域管理模式在企業的應用研究

[摘 要] 隨著網絡的普及，信息技術的發展，企業在信息化應用方面已很廣泛，計算機和用戶數量也與日俱增，默認工作組的模式使各計算機自成體系，軟件應用問題頻發，用戶、資源及USB口難于控制，同一軟件不能統一分發，內網中的計算機不受控，微軟域控、活動目錄（ActireDirdctory）的出現將分散的管理模式變為集中管理，權限控制更為精準。本人從域控的創建、用戶及組織結構的管理、組策略、域信任關系的建立，將域控在大中型網絡中的優勢進行論述，讓更多的網管人員能學習并利用這種技術，為企業信息化的發展提供更安全的網絡環境。

[關鍵詞] 域控；集中管理；活動目錄；組策略

doi ： 10 . 3969 / j . issn . 1673 - 0194 . 2016. 21. 039

[中圖分類號] F270.7；TP309 [文獻標識碼] A [文章編號] 1673 - 0194（2016）21- 0085- 03

1 引 言

隨著網絡的普及，信息技術的發展，企業在信息化應用方面已很廣泛，從研發、辦公自動化再到生產制造，從20世紀80年代的甩圖板，90年代的0A，直到近幾年的PDM、ERP，信息化正改變著傳統的工作模式及管理模式，從粗放式向精細化過渡。

21世紀是一個創新的時代，是信息孤島向資源共享化、集成化發展的時代，在此環境下，企業的所有業務都將通過計算機完成，計算機高效、快捷的優勢很快顯示出來，因此計算機和用戶數量也與日俱增，試想一下，如果1 000臺電腦也按100臺電腦的管理方式進行管理，也就是按工作組的方式管理，帶來的結果是軟件應用問題頻發，用戶、資源及USB口難于控制，同一軟件不能統一分發，內網中的計算機不受控，這種分散的管理方式，直接導致工作效率低，況且弱口令問題、亂改IP問題、隨意安裝不安全軟件問題；再比如有300人要求共享網絡資源，而且要求的權限也不一樣，有的可讀、有的可改、有的可刪，如何進行權限控制？300人要安裝同一軟件你要單臺機器去安裝嗎？公司的服務器不是一臺而是多臺，都要為用戶共享資源，面對如此種種問題，WINDOWS系統從NT4.0 SERVER開始有這項技術，利用域、活動目錄（Active Director）、組策略進行集中管理和控制，這是工作組所不能實現的。

2 工作組與域的區別

對資源進行訪問，微軟管理計算機有工作組和域兩種管理模式，企業應該根據需求、對資源的訪問程度合理設計管理方案。

2.1 工作組的特點

工作組是操作系統裝完后默認的一種模式，它是一群計算機在邏輯上的集合，計算機之間是平等關系，資源和帳戶由每臺計算機的管理員各自管理，網絡訪問時即便同一工作組之間也需要輸入用戶名及密碼進行驗證，但在對等網的密碼很容易被破解。

2.2 域的特點

域（Domain）是具有安全邊界的計算機集合，凡是在共享域邏輯范圍內的用戶都使用公共的安全機制和用戶賬戶信息，同一域中的用戶默認是互相信任的，相互訪問不再需要用戶名，密碼驗證，域中的密碼其實是登錄票據，域控每30天會自動更新此登錄票據。域也是活動目錄的一個分區，在活動目錄（ActireDirdctory）中， 目錄存儲只有一種形式， 即域控制器（Domain Controller），域控制器具有對整個域以及域中的所有計算機的管理權限，用戶賬號、計算機賬號和安全策略被存儲在域控制器上一個名為Active Director的數據庫中。

3 域控的布署

3.1 活動目錄的安裝

Server2003 enterprise 安裝完成后，在運行處輸入‘dcpromo’命令，按照向導一步步安裝，如果是局域網內的第一臺域控服務器請選擇‘在新林中的域’，否則根據情況選擇子域或現有域的域樹，最后還要安裝DNS。值得提醒的是，安裝活動目錄時，第一，保證是本地Administrator權限；第二，本地磁盤得有一個NTFS分區。

