ,MSN或游戏等软件。同上操作,首先新建策略,打开组策略编辑器。在左侧列表"用户配置"下双击“Windows设置-安全设置”,右键单击"软件限制策略"。如果要阻止QQ程序的运行,可以为它创建路径规则。右键选取“其它规则-新路径规则”,在弹出的对话框里点“浏览”找到QQ文件夹(比如C:\Program Files\Tencent\QQ),设置“安全级别”为“受限”。客户端在使用QQ程序的时候就会受到限制。但使用这种方法只是对路径做了限制,如果客户端将QQ程序安装在其他位置就不受该策略的限制。所以建议使用“其它规则-哈希规则”,知道QQ程序的哈希值,对该值做限制。那么,客户端的QQ程序不管安装在什么路径下都要受到限制。

⑶IE设置。“禁用Internet选项”功能可以达到阻止用户对IE随便设置的目的。

如果不希望用户修改E浏览器主页,可以启用“禁止修改IE浏览器的主页”。

以上功能位于“组策略编辑器-用户配置-管理模板-Windows组件-Internet Explorer”。

⑷提高网络的安全性。隐藏“我的电脑”中指定的驱动器。该组策略可以从“我的电脑”和“Windows资源管理器”上删除代表所选硬件驱动器的图标。并且驱动器号代表的所有驱动器不出现在标准的打开对话框上。

如果不希望用户访问计算机的“控制面板”,同样可以使用组策略来实现。还可以通过组策略禁止使用注册表编辑器,禁止使用命令提示符等,这样可以更有效地去管理计算机,防止不必要的错误发生。

7 结束语

目前网络应用非常广泛,管理网络的方式也有很多种。该管理模式不占用系统资源,不借助第三方软件,由服务器端统一管理,极大地方便了管理员对整个网络的统一管理、统一设置、统一维护工作,提高了管理效率,极大的减少了管理员的工作量。

[参考文献]

[1]钱春花.浅谈企业活动目录设计实例方案[J].中小企业管理与科技(下旬刊),2009年09期.

[2]李发旭,卫良.Windows2000活动目录技术及其应用[J].青海师范大学学报(自然科学版),2004年01期.

[3]邢华.域控制器的使用和安全[J].硅谷,2012年13期.

[4]张勇.借助域管理和网管软件来提升医院信息系统安全[J].电脑知识与技术,2011年34期.

猜你喜欢
域控制器组策略客户端
处理域控制器时间误差
县级台在突发事件报道中如何应用手机客户端
孵化垂直频道:新闻客户端新策略
基于Vanconnect的智能家居瘦客户端的设计与实现
基于软件定义网络的分层式控制器负载均衡机制
修复域控制器故障
检测组策略故障
转移域控角色到中转服务器
通过组策略调整系统
为家庭版Windows添加组策略