醫院局域網域管理方案

奚波

摘要：在醫院局域網絡管理中，怎樣對網絡中的資源進行合理的劃分，對用戶權限進行合理的分配，是一項繁雜而又細致的重要工作。該文通過具體實驗操作的模式，介紹了如何使用Windows域服務對網絡中的資源和用戶進行管理，逐步探索出了一套行之有效的局域網絡資源管理方案，借此讓更多的網絡管理人員可以制定出符合自己醫院的局域網絡管理方案，以此來規范醫院網絡管理，提高工作效率。

關鍵詞：Windows域;局域網;用戶管理

中圖分類號：TP393? ? ? ? 文獻標識碼：A

文章編號：1009-3044（2022）09-0013-04

Windows域是一種計算機網絡的管理形式，其中所有的用戶賬戶、網絡資源（包括計算機、網絡打印機、共享文件夾等）和其他安全主體都在網絡中的一個或一組域控制器的數據庫中進行注冊。在“域”模式下，用戶對網絡中的資源的訪問有較嚴格的管理，在網絡中至少有一臺服務器負責每一臺聯入網絡的電腦和用戶的驗證工作，這臺服務器稱為“域控制器（Domain Controller，簡寫為DC）”。

域控制器中包含了由這個域的賬戶、密碼、屬于這個域的計算機等信息構成的數據庫。當電腦連入網絡時，域控制器首先要鑒別這臺電腦是否屬于這個域的，用戶使用的登錄賬號是否存在、密碼是否正確。如果以上信息有一樣不正確，那么域控制器就會拒絕這個用戶從這臺電腦登錄。不能登錄，用戶就不能訪問服務器上有權限保護的資源，他只能以對等網用戶的方式訪問Windows共享出來的資源，這樣就在一定程度上保護了網絡上的資源。

本方案內容分為Windows域服務安裝、域組織單位管理、域用戶管理和域組策略管理四部分。

1 Windows域服務安裝

1.1 操作主機簡介

Windows域中定義了域控制器的五種操作主機角色（又稱FSMO）：架構主機（Schema Master）、域命名主機（Domain Naming Master）、相對標識號（RID）主機（RID Master）、主域控制器模擬器（PDCE）、基礎結構主機（Infrastructure Master）[1]。

而每種操作主機角色負擔不同的工作，具有不同的功能：

（1）架構主機：控制Windows域內所有對象屬性的定義。

（2）域命名主機：控制域的添加和刪除。

（3）相對標識號（RID）主機：管理域中對象相對標識符（RID）池。

（4）主域控制器模擬器：模擬Windows NT PDC。

（5）基礎結構主機：負責對跨域對象引用進行更新。

由于域控制器對于網絡管理的重要性，所以在一個大型的網絡中不能只安裝一臺域控制器，而是多個域控制器同時管理，這些域控制器分別擔任以上五種操作主機角色中的一個或幾個，在某一臺域控制器失效時，其他域控制器可以接管它的角色。

我院的局域網有三臺域服務器，分別是ADSSERVER1～3，其中ADSSERVER1為物理機，其余兩臺為虛擬機。三臺域服務器都安裝Windows Server 2008 R2操作系統，域名為：dqyy.local，域功能等級為最高級別。

1.2 安裝域控制器服務

首先要在域控制器上安裝好Windows Server 2008 R2操作系統，三臺服務器計算機名分別為“ADSSERVER1”“ADSSERVER2”“ADSSERVER3”，IP地址分別為：“100.100.100.201”“100.100.100.204”“100.100.100.99”。安裝好操作系統后開始配置域控服務，配置過程如下：

1）打開“服務器管理器”→“添加角色”→“添加Active Directory域服務”，然后點擊下一步，點擊安裝。

2）安裝結束之后，點擊鏈接，開始域服務安裝向導，或者直接運行dcpromo.exe，如圖1所示。

3）開始域服務安裝向導，如果本機是網絡中的第一臺域控制器，要選擇“在新林中新建域”，其后添加的域控制器要選擇“向現有域添加域控制器”，域名為：dqyy.local。

