利用域網絡技術實現辦公系統優化管理

近年來，隨著計算機網絡技術的發展，越來越多的工作和流程可以通過網絡來簡化并提高效率。某電力企業在局域網基礎上建立了管理網絡系統，實現了辦公的自動化和無紙化，大大提高了辦公效率。但是隨著網絡應用的深入，在網絡管理方面的各種問題也日益突出。由于網絡系統的運行仍然基于早期的對等網或工作組模式（見圖1），沒有對計算機進行有效的集中化管理，使得辦公網絡存在比較大的安全風險和管理缺陷。各主機無法統一管理，造成安全性低、登錄不方便、故障恢復能力差。

考慮到該電力企業網絡現狀、使用效果、成本等因素，采用域管理模式（見圖2）對整個局域網共享進行管理，不僅能繼承工作組管理模式的優點，又能彌補工作組管理模式各方面的不足，實現對局域網共享資源安全、高效、方便的管理。“域”指的是服務器控制網絡上的計算機能否加入的計算機組合，即一組服務器和工作站的集合。在“域”模式下，至少有一臺服務器負責每一臺聯入網絡的電腦和用戶的驗證工作，相當于一個單位的門衛一樣，稱為“域控制器”（Domain Controller ，簡寫為DC）。域將計算機賬戶和用戶及賬戶密碼集中放在一個共享數據庫內，使得用戶可以只使用一個賬戶名和密碼就能夠訪問網絡中的計算機。當電腦聯入網絡時，域控制器首先要鑒別這臺電腦是否屬于這個域，用戶使用的登錄賬號是否存在、密碼是否正確。如果其中有一樣信息不正確，那么域控制器就會拒絕這個用戶從這臺電腦登錄。同時對不同的用戶可以設置不同的訪問權限，大大方便了對共享資源的管理，保護了數據的安全性。

一、域管理實現的功能

（一） 實現網絡的集中化管理

在網絡中采用一種集中化的網絡管理模式，對網絡中的計算機進行更高效的管理，提高其辦公網絡的安全性和資源的集中管理與控制。Windows server 2003的Active Directory 和域控制器就具備這樣的網絡功能。域在Windows 2008網絡環境中實現。域網絡的最大特點就是可以實現用戶、計算機等對象賬戶，以及網絡安全策略的集中管理和部署。

（二） 實現辦公網絡優化管理

因為域網絡可以實現在一臺服務器上對用戶/計算機賬戶和安全策略的集中管理，對于管理員來說，就可以更方便地管理整個網絡的用戶賬戶和安全策略，而不必分別到各用戶計算機上分別配置。這對于規模較大的網絡來說，優勢更加明顯。

在一個工作組模式的網絡中，本地用戶可以隨意地更改或設置自己的桌面應用環境，并且用戶從不同的計算機中登錄就有不同的桌面應用環境。而在包含域控制器的辦公網絡中，可以保證在不同的位置用同一域帳戶登錄后有一致的桌面應用環境， 較好地實現工作的連續性。通過在域控制器中設置組策略，可以影響整個域的工作環境，同時可以降低布置用戶和計算機環境的總體費用。

（三）實現網絡安全

想把一臺電腦加入域，僅僅使它和服務器在“網上鄰居”能夠相互看到是遠遠不夠的，必須要由網絡管理員把這臺電腦加入域。操作過程由服務器端設置和客戶端設置構成。所有域用戶設置的密碼具有一定復雜性，可以限制密碼的重輸次數。在非法用戶試圖探測域用戶密碼時，超過指定次數將被鎖定帳戶，從而避免非法用戶的攻擊。

（四）實現辦公網絡資源的授權訪問

在域網絡中，域賬戶和安全策略可以有多級，最小的安全策略邊界是域中的“組織單位”（OU），最大的安全邊界是“林”。在域層次中，按照精確度由低到高的順序進行應用。因為存在多級賬戶和安全策略，所以在域網絡中存在一個信任關系。也就是一個域可以與同一“林”中的其他域建立單向或者雙向信任關系，不同“林”之間也可以建立單向或者雙向信任關系。這樣一來，就可以實現單向或者雙向訪問的目的。通過設置域安全策略，既可以保證不讓非法用戶進去，又能讓合法用戶根據他們實際具有的域訪問權限進來，較好實現辦公網絡資源的授權訪問和網絡安全風險的控制。

二、域管理的優缺點

由于所有網絡資源包括用戶均是在域控制器上維護，權限管理比較集中，管理成本大大下降，而且安全性加強。因為使用漫游賬戶和文件夾重定向技術，個人賬戶的工作文件及數據等可以存儲在服務器上，統一進行備份、管理，用戶的數據更加安全、有保障。當客戶機發生故障時，只需使用其他客戶機安裝相應軟件進行登錄，用戶會發現自己的文件仍然在“原來的位置”，從而可以更快地進行故障修復。

雖然在辦公網絡管理中，域的集中管理模式有著巨大的優勢， 但也有其不足之處。由于在域網絡中的用戶賬戶和安全策略都是在網絡中的服務器上進行統一部署的，而且域網絡中可能存在多級安全策略，所以用戶在登錄和進行網絡訪問時的性能不如工作組網絡，存在一定的延時，特別是在大的域網絡，或者安全策略配置復雜（安全級別太多，采用的安全通信協議太多，安全策略設置啟用太多等）、安全策略配置不合理（如存在許多沖突設置項）的域網絡中表現尤其突出。

（責任編輯：趙靜）