刘惠谋
(天津一汽夏利汽车股份有限公司产品开发中心)
域管理模式是一种主/从管理模式,通过一台域控制器来集中管理域内用户帐号和权限,访问权限由控制器统一管理,帐号信息保存在域控制器内,共享信息分散在每台计算机中。汽车开发设计需要采用域管理模式来管理汽车产品的设计数据,保证数据的安全,提高企业的工作效率,实现资源共享。文章介绍了域管理模式对于保障汽车产品设计数据安全的重要意义。
汽车开发设计需要采用域管理模式[1]而非工作组管理模式,域管理与工作组管理的主要区别在于:
1)工作组网[2]实现的是分散的管理模式,用户账户和权限信息保存在本机中,每一台计算机都是独立自主的,同时借助工作组来共享信息,共享信息的权限设置由每台计算机控制。而域网实现的是主/从管理模式,通过一台域控制器来集中管理域内用户帐号和权限,帐号信息保存在域控制器内,共享的信息分散在每台在域计算机里,但是信息的访问权限由控制器统一管理。这就是两者最大的不同。
2)“域”的真正含义是指使用服务器控制网络上计算机加入的计算机组合。实行严格的管理对网络安全非常必要。在网模式下,任何一台电脑只要接入网络,其他机器就都可以访问共享资源,如共享上网等。尽管网络上的共享文件可以加访问密码,但易被破解。在“域”模式下,资源的访问有较严格的管理,至少有一台服务器负责每一台联入网络的电脑和用户的验证工作,称为“域控制器(Domain Controller,简写为 DC)”。必须由网络管理员进行相应的设置,才能把某台计算机加入到域中,实现文件的共享。域控制器以系统管理员的身份进行服务器端设置和客户端设置。
3)域控制器中包含由域的账户、密码以及属于这个域的计算机等信息构成的数据库。如图1所示,当计算机联入网络时,域控制器首先要鉴别该计算机是否属于这个域,并且验证用户使用的登录账号是否存在及密码是否正确。如果以上信息有一项不正确,则域控制器就不允许用户从该计算机登录。如果不能登录,用户就不能访问服务器上有权限保护的资源,只能以网用户的方式访问Windows共享的资源,这样就在一定程度上保护了网络上的资源。而工作组只是进行本地计算机信息与安全的认证。
1)方便对用户操作进行权限设置。比如一个汽车产品数据文件只允许指定人员查看,但不可以对数据文件进行删除、修改或移动。
2)能够实现网络内的软件一起安装,避免病毒的侵入,从而大大提高产品数据的安全性。很多服务建立在域环境中,管理员便于统一管理,方便在MS软件方面集成,如ISA EXCHANGE(邮件服务器)、ISA SERVER(上网的各种设置与管理)及PDM(产品数据管理)等。使用漫游账户和文件夹重定向技术,个人账户的工作文件及数据等可以存储在服务器上,统一进行备份和管理,使汽车产品数据更加安全和有保障。
3)可以分发和指派软件等,方便用户使用各种资源。SMS(SystemManagement Server)能够分发应用程序和系统补丁等,用户可以选择安装,也可以由系统管理员指派自动安装。并能集中管理系统补丁(如Windows Updates),不需每台客户端服务器都下载同样的补丁,从而节省大量网络带宽。
汽车设计[4]人员和管理员可以在不知道所需对象确切名称的情况下,通过该对象的1个或多个属性查找对象的部分属性,从而在域中得到一个与所有已知属性相匹配的对象列表。通过域可以使得基于1个或多个对象属性来查找一个对象变成可能。域控制器集中管理用户对网络的访问,如登录、验证、访问目录和共享资源。为了简化管理,所有域中的域控制器都是平等的,可以在任何域控制器上进行修改,这种更新可以复制到域中所有的其他域控制器上。域的实施通过提供对网络上所有对象的单点管理进一步简化了管理。因为域控制器提供了对网络[5]上所有资源的单点登录,管理员可以登录到一台计算机来管理网络中任何计算机上的管理对象。在NT网络中,当用户一次登陆一个域服务器后,就可以访问该域中已经开放的全部资源,而无需对同一域进行多次登陆。但在需要共享不同域中的服务时,对每个域都必须要登陆一次,否则无法访问未登陆域服务器中的资源或无法获得未登陆域的服务。
在活动目录中,通过将目录组织成几个部分存储信息,从而允许存储大量的对象。因此,目录可以随着组织的增长而一同扩展,允许用户从一个具有几百个对象的小的安装环境发展成拥有几百万对象的大型安装环境。域为汽车设计人员提供了单一的登录过程来访问网络资源,如所有他们具有权限的文件、打印机和应用程序资源。即用户可以登录到一台计算机来使用网络上另外一台计算机上的资源,只要用户具有对资源的合适权限。域通过对用户权限合适的划分,确定了只有对特定资源有合法权限的用户才能使用该资源,从而保障了资源使用的合法性和安全性。每个域控制器保存和维护目录的一个副本。在域中,创建的每一个用户账号都会对应目录的一个记录。当汽车设计人员登录到域中的计算机时,域控制器将按照目录检查用户名、口令及登录限制以验证用户。当存在多个域控制器时,他们会定期相互复制目录信息。域控制器间的数据复制,促使登录人员信息发生改变时(比如用户修改了口令),可以迅速复制到其他的域控制器上,因此当一台域控制器出现故障时,用户仍然可以通过其他的域控制器进行登录,保障了网络的顺利运行。
域管理模式能有效隔离开内网与外网,防止公司资料外泄,从根源上杜绝病毒的侵袭。同时域管理模式使得管理员能够更方便地管理系统,方便用户使用各种资源,提高了企业的工作效率,实现了资源共享,并且具有较强的可扩展性。但域管理也存在成本高和需要高性能的服务器等缺点。如果没有备用服务器,主服务器崩坏后果非常严重。总体来说,域管理模式能够担负起保障汽车产品设计数据安全的重任。