4）下一步，設置林功能級別為：Windows Server 2008 R2，此級別為Windows2008系統所支持的最高域等級。

5）下一步，其他安裝選項，一般新裝的域默認安裝DNS服務器和全局編錄。

6）下一步如圖2，這里會提示是否繼續，選擇“是”。

7）下一步選擇域數據庫的位置，為了安全起見，請選擇非系統盤，這里選擇默認安裝。

8）下一步選擇目錄還原模式的密碼，再下一步開始安裝。安裝完成后重啟。

1.3配置域控制器

1）在桌面上添加一個控制臺，將所有域管理所用到的管理單元全部添加進來。要添加的管理單元有：“Active Directory架構”“Active Directory用戶和計算機”“Active Directory域和信任關系”“Active Directory站點和服務”“組策略管理”和“DNS”。在添加“Active Directory架構”之前要先運行命令“regsvr32 C：＼WINDOWS＼system32＼schmmgmt.dll”注冊動態庫。

點擊“開始”→“運行”→“mmc”，打開一個空的控制臺，點擊“文件”→“添加/刪除管理單元”。

在左邊“可用的管理單元”中，找到“Active Directory架構”“Active Directory用戶和計算機”“Active Directory域和信任關系”“Active Directory站點和服務”“組策略管理”“DNS”和“DHCP”，添加到右側“所選管理單元”，如圖3所示。添加完成后的控制臺保存名為“域管理”。

2）修改操作主機。前面說過Active Directory有五種操作主機角色，要分別運行在這三臺域控制器上。分別右擊“Active Directory架構”“Active Directory用戶和計算機”→“dqyy.local”“Active Directory域和信任關系”，在彈出的菜單中可以找到“操作主機”菜單項。

修改結果在命令行下運行“netdom query fsmo”可以查詢，結果如圖4所示。

3）修改“全局編錄”服務。全局編錄（Global Catalog，GC）包含了各個活動目錄中每一個對象的最重要的屬性，是域林中所有對象的集合。一旦全局編錄數據庫被損壞，所有用戶的信息就會丟失，所以全局編錄服務一定要在多個域控制器上運行。但是要注意的是“全局編錄”不要和“結構主機”放在同一臺域控制器上，否則結構主機無法正常工作。

依次展開“Active Directory站點和服務”→“Site”→“Default-First-Site-Name”→“Servers”，這里可以看到所有的三臺域控制器，展開每個域控制器，下面有一個“NTDS Settings”，右鍵點擊“屬性”，彈出對話框，“全局編錄”默認處于勾選狀態。要注意由于ADSSERVER3的操作主機角色是“結構主機”，所以ADSSERVER3的“全局編錄”選項要取消勾選。

2 域組織單位管理

組織單元是一種目錄對象類型，它的作用是將Active Directory中的對象如用戶、組、計算機按照一定的層次組織起來，還可以包括其他的OU，可以把它理解成為Active Directory容器，也可以理解成文件夾。具體信息可以參考系統自帶的幫助信息[2]。

“組織單元”管理在“Active Directory用戶和計算機”管理單元中。展開管理單元，如圖5所示。

這里可以看到有系統自帶的容器和組織單元。“Builtin”內是內建安全組，“Computer”是客戶端加入域之后默認保存的位置，“Domain Controllers”內是所有的域控制器，“Users”內是域安全組。

“hiscluster”“vmservers”“信息中心”“普通用戶”四個組織單元是用戶自己建立的，其中“普通用戶”是用來存放網絡中所有PC客戶端賬戶信息的。在“普通用戶”OU下面，將所有PC客戶端都按照醫院內部科室管理方案進行組織。3 域用戶管理

我院的域用戶管理比較簡單，主要有三個域用戶：Administrator、admin和st07。Administrator是默認的域管理員，權限最大。admin是域管理員組成員，st07是域用戶組成員，同時admin和st07還是OU“普通用戶”的成員[3]。

用戶admin是管理員在操作OU“普通用戶”中的工作站的時候可以使用的登錄賬號，權限受到一定限制，但比用戶st07大。用戶st07是醫院普通工作人員在日常工作時登錄域使用的登錄賬號，權限最小。

域中添加刪除用戶，首先在“Active Directory用戶和計算機”中定位到用戶所屬的OU，點擊右鍵，“新建”→“用戶”，輸入用戶的相關信息即可。這里是否勾選“密碼永不過期”，視需要決定。如圖6所示。

