域管理模式在企業(yè)的應(yīng)用研究

[摘 要] 隨著網(wǎng)絡(luò)的普及，信息技術(shù)的發(fā)展，企業(yè)在信息化應(yīng)用方面已很廣泛，計算機和用戶數(shù)量也與日俱增，默認工作組的模式使各計算機自成體系，軟件應(yīng)用問題頻發(fā)，用戶、資源及USB口難于控制，同一軟件不能統(tǒng)一分發(fā)，內(nèi)網(wǎng)中的計算機不受控，微軟域控、活動目錄（ActireDirdctory）的出現(xiàn)將分散的管理模式變?yōu)榧泄芾恚瑱?quán)限控制更為精準。本人從域控的創(chuàng)建、用戶及組織結(jié)構(gòu)的管理、組策略、域信任關(guān)系的建立，將域控在大中型網(wǎng)絡(luò)中的優(yōu)勢進行論述，讓更多的網(wǎng)管人員能學(xué)習(xí)并利用這種技術(shù)，為企業(yè)信息化的發(fā)展提供更安全的網(wǎng)絡(luò)環(huán)境。

[關(guān)鍵詞] 域控；集中管理；活動目錄；組策略

doi ： 10 . 3969 / j . issn . 1673 - 0194 . 2016. 21. 039

[中圖分類號] F270.7；TP309 [文獻標識碼] A [文章編號] 1673 - 0194（2016）21- 0085- 03

1 引 言

隨著網(wǎng)絡(luò)的普及，信息技術(shù)的發(fā)展，企業(yè)在信息化應(yīng)用方面已很廣泛，從研發(fā)、辦公自動化再到生產(chǎn)制造，從20世紀80年代的甩圖板，90年代的0A，直到近幾年的PDM、ERP，信息化正改變著傳統(tǒng)的工作模式及管理模式，從粗放式向精細化過渡。

21世紀是一個創(chuàng)新的時代，是信息孤島向資源共享化、集成化發(fā)展的時代，在此環(huán)境下，企業(yè)的所有業(yè)務(wù)都將通過計算機完成，計算機高效、快捷的優(yōu)勢很快顯示出來，因此計算機和用戶數(shù)量也與日俱增，試想一下，如果1 000臺電腦也按100臺電腦的管理方式進行管理，也就是按工作組的方式管理，帶來的結(jié)果是軟件應(yīng)用問題頻發(fā)，用戶、資源及USB口難于控制，同一軟件不能統(tǒng)一分發(fā)，內(nèi)網(wǎng)中的計算機不受控，這種分散的管理方式，直接導(dǎo)致工作效率低，況且弱口令問題、亂改IP問題、隨意安裝不安全軟件問題；再比如有300人要求共享網(wǎng)絡(luò)資源，而且要求的權(quán)限也不一樣，有的可讀、有的可改、有的可刪，如何進行權(quán)限控制？300人要安裝同一軟件你要單臺機器去安裝嗎？公司的服務(wù)器不是一臺而是多臺，都要為用戶共享資源，面對如此種種問題，WINDOWS系統(tǒng)從NT4.0 SERVER開始有這項技術(shù)，利用域、活動目錄（Active Director）、組策略進行集中管理和控制，這是工作組所不能實現(xiàn)的。

2 工作組與域的區(qū)別

對資源進行訪問，微軟管理計算機有工作組和域兩種管理模式，企業(yè)應(yīng)該根據(jù)需求、對資源的訪問程度合理設(shè)計管理方案。

2.1 工作組的特點

工作組是操作系統(tǒng)裝完后默認的一種模式，它是一群計算機在邏輯上的集合，計算機之間是平等關(guān)系，資源和帳戶由每臺計算機的管理員各自管理，網(wǎng)絡(luò)訪問時即便同一工作組之間也需要輸入用戶名及密碼進行驗證，但在對等網(wǎng)的密碼很容易被破解。

2.2 域的特點

域（Domain）是具有安全邊界的計算機集合，凡是在共享域邏輯范圍內(nèi)的用戶都使用公共的安全機制和用戶賬戶信息，同一域中的用戶默認是互相信任的，相互訪問不再需要用戶名，密碼驗證，域中的密碼其實是登錄票據(jù)，域控每30天會自動更新此登錄票據(jù)。域也是活動目錄的一個分區(qū)，在活動目錄（ActireDirdctory）中， 目錄存儲只有一種形式， 即域控制器（Domain Controller），域控制器具有對整個域以及域中的所有計算機的管理權(quán)限，用戶賬號、計算機賬號和安全策略被存儲在域控制器上一個名為Active Director的數(shù)據(jù)庫中。

3 域控的布署

3.1 活動目錄的安裝

Server2003 enterprise 安裝完成后，在運行處輸入‘dcpromo’命令，按照向?qū)б徊讲桨惭b，如果是局域網(wǎng)內(nèi)的第一臺域控服務(wù)器請選擇‘在新林中的域’，否則根據(jù)情況選擇子域或現(xiàn)有域的域樹，最后還要安裝DNS。值得提醒的是，安裝活動目錄時，第一，保證是本地Administrator權(quán)限；第二，本地磁盤得有一個NTFS分區(qū)。

3.2 域控制器的應(yīng)用

3.2.1 OU組織單位的管理

組織單位簡稱OU，是域環(huán)境下最小的管理單位，是活動目錄中的一種對象，它可以管理諸如用戶帳戶、組帳戶、計算機帳戶等。組織單位可以根據(jù)部門、位置、功能來建立，合理的創(chuàng)建組織單位便于用戶授權(quán)和檢索。

