域管理在局域網中的應用

王曉紅

(中國飛機強度研究所，陜西 西安 710065)

1.引言

隨著信息化建設的深入，各類應用系統的開發、使用，使企業信息系統的功能得以充分發揮，極大地提高了工作效率，企業員工通過局域網辦公自動化系統終端即可完成各項工作。但是局域網帶來便利的同時，也存在安全上的隱患。鑒于局域網網絡中計算機和用戶賬戶的日益增多，應采用域管理手段，不但使網絡管理工作變得簡單化、條理化，同時也可提升局域網的可用性和安全性。

2.域管理的含義

域是Windows操作系統的邏輯組織單元，在Windows網絡操作系統中，域是安全邊界，每個域都有自己的安全策略，以限制域的訪問管理權限。域管理即通過Windows的活動目錄對所轄的域進行管理的模式。

2.1 活動目錄（ActiveDirectory）

活動目錄（ActiveDirectory）是Windows操作系統的最大優勢，它是在Windows Server版上應用的目錄服務。它能夠存儲網絡對象大量的相關信息，使管理員和用戶能很容易找到這些信息，提供一種邏輯的、有層次的目錄信息組織機構。活動目錄是網絡操作系統對網絡資源進行管理的標準方式，為企業信息化的實施打下良好基礎。

2.2 組策略

組策略是使用在域中的、為網絡用戶和計算機制定的、控制程序、網絡資源及操作系統行為的主要工具。通過使用組策略可以設置各種軟件、計算機和用戶的策略，從而達到方便管理計算機，同時提高網絡安全性的目的。

3.域管理的優勢

3.1 合理分配用戶權限

在局域網中遵循最低權限原則，應合理分配用戶權限。對普通用戶僅分配Domain Users即可，Domain Users組只能運行已安裝的程序，并對文件進行基本操作，不能添加、刪除設備或應用程序，不能設置共享，不能啟動或停止系統服務，不能修改注冊表和系統目錄，甚至不能修改系統時間和網絡配置。這樣可以降低域用戶對網絡系統的影響，加強網絡的安全性和易管理性。

3.2 提高系統安全性

計算機的安全策略包括帳戶策略、本地策略、密碼策略、系統服務、注冊表、事件日志等，通過配置組策略，可以控制計算機上的運行程序，強制糾正域用戶的一些違規行為，比如，通過設置帳戶密碼策略可以定期提示域用戶修改口令或弱口令、關閉計算機的默認共享，關閉Guest帳戶等。

3.3 實現軟件自動分發

應用組策略中的軟件自動安裝功能可以方便地實現多臺客戶端統一安裝應用程序。只有系統管理員才具有訪問系統目錄的權限，通過軟件安裝策略，普通客戶端僅從系統目錄上裝載軟件。但是，域活動目錄中只能安裝MSI格式的安裝包，其它各式的安裝軟件可制作或打包成MSI格式后再進行發布。通過這種方式，可強制向客戶端下發防病毒軟件及補丁程序。

3.4 回收管理員密碼，限制本地功能

腳本是使用一種特定的描述性語言，通過編輯腳本并將其應用到開機、關機、登錄及注銷過程中，可以實現對客戶端的管理控制。比如，修改域計算機本地管理員密碼，由域管理員自己掌握。管理員根據用戶需要開通必要的權限，以降低域用戶對計算機系統造成有意或無意的破壞，能有效地控制用戶對服務器的訪問，從而加強網絡和服務器的安全性。

3.5 實現接入控制

域用戶接入控制分為三個步驟：用戶名的識別與驗證、用戶口令的識別與驗證和用戶帳號的缺省限制三道關卡，只要任何一關未過，該用戶便不能進入網絡。域用戶帳號只有域管理員才能建立，用戶口令是每個域用戶訪問網絡所必需提供的“證件”，域用戶可以修改自己的口令。域接入控制與防病毒系統、WSUS補丁服務器、桌面管理等系統緊密配合，對已通過認證的用戶終端進行安全檢查，強制用戶終端進行防病毒、操作系統補丁等安全策略檢查，從而提高了網絡的安全性和保密性。

4.結論

通過在局域網實施域管理，將局域網由原來的分散式管理升級到集中式管理模式上，不但提升了網絡系統的安全性，而且也降低了網絡運行成本。同時，隨著信息技術的飛速發展，對域管理的應用也將從廣度和深度上不斷探索和改進，使我們擁有一個更加安全的網絡環境.

[1]戴有煒.Windowsserver 2003 Active Directory配置指南[M].清華大學出版社，2004.

[2]韓最蛟，李偉.網絡維護與安全技術教程與實訓[M].清華大學出版社，2008.