4 域組策略管理

域管理很重要的一個部分就是域組策略配置。域組策略（Group Policy）是Microsoft Windows系統管理員為用戶和計算機定義并控制程序、網絡資源及操作系統行為的主要工具。通過使用域組策略可以設置各種軟件、計算機和用戶策略，策略配置得好可以大大增加局域網的安全性。按照不同的組織單位分別配置不同的域策略[4]。

組策略分為兩大部分：計算機配置和用戶配置。每一個部分都有自己的獨立性，因為他們配置的對象類型不同。計算機賬戶部分控制計算機賬戶，同樣用戶配置部分控制用戶賬戶。其中有部分配置在計算機部分擁有在用戶部分也有同樣的配置，他們是不會跨越執行的。假設某個配置選項希望計算機賬戶啟用、用戶賬戶也啟用，那么就必須在計算機配置和用戶配置部分都進行設置。總之計算機配置下的設置僅對計算機對象生效，用戶配置下的設置僅對用戶對象生效。

展開“組策略管理”管理單元，就可以看到這里也有“組織單元”，如圖7所示，這也就是說可以新建若干個組策略，然后將這些組策略分配給不同的組織單位，這樣就可以分別控制每個組織單元中的用戶和工作站。

展開“組策略對象”，這里保存的是域中所有的組策略對像，默認有“Default Domain Controllers Policy”“Default Domain Policy”兩個組策略對象。“Default Domain Controllers Policy”是默認應用到所有域控制器的組策略，展開OU“Domain Controllers”就可以看到“Default Domain Controllers Policy”已經啟用鏈接。“Default Domain Policy”是默認應用到所有OU的組策略。

1）新建組策略對象

右擊“組策略對象”→“新建”，打開“新建GPO”，重命名后確定。組策略對象中就會出現剛才新建的組策略對象，右鍵點擊新建的組策略對象，點擊“編輯”，就可以對它進行編輯了，這里的編輯方法與用戶本機的組策略編輯方法類似，本文不再贅述。

2）自定義組策略對象的作用

圖8是使用的組策略對象列表：

下面介紹一下其中幾個組策略對象的作用：

①ST07組策略對象。供用戶st07使用的組策略對象對st07的權限和用st07用戶登錄的工作站都做了一定的限制，例如：IE瀏覽器的主頁修改為醫院內網主頁、限制用戶對桌面壁紙的修改、指定桌面和開始菜單的顯示項目等。可以點擊組策略對象，再在右邊的窗口中點擊“設置”標簽頁，查看一個組策略對象到底做了哪些設置，如圖9所示。

②st07登錄注銷策略。這個組策略對象設置的就是用戶st07的登錄/注銷腳本。依次展開“st07登錄注銷策略”—“用戶配置”→“策略”→“windows設置”—“腳本（登錄/注銷）”，雙擊右側的“登錄”，彈出登錄腳本對話框，點擊“添加”，然后瀏覽文件，彈出瀏覽文件對話框，如圖10所示。

要注意顯示的文件夾位置，如果仔細查看，它的位置是“＼＼dqyy.local＼SysVol＼dqyy.local＼Policies＼{13280DDA-07A5-4F75-BC84-00309F14D1B3}＼User＼Scripts＼Logon”，是一個共享文件夾，默認的登錄腳本都是在這個文件夾中，整個域網絡都可以訪問。在這里新建一個cmd腳本文件，命名為“st07登錄腳本.cmd”，這個腳本是用戶st07登錄OU“普通用戶”內的PC客戶端時所執行的登錄腳本，內容如下：

;對時

net time ＼＼100.100.100.99 /set /yes

;更換背景

bcdedit /timeout 2

;從待機狀態恢復后，不用輸入密碼

POWERCFG /GLOBALPOWERFLAG off /OPTION RESUMEPASSWORD

powercfg /setactive 家用/辦公桌

powercfg /change 家用/辦公桌 /monitor-timeout-ac 5

powercfg /change 家用/辦公桌 /disk-timeout-ac 30

;啟用防火墻

netsh firewall set opmode enable

netsh advfirewall set allprofile state on

;啟用防火墻規則

netsh firewall set service ALL enable subnet

netsh firewall set allowedprogram program="C：＼Program Files＼uvnc bvba＼UltraVNC＼winvnc.exe" name="winvnc.exe" mode=enable profile=current

