應用WindowsServerD域提升內網管理水平

趙新平

（呂梁學院汾陽師范分校 信息技術系，山西 汾陽 032200）

應用WindowsServerD域提升內網管理水平

趙新平

（呂梁學院汾陽師范分校 信息技術系，山西 汾陽 032200）

很多企事業單位都擁有自己的內部網絡，內網計算機和用戶數量也在與日俱增，但由于缺乏相應的管理手段，內網運行狀態大多不盡如人意.本文針對內部網絡存在的問題，提出用Windows Server的AD（Active Directory）域服務提升內網的集中管控能力，并結合實例論述了域管理模式建設的一般流程.

內網管理；AD域；組策略

1 前言

隨著信息技術應用領域的不斷擴大，不少企業和事業單位都建設了自己的內部網絡，接入了因特網，這對他們信息傳遞和資源共享帶來了很大的便利.但是，由于種種原因，很多單位的內部網絡缺乏管理，在資源被濫用的同時也存在巨大的安全隱患.

2 內網管理現狀及域管理模式的優勢

2.1 內網管理現狀

目前，很多企事業單位的網絡終端都是基于工作組模式運行，網絡管理員無法對終端計算機進行集中管理，終端安全策略需要逐臺設置，費時費力.由于對網內計算機的權限缺乏管理，導致終端用戶對計算機擁有完全控制權限.用戶可以隨意安裝操作系統和應用軟件，可以隨意使用移動存儲器，可以隨意安裝和運行未經過安全檢測的軟件.用戶往往設置空口令或弱口令，不開啟防火墻，設置文件或文件夾共享，開啟遠程控制，開啟Guest賬戶.這對網內信息安全和網絡運行帶來了巨大的安全隱患.

2.2 域管理模式的優勢

活動目錄（ActiveDirectory）是WindowsServer操作系統中存儲網絡對象（如：網絡計算機、用戶賬戶、共享資源和網絡打印機等）的標準服務.域控制器通過活動目錄服務對網絡中所轄區域的計算機、用戶及網絡資源進行管理即為域管理模式.相對于工作組模式，域管理模式具有以下優勢：

2.2.1 集中管理用戶賬戶與權限

工作組模式實行的是分散管理模式，每一臺計算機都是獨立自主的.用戶賬戶和權限信息存儲在本機，共享資源的權限由共享資源的計算機獨立控制.域管理模式是主-從管理模式，通過域控制器存儲域內所有計算機的賬戶和權限信息，共享資源可以分布在域中的計算機上，但訪問權限由域控制器統一管理.管理員對于域中所有用戶的賬戶管理和權限分配可以在域控制器上集中完成，減少了管理的工作量.

2.2.2 方便用戶使用網絡共享資源，安全性高

域為用戶提供了單一的登錄過程來訪問網絡資源.即用戶可以登錄到域中任意一臺被許可登錄的計算機上，使用網絡上的共享資源，只要用戶擁有對該資源的合適權限.域通過對用戶權限的精確劃分，確定了只有特定用戶才能使用某一項網絡資源，從而保障了資源使用的合法性和安全性.

使用漫游賬戶和文件夾重定向技術，個人賬戶的工作文件及數據等可以存儲在服務器上，統一進行備份、管理，用戶的數據更加安全、有保障.

2.2.3 可以分發、指派軟件，實現域內軟件統一安裝

在日常維護工作中，管理員經常要為客戶端計算機統一安裝某個軟件.在域管理模式下可以通過設置組策略，方便實現客戶端統一安裝軟件.需要注意的是，默認只能發布M S I格式的軟件包，對于其它格式的軟件包，需要通過第三方軟件將其打包為M S I格式再進行發布.另外，還可能通過在域內布署WSUS（WindowsServerUpdateServices）服務，為客戶端計算機統一安裝補丁.

另外，在域管理模式下，我們還可以限制客戶端的某些軟件運行、禁用USB存儲設備、進行網絡準入控制、網絡訪問保護等.

3 域管理模式規劃與實施

3.1 情境假設

某公司總部設在A地，兩個子公司分別位于B地和C地，現有員工2 0 0人左右.公司已有一個局域網，運行200臺計算機，服務器操作系統為WindowsServer2008，客戶機操作系統是WindowsXP，運行于工作組模式下.由于計算機較多，管理上缺乏層次，公司希望利用Windows域模式管理所有網絡資源，提高辦公效率，加強內網安全，規范計算機使用.

