域控事務(wù)自動(dòng)批量處理工具研究

劉翠媚 李文祺 尹婕 劉可欣

摘要：采用.Net WinForm等技術(shù)制作一款工具，不僅可以批量把域賬號(hào)從安全組刪除，而且還可以批量修改域賬號(hào)的基本屬性。當(dāng)前批量處理域賬號(hào)基本使用cmd腳本，人機(jī)交互界面并不友好，通過對(duì)域控事務(wù)自動(dòng)批量處理工具的研究，域控使用人員在處理域控賬號(hào)時(shí)減少了人工操作時(shí)間，減少了人為失誤，提高了效率，實(shí)現(xiàn)了賬號(hào)安全、權(quán)限安全以及數(shù)據(jù)安全。

關(guān)鍵詞：域控;批量;.Net;WinForm;權(quán)限安全

1? ? 研究背景

如今大型企業(yè)接入局域網(wǎng)的辦公終端數(shù)量級(jí)都以千為統(tǒng)計(jì)單位，為了實(shí)現(xiàn)統(tǒng)一管理，基本都是通過域控來實(shí)現(xiàn)計(jì)算機(jī)命名規(guī)范、組策略控制屏保、計(jì)算機(jī)安全選項(xiàng)、賬號(hào)啟禁用等功能。

此外，文件共享服務(wù)器的權(quán)限控制也與域控息息相關(guān)。在日常運(yùn)維中發(fā)現(xiàn)的問題主要包括以下幾個(gè)方面：

（1）通過在域控里對(duì)應(yīng)的VPN資源安全組添加用戶賬號(hào)，使得用戶賬號(hào)擁有訪問該VPN資源的訪問權(quán)限，但用戶賬號(hào)加入安全組后不能設(shè)置時(shí)效，導(dǎo)致該用戶賬號(hào)一直擁有訪問該VPN資源的權(quán)限。

（2）用戶只能使用UK登錄計(jì)算機(jī)，而域賬號(hào)的賬號(hào)密碼則由信息管理部門統(tǒng)一回收保管。當(dāng)UK損壞或遺失，才開放賬號(hào)密碼登錄計(jì)算機(jī)。但賬號(hào)密碼的回收以及密碼的重置都需要人工操作。

（3）由于用戶會(huì)出現(xiàn)調(diào)職的情況，調(diào)職后，用戶需要加入新的安全組才能訪問對(duì)應(yīng)的共享文件夾。實(shí)際情況是，人工操作經(jīng)常只會(huì)把需要加入的安全組添加了，但卻忘記將不需要的安全組刪除，那么用戶所在的安全組就會(huì)一直增加，可訪問的共享文件夾也一直遞增，不符合數(shù)據(jù)安全的要求。

（4）大型企業(yè)人員調(diào)動(dòng)頻繁，域控中用戶的崗位、聯(lián)系方式、備注描述等基本屬性需要維護(hù)，數(shù)量單一時(shí)人工操作比較容易，但數(shù)量一旦上百，這些基本屬性的維護(hù)工作量就要耗費(fèi)大量的人力和時(shí)間。

（5）微軟自帶一個(gè)域控的圖形化頁面管理工具，但該工具只能對(duì)某一賬號(hào)或者某一計(jì)算機(jī)記錄進(jìn)行屬性修改，即使有批量修改的功能，但范圍具有局限性，并不能根據(jù)實(shí)際運(yùn)維進(jìn)行批量修改。

（6）cmd腳本能夠批量修改用戶賬號(hào)或者計(jì)算機(jī)組織架構(gòu)、基本屬性，但每次操作都需要將用戶賬號(hào)或者計(jì)算機(jī)特異名以及特定腳本結(jié)合起來才能實(shí)現(xiàn)某一需求。雖然這個(gè)腳本實(shí)現(xiàn)的方法比自帶工具快，但是每次操作都要進(jìn)行數(shù)據(jù)整理，且界面不友好，對(duì)不熟悉域控cmd腳本的管理人員整理域控賬號(hào)是一大難題。

因此，研究一個(gè)自動(dòng)、批量處理域控用戶賬號(hào)、計(jì)算機(jī)賬號(hào)、安全組人員的工具具有較強(qiáng)的實(shí)用性和高可靠性，兼具高效率和推廣價(jià)值。

通過后臺(tái)封裝固化域控腳本功能，域控管理人員能夠通過功能模塊實(shí)現(xiàn)批量處理域控事務(wù)，即使是剛接手域控的管理人員也能完成基本的運(yùn)維工作。

2? ? 工具研究與實(shí)現(xiàn)

2.1? ? 實(shí)現(xiàn)思路

（1）首先要保證該工具的使用安全性。由于該工具在處理域賬號(hào)及計(jì)算機(jī)賬號(hào)時(shí)能夠批量操作，當(dāng)發(fā)生人為失誤的時(shí)候，對(duì)企業(yè)局域網(wǎng)內(nèi)的終端影響很大，容易發(fā)生信息安全事故。因此，該工具前臺(tái)需設(shè)置賬號(hào)密碼登錄進(jìn)行用戶識(shí)別。