3.2.2 用戶的建立

管理員在各組織單位下建立域用戶和全局組，并為全局組添加域用戶，全局組的命名最好把特征描述出來。建立后的域用戶授權(quán)后就可以在客戶端登錄并訪問網(wǎng)絡(luò)資源。

3.2.3 組策略的設(shè)置

組策略是域環(huán)境用的最多的功能，幾乎涵蓋了控制計算機的方方面面，如：桌面的控制、密碼長度和復(fù)雜度的限制、USB口的控制、控制面板內(nèi)容的控制、程序的控制、打印機的控制等等，幾乎你想控制的安全事項都可以在組策略內(nèi)完成，這是工作組管理方式不能實現(xiàn)的，它將許多重復(fù)勞動自動化、簡單化，這也是建立域控的價值所在。運行中輸入Gpedit.msc 就可打開組策略按需求進行以上設(shè)置。

3.2.4 信任關(guān)系的建立

在WINDOWS系統(tǒng)對企業(yè)計算機進行管理的過程中，企業(yè)因為行政劃分可能存在多域環(huán)境，需要建立域之間信任關(guān)系以實現(xiàn)多域環(huán)境資源的互訪。當在同一個林中添加域樹或子域后， 林中所有域之間的信任關(guān)系在安裝時就會自動創(chuàng)建，資源就可以互訪；但當不在同一林中時，林之間需要通過域和信任關(guān)系控制臺創(chuàng)建可傳遞的信任關(guān)系，可以是單向，也可以是雙向。

4 域控制器的優(yōu)越性

4.1 用戶及權(quán)限集中管理，管理成本下降

在域環(huán)境下，用戶、計算機都按組織單位在服務(wù)器上進行統(tǒng)一維護，統(tǒng)一分配權(quán)限，域控制器存儲了域中所有用戶的賬號及權(quán)限信息，對異地用戶、計算機的管理效果非常明顯，管理員只需要在域控制器上進行集中管理及授權(quán)，利用組策略統(tǒng)一進行策略下發(fā)，達到異地計算機管理本地化、標準化、簡單化，客戶端計算機的故障率大大降低，從而降低了網(wǎng)管員的管理成本，這是工作組模式不能實現(xiàn)的。

4.2 單個賬戶登錄，資源訪問更便捷

傳統(tǒng)網(wǎng)絡(luò)管理模式下，用戶訪問網(wǎng)絡(luò)資源需要進行用戶名、密碼的身份驗證，域管理模式下，無論是單域或多域（只要相互建立了信任關(guān)系），只需單個賬戶登錄，所有域內(nèi)資源在權(quán)限允許的情況下，省去輸用戶名、密碼的麻煩，使資源訪問更快速、便捷，提高工作效率。

4.3 賬戶漫游及文件夾重定向

使用漫游及文件夾重定向功能，個人用戶的文檔及數(shù)據(jù)就可以存貯在服務(wù)器上，方便了數(shù)據(jù)的備份及管理，即使客戶機DOWN機，只需要重裝系統(tǒng)，用域賬號登錄，文檔和數(shù)據(jù)的位置保持不變。

5 域控模式的不足

本機管理員疏于限制帳戶登錄情況下，域用戶可以隨便登錄域內(nèi)計算機，使域內(nèi)客戶端硬盤數(shù)據(jù)輕易獲取，建議將重要數(shù)據(jù)存于域控服務(wù)器或進行登錄限制。

域模式的建立和設(shè)置比較復(fù)雜，一旦域控崩潰，將面臨域賬號不能登錄計算機、控制失效問題，建議建立主域控時同時建立備份域控服務(wù)器。

6 結(jié) 語

通過域管理模式在企業(yè)的應(yīng)用，客戶端計算機的管理明顯趨于控制，從原來無序到有序、從分散到集中，從不受控到目前的合理控制，明顯提高了網(wǎng)絡(luò)管理員的工作效率并減少了不必要的工作量，在沒有第三方網(wǎng)管軟件的情況下，通過組策略設(shè)置，很好地控制了用戶對資源的訪問程度，內(nèi)網(wǎng)的安全性更加增強，域內(nèi)用戶相對安全的使用網(wǎng)絡(luò)資源，但隨著信息化的發(fā)展，計算機技術(shù)及網(wǎng)絡(luò)技術(shù)的提升，網(wǎng)絡(luò)安全仍需要重視，不可掉以輕心，只有對網(wǎng)絡(luò)技術(shù)不斷學(xué)習(xí)，創(chuàng)新管理手段，才能營造安全的網(wǎng)絡(luò)環(huán)境，也才能在“工業(yè)4.0”和“中國制造2025”的大趨勢下發(fā)揮更大作用。

主要參考文獻

[1]王隆杰，梁廣民.Windows Server 2008網(wǎng)絡(luò)管理[M]. 北京：清華大學(xué)出版社，2012.

[2] 龔秀琴，張桂芬.Windows Server 2008中Active Directory域的配置管理[J].數(shù)字技術(shù)與應(yīng)用，2012（12）：155-156.

[3] 趙長明. 我國二手房地產(chǎn)交易價格風(fēng)險的核算[J]. 統(tǒng)計與決策， 2014（1）.