3.2 域控制器的應用

3.2.1 OU組織單位的管理

組織單位簡稱OU，是域環境下最小的管理單位，是活動目錄中的一種對象，它可以管理諸如用戶帳戶、組帳戶、計算機帳戶等。組織單位可以根據部門、位置、功能來建立，合理的創建組織單位便于用戶授權和檢索。

3.2.2 用戶的建立

管理員在各組織單位下建立域用戶和全局組，并為全局組添加域用戶，全局組的命名最好把特征描述出來。建立后的域用戶授權后就可以在客戶端登錄并訪問網絡資源。

3.2.3 組策略的設置

組策略是域環境用的最多的功能，幾乎涵蓋了控制計算機的方方面面，如：桌面的控制、密碼長度和復雜度的限制、USB口的控制、控制面板內容的控制、程序的控制、打印機的控制等等，幾乎你想控制的安全事項都可以在組策略內完成，這是工作組管理方式不能實現的，它將許多重復勞動自動化、簡單化，這也是建立域控的價值所在。運行中輸入Gpedit.msc 就可打開組策略按需求進行以上設置。

3.2.4 信任關系的建立

在WINDOWS系統對企業計算機進行管理的過程中，企業因為行政劃分可能存在多域環境，需要建立域之間信任關系以實現多域環境資源的互訪。當在同一個林中添加域樹或子域后， 林中所有域之間的信任關系在安裝時就會自動創建，資源就可以互訪；但當不在同一林中時，林之間需要通過域和信任關系控制臺創建可傳遞的信任關系，可以是單向，也可以是雙向。

4 域控制器的優越性

4.1 用戶及權限集中管理，管理成本下降

在域環境下，用戶、計算機都按組織單位在服務器上進行統一維護，統一分配權限，域控制器存儲了域中所有用戶的賬號及權限信息，對異地用戶、計算機的管理效果非常明顯，管理員只需要在域控制器上進行集中管理及授權，利用組策略統一進行策略下發，達到異地計算機管理本地化、標準化、簡單化，客戶端計算機的故障率大大降低，從而降低了網管員的管理成本，這是工作組模式不能實現的。

4.2 單個賬戶登錄，資源訪問更便捷

傳統網絡管理模式下，用戶訪問網絡資源需要進行用戶名、密碼的身份驗證，域管理模式下，無論是單域或多域（只要相互建立了信任關系），只需單個賬戶登錄，所有域內資源在權限允許的情況下，省去輸用戶名、密碼的麻煩，使資源訪問更快速、便捷，提高工作效率。

4.3 賬戶漫游及文件夾重定向

使用漫游及文件夾重定向功能，個人用戶的文檔及數據就可以存貯在服務器上，方便了數據的備份及管理，即使客戶機DOWN機，只需要重裝系統，用域賬號登錄，文檔和數據的位置保持不變。

5 域控模式的不足

本機管理員疏于限制帳戶登錄情況下，域用戶可以隨便登錄域內計算機，使域內客戶端硬盤數據輕易獲取，建議將重要數據存于域控服務器或進行登錄限制。

域模式的建立和設置比較復雜，一旦域控崩潰，將面臨域賬號不能登錄計算機、控制失效問題，建議建立主域控時同時建立備份域控服務器。

6 結 語

通過域管理模式在企業的應用，客戶端計算機的管理明顯趨于控制，從原來無序到有序、從分散到集中，從不受控到目前的合理控制，明顯提高了網絡管理員的工作效率并減少了不必要的工作量，在沒有第三方網管軟件的情況下，通過組策略設置，很好地控制了用戶對資源的訪問程度，內網的安全性更加增強，域內用戶相對安全的使用網絡資源，但隨著信息化的發展，計算機技術及網絡技術的提升，網絡安全仍需要重視，不可掉以輕心，只有對網絡技術不斷學習，創新管理手段，才能營造安全的網絡環境，也才能在“工業4.0”和“中國制造2025”的大趨勢下發揮更大作用。

主要參考文獻

[1]王隆杰，梁廣民.Windows Server 2008網絡管理[M]. 北京：清華大學出版社，2012.

[2] 龔秀琴，張桂芬.Windows Server 2008中Active Directory域的配置管理[J].數字技術與應用，2012（12）：155-156.

[3] 趙長明. 我國二手房地產交易價格風險的核算[J]. 統計與決策， 2014（1）.