netsh firewall set allowedprogram program="C：＼Program Files＼Tencent＼RTXC＼RTX.exe" name="RTX" mode=enable profile=current

netsh firewall set allowedprogram program="C：＼Foxmail 7.2＼Foxmail.exe" name="Foxmail.exe" mode=enable profile=current

netsh firewall set allowedprogram program="C：＼Program Files＼Symantec＼pcAnywhere＼awhost32.exe" name="pcAnywhere Host" mode=enable profile=current

netsh firewall set portopening tcp 5800 vnc5800 enable profile=current

netsh firewall set portopening tcp 5900 vnc5900 enable profile=current

sc config MpsSvc start= auto

;禁用U盤

sc config usbstor start= disabled

devcon disable *DEV_818B*

同樣的還可以添加注銷腳本，雙擊右側的“注銷”即可添加“st07注銷腳本.cmd”。

③文件夾重定向組策略對象。這個組策略對象的作用是將某些系統文件夾如“桌面文件夾”或“文檔文件夾”從默認的系統分區移動到用戶指定的位置。之所以要使用這樣一個功能，是因為有些用戶會把文件直接保存在客戶端的桌面上，而默認的客戶端桌面文件夾在系統分區，一旦系統分區損壞或重裝系統，桌面文件夾的內容就會丟失，如果用戶忘記把文件移動到其他分區，就會造成損失。使用了這個組策略對象之后，“文檔文件夾”會轉移到“D：＼My Documents”，而“桌面文件夾”會轉移到“D：＼My Documents＼桌面”。

依次展開“文件夾重定向組策略對象”→“用戶配置”→“策略”→“windows設置”—“文件夾重定向”，“文件夾重定向”下面有十多個系統文件夾的位置，這里只修改“桌面”和“文檔”。

右擊“桌面（文檔）”→“屬性”，彈出桌面（文檔）屬性對話框。按照圖示設置屬性即可。

（3）啟用組策略對象

建立好組策略對象，就要把它指定給某一個OU，并分配好權限，這個組策略對象才能夠發揮作用。在這里主要是給OU“普通用戶”分配組策略對象，右擊“普通用戶”，點擊“鏈接現有GPO”，在彈出的選擇框中選擇要鏈接的組策略對象，點擊確定，即可鏈接組策略對象。鏈接完成之后，還要對這個組策略對象的權限進行設置。點擊組策略對象，在右側的窗體就會顯示這個組策略對象的“作用域”，查看權限設置是否正確，按照權限要求進行修改，如圖11所示。

在委派權限的時候，一定要注意添加“Authenticated Users”組和“st07”用戶，并且要點擊“高級”，勾選“讀取”和“應用組策略”，這樣才能夠在st07用戶登錄到工作站時發揮作用。如圖12所示。

（4）PC客戶端應用組策略

PC客戶端在登錄域時，就會根據登錄用戶和此PC客戶端在域中OU的位置應用對應的組策略。在PC客戶端可以使用gpresult.exe命令來查詢組策略在本客戶端的應用情況，比如用戶st07在PC客戶端“測試005”上登錄，打開命令行窗口，輸入“gpresult /r”，顯示的結果就是組策略在本客戶端的應用情況。

如果發現組策略應用不全的情況，可以輸入“gpupdate /force”命令，強制更新應用組策略。

5 總結

以上所述的這套局域網域管理方案在我院實際工作中得到了很好的使用效果，大大減輕了網絡計算機管理工作的強度，并在此基礎上實現了對網絡中的資源進行合理的劃分，對用戶權限進行合理的分配。

參考文獻：

[1] 恒逸資訊，趙驚人.Windows Server 2008系統管理員實用全書[M].北京：電子工業出版社，2010.

[2] 郭建偉.Windows Server 2016 AD賬戶管理機制[J].網絡安全和信息化，2021（5）：108-110.

[3] 狄伯豪.AD域控管理在集團性企業的應用[J].硅谷，2015，8（2）：88，85.

[4] 趙新平.應用Windows Server AD域提升內網管理水平[J].赤峰學院學報（自然科學版），2013，29（23）：22-23.

【通聯編輯：代影】