杨莉
[摘 要] 随着网络的普及,信息技术的发展,企业在信息化应用方面已很广泛,计算机和用户数量也与日俱增,默认工作组的模式使各计算机自成体系,软件应用问题频发,用户、资源及USB口难于控制,同一软件不能统一分发,内网中的计算机不受控,微软域控、活动目录(ActireDirdctory)的出现将分散的管理模式变为集中管理,权限控制更为精准。本人从域控的创建、用户及组织结构的管理、组策略、域信任关系的建立,将域控在大中型网络中的优势进行论述,让更多的网管人员能学习并利用这种技术,为企业信息化的发展提供更安全的网络环境。
[关键词] 域控;集中管理;活动目录;组策略
doi : 10 . 3969 / j . issn . 1673 - 0194 . 2016. 21. 039
[中图分类号] F270.7;TP309 [文献标识码] A [文章编号] 1673 - 0194(2016)21- 0085- 03
1 引 言
随着网络的普及,信息技术的发展,企业在信息化应用方面已很广泛,从研发、办公自动化再到生产制造,从20世纪80年代的甩图板,90年代的0A,直到近几年的PDM、ERP,信息化正改变着传统的工作模式及管理模式,从粗放式向精细化过渡。
21世纪是一个创新的时代,是信息孤岛向资源共享化、集成化发展的时代,在此环境下,企业的所有业务都将通过计算机完成,计算机高效、快捷的优势很快显示出来,因此计算机和用户数量也与日俱增,试想一下,如果1 000台电脑也按100台电脑的管理方式进行管理,也就是按工作组的方式管理,带来的结果是软件应用问题频发,用户、资源及USB口难于控制,同一软件不能统一分发,内网中的计算机不受控,这种分散的管理方式,直接导致工作效率低,况且弱口令问题、乱改IP问题、随意安装不安全软件问题;再比如有300人要求共享网络资源,而且要求的权限也不一样,有的可读、有的可改、有的可删,如何进行权限控制?300人要安装同一软件你要单台机器去安装吗?公司的服务器不是一台而是多台,都要为用户共享资源,面对如此种种问题,WINDOWS系统从NT4.0 SERVER开始有这项技术,利用域、活动目录(Active Director)、组策略进行集中管理和控制,这是工作组所不能实现的。
2 工作组与域的区别
对资源进行访问,微软管理计算机有工作组和域两种管理模式,企业应该根据需求、对资源的访问程度合理设计管理方案。
2.1 工作组的特点
工作组是操作系统装完后默认的一种模式,它是一群计算机在逻辑上的集合,计算机之间是平等关系,资源和帐户由每台计算机的管理员各自管理,网络访问时即便同一工作组之间也需要输入用户名及密码进行验证,但在对等网的密码很容易被破解。
2.2 域的特点
域(Domain)是具有安全边界的计算机集合,凡是在共享域逻辑范围内的用户都使用公共的安全机制和用户账户信息,同一域中的用户默认是互相信任的,相互访问不再需要用户名,密码验证,域中的密码其实是登录票据,域控每30天会自动更新此登录票据。域也是活动目录的一个分区,在活动目录(ActireDirdctory)中, 目录存储只有一种形式, 即域控制器(Domain Controller),域控制器具有对整个域以及域中的所有计算机的管理权限,用户账号、计算机账号和安全策略被存储在域控制器上一个名为Active Director的数据库中。
3 域控的布署
3.1 活动目录的安装
Server2003 enterprise 安装完成后,在运行处输入‘dcpromo命令,按照向导一步步安装,如果是局域网内的第一台域控服务器请选择‘在新林中的域,否则根据情况选择子域或现有域的域树,最后还要安装DNS。值得提醒的是,安装活动目录时,第一,保证是本地Administrator权限;第二,本地磁盘得有一个NTFS分区。
3.2 域控制器的应用