（2）由于普通用戶的終端無權(quán)限對(duì)域控?cái)?shù)據(jù)進(jìn)行操作，因此，該工具需認(rèn)證登錄域控服務(wù)器，從而對(duì)域控用戶賬號(hào)以及計(jì)算機(jī)賬號(hào)進(jìn)行修改。

（3）每次操作后都可以確認(rèn)執(zhí)行結(jié)果以及提供操作日志查詢，即使誤操作也可以被及時(shí)發(fā)現(xiàn)并恢復(fù)原狀。

2.2? ? VPN資源安全組人員的添加與刪除功能的實(shí)現(xiàn)

該功能最關(guān)鍵的是時(shí)間，根據(jù)實(shí)際運(yùn)維，操作為delete需在特定時(shí)間點(diǎn)定時(shí)執(zhí)行，且當(dāng)操作delete有對(duì)同一用戶、同一資源組操作的，以時(shí)間最新的覆蓋時(shí)間舊的;add操作則是立即執(zhí)行。核心代碼如下：

if （item.Operate == "delete"）

lstCmds.Add（string.Format（tsTemplate，"task_"+item.SAMAccount，item.SAMAccount，item.VPNGroup，"rmmbr"，item.TaskDateTime.Value.ToString（"yyyy/MM/dd"），item.TaskDate-

Time.Value.ToString（"HH：mm"）））;

else if （item.Operate == "add"）

lstCmds.Add（string.Format（tsTemplate，"task_"+item.SAMAccount，item.SAMAccount，item.VPNGroup，"addmbr"，item.TaskDateTime.Value.ToString（"yyyy/MM/dd"），item.TaskDate-

Time.Value.ToString（"HH：mm"）））;

2.3? ? 修改基本屬性功能的實(shí)現(xiàn)

修改密碼和修改描述這兩個(gè)功能，都需提供修改框給操作員填寫對(duì)應(yīng)需修改的密碼和描述。這兩個(gè)修改功能使用dsmod user的腳本，分別對(duì)應(yīng)的參數(shù)是desc和pwd。核心代碼如下：

if （method == Models.BWMethod.DRModifyPWD）

{foreach （var item in list）{lstCmds.Add（string.Format（"dsmod user ＼"{0}＼" -pwd {1}"，item.UniqueName， txtUpdate-

Content.Text.Trim（）））;

CommandTemplates.Add（string.Format（"dsmoduser＼"{0}＼

"-pwd{{0}}"，item.UniqueName））;}}

2.4? ? 刪除不屬于用戶安全組功能的實(shí)現(xiàn)

分別制作白名單表、組織架構(gòu)與安全組對(duì)應(yīng)表，利用程序進(jìn)行判斷，當(dāng)用戶含有的安全組不屬于對(duì)應(yīng)表里相對(duì)的組織

架構(gòu)，則把該安全組刪除。當(dāng)用戶含有的安全組屬于白名單里的，則自動(dòng)保留。核心代碼如下：

lstMapping.Clear（）; lstBelongsTo.Clear（）;

var item = grp.First（）;

If（item.Item.OrganizationName==null||item.Item.OrganizationName.Trim（）==""||item.Item.BelongsTo==null||item.Item.BelongsTo.Trim（）==""） continue;

lstMapping.AddRange（grp.Select（i=>i.Mapping.MappingTo.Trim（））.Distinct（））;

foreach （var str in item.Item.BelongsTo.Split（';'））

{if （str.Trim（） == ""） continue;

lstBelongsTo.Add（str.Trim（））;}

3? ? 工具應(yīng)用效益分析

當(dāng)實(shí)驗(yàn)對(duì)象為50名用戶時(shí)，實(shí)驗(yàn)結(jié)果如表1所示。

從表1可以看出，修改用戶密碼以及確認(rèn)用戶隸屬安全組是否存在冗余這兩個(gè)操作上，使用工具比人工操作所用時(shí)間減少約60%以及80%，極大地提高了工作效率。

4? ? 結(jié)語

隨著科技的日益發(fā)展，計(jì)算機(jī)信息技術(shù)對(duì)于企業(yè)的影響力日益增強(qiáng)，電力企業(yè)的信息安全與否直接影響到電力企業(yè)的經(jīng)濟(jì)效益，有效的信息運(yùn)維輔助工具能夠提高系統(tǒng)管理員的操作簡(jiǎn)易性，讓信息運(yùn)維人員有更多的精力投入到智能電網(wǎng)的開發(fā)中。通過對(duì)域控事務(wù)自動(dòng)批量處理工具的研究，域控使用人員在處理域控賬號(hào)時(shí)可以減少人工操作的時(shí)間，減少人為失誤，實(shí)現(xiàn)賬號(hào)安全、權(quán)限安全以及數(shù)據(jù)安全，提高工作效率和質(zhì)量，對(duì)企業(yè)信息安全建設(shè)起到了一定的促進(jìn)作用。

[參考文獻(xiàn)]

[1] 狄伯豪.AD域控管理在集團(tuán)性企業(yè)的應(yīng)用[J].硅谷，2015（2）：88.

收稿日期：2019-10-23

作者簡(jiǎn)介：劉翠媚（1990—），女，廣東江門人，工程師，研究方向：信息運(yùn)維智能化。