公司下設部門有：總經理辦公室、人力資源部、行政部、財務部、工程部、銷售部.

3.2 域管理模式規劃

在總公司A地建立根域：companyloc，內部子網：192.168.1.0/24

在分公司B地建立子域：b.company.loc，內部子網：192.168.2.0/24

在分公司C地建立子域：c.company.loc，內部子網：192.168.3.0/24

因為在域管理模式下，域控制器（DomainController，DC）負責全網用戶的登錄審核以及用戶權限的控制，域控制器一旦停機，將會使網絡處于癱瘓狀態.所以，在總公司及B、C兩地的分公司分別設置兩臺域控制器，當主D C停機時，備用D C可以接替主D C提供服務.

DC規劃情況如下表所示：

地區 計算機名 IP地址 子網掩碼 DNS A地DC-A-01 192.168.1.251 255.255.255.0 192.168.1.251 DC-A-02 192.168.1.252 255.255.255.0 192.168.1.251 B地C地DC-B-01 192.168.2.251 255.255.255.0 192.168.1.251 DC-B-02 192.168.2.252 255.255.255.0 192.168.1.251 DC-C-01 192.168.3.251 255.255.255.0 192.168.1.251 DC-C-02 192.168.3.252 255.255.255.0 192.168.1.251

3.3 域管理模式實施

3.3.1 安裝域控制器

在提供域控制器功能的服務器上添加“ActiveDirectory域服務”角色，在安裝過程中需要提供域名.如果安裝的是主域控制器，則將D N S服務一起安裝.在設置數據庫及日志文件路徑時最好將數據庫文件和日志文件的路徑設置到不同分區.

3.3.2 規劃組織單位

為了便于管理，在域控制器上按公司部門劃分創建組織單位（OrganizationUnits，OU），將相關帳號和組劃入組織單位，即可按部門設置組策略.

3.3.3 創建用戶

為所有內網用戶創建帳號，加入適當的權限組，并加入相關OU.在域管理模式下，管理員可以在域控制器上統一管理全網用戶賬戶及權限.只要管理員授權，用戶就可以用自己的帳號在網內的多臺計算機上登錄.如果使用漫游賬戶和文件夾重定向技術，用戶個人賬戶的工作文件和數據可以存儲在服務器上，進行統一備份管理，用戶數據更加安全.

3.3.4 設置組策略

組策略是WindowsAD域用戶安全管理的重要手段，在具體應用時應該先進行測試，再進行策略下發.

通過設置組策略，可以糾正一些用戶不規范的操作行為.如：

（1）強制用空口令或弱口令的賬戶修改口令.

（2）強制關閉Guest賬戶.

（3）強制開啟客戶端防火墻.

（4）關閉客戶端硬盤和文件夾共享.

（5）關閉遠程桌面.

通過設置組策略，可以提高網管的工作效率.如：

（1）統一設置客戶端桌面、屏保、瀏覽器主頁等，以宣傳公司企業文化內容.

（2）設置軟件分發和指派，統一進行軟件安裝，省時省力.

（3）禁止用戶安裝軟件、卸載軟件、修改IP等操作，防止用戶擅自修改工作環境.

3.4 測試和切換到域管理模式

域管理環境搭建完畢后，應先針對個別部門的少量計算機時行測試，待運行穩定無誤后，再有計劃地將公司各部門的計算機分步驟加入域，且每加入一個部門的計算機，就要進行測試，以免出現大面積的故障而影響公司的業務運行.

4 結束語

WindowsServer的AD域是內網桌面管理的有效工具，合理利用可以減少管理員的重復勞動，有效加強內網安全.但隨著信息技術和發展，內網面臨的安全隱患也層出不窮.作為系統管理員，只有不斷創新，不斷學習和引入新的安全管理技術，才能使內部網絡更好好服務于各自單位的信息化建設.

〔1〕戴有煒.Windows Server 2008 R2 Active Directory配置指南[M].北京：清華大學出版社，2011.

〔2〕Mark MInasi.精通Windows Server 2008 R2 [M].北京：清華大學出版社，2012.

TP393.1

A

1673-260 X（2013）12-0022-02