3.2.1 OU组织单位的管理
组织单位简称OU,是域环境下最小的管理单位,是活动目录中的一种对象,它可以管理诸如用户帐户、组帐户、计算机帐户等。组织单位可以根据部门、位置、功能来建立,合理的创建组织单位便于用户授权和检索。
3.2.2 用户的建立
管理员在各组织单位下建立域用户和全局组,并为全局组添加域用户,全局组的命名最好把特征描述出来。建立后的域用户授权后就可以在客户端登录并访问网络资源。
3.2.3 组策略的设置
组策略是域环境用的最多的功能,几乎涵盖了控制计算机的方方面面,如:桌面的控制、密码长度和复杂度的限制、USB口的控制、控制面板内容的控制、程序的控制、打印机的控制等等,几乎你想控制的安全事项都可以在组策略内完成,这是工作组管理方式不能实现的,它将许多重复劳动自动化、简单化,这也是建立域控的价值所在。运行中输入Gpedit.msc 就可打开组策略按需求进行以上设置。
3.2.4 信任关系的建立
在WINDOWS系统对企业计算机进行管理的过程中,企业因为行政划分可能存在多域环境,需要建立域之间信任关系以实现多域环境资源的互访。当在同一个林中添加域树或子域后, 林中所有域之间的信任关系在安装时就会自动创建,资源就可以互访;但当不在同一林中时,林之间需要通过域和信任关系控制台创建可传递的信任关系,可以是单向,也可以是双向。
4 域控制器的优越性
4.1 用户及权限集中管理,管理成本下降
在域环境下,用户、计算机都按组织单位在服务器上进行统一维护,统一分配权限,域控制器存储了域中所有用户的账号及权限信息,对异地用户、计算机的管理效果非常明显,管理员只需要在域控制器上进行集中管理及授权,利用组策略统一进行策略下发,达到异地计算机管理本地化、标准化、简单化,客户端计算机的故障率大大降低,从而降低了网管员的管理成本,这是工作组模式不能实现的。
4.2 单个账户登录,资源访问更便捷
传统网络管理模式下,用户访问网络资源需要进行用户名、密码的身份验证,域管理模式下,无论是单域或多域(只要相互建立了信任关系),只需单个账户登录,所有域内资源在权限允许的情况下,省去输用户名、密码的麻烦,使资源访问更快速、便捷,提高工作效率。
4.3 账户漫游及文件夹重定向
使用漫游及文件夹重定向功能,个人用户的文档及数据就可以存贮在服务器上,方便了数据的备份及管理,即使客户机DOWN机,只需要重装系统,用域账号登录,文档和数据的位置保持不变。
5 域控模式的不足
本机管理员疏于限制帐户登录情况下,域用户可以随便登录域内计算机,使域内客户端硬盘数据轻易获取,建议将重要数据存于域控服务器或进行登录限制。
域模式的建立和设置比较复杂,一旦域控崩溃,将面临域账号不能登录计算机、控制失效问题,建议建立主域控时同时建立备份域控服务器。
6 结 语
通过域管理模式在企业的应用,客户端计算机的管理明显趋于控制,从原来无序到有序、从分散到集中,从不受控到目前的合理控制,明显提高了网络管理员的工作效率并减少了不必要的工作量,在没有第三方网管软件的情况下,通过组策略设置,很好地控制了用户对资源的访问程度,内网的安全性更加增强,域内用户相对安全的使用网络资源,但随着信息化的发展,计算机技术及网络技术的提升,网络安全仍需要重视,不可掉以轻心,只有对网络技术不断学习,创新管理手段,才能营造安全的网络环境,也才能在“工业4.0”和“中国制造2025”的大趋势下发挥更大作用。
主要参考文献
[1]王隆杰,梁广民.Windows Server 2008网络管理[M]. 北京:清华大学出版社,2012.
[2] 龚秀琴,张桂芬.Windows Server 2008中Active Directory域的配置管理[J].数字技术与应用,2012(12):155-156.
[3] 赵长明. 我国二手房地产交易价格风险的核算[J]. 统计与决策, 2014(1).