AD 域控技術在制造型企業的應用

李穎，白鵬

（陜西重型汽車有限公司，陜西 西安 710200）

前言

域控是為解決企業分布式終端設備集中化管理應用的關鍵技術，如企業局域網、園區網設備等。早期NOVELL 的技術是它核心思想和協議來源，并在此基礎上進行技術發展和演進。利用AD 域技術對企業生產、管理、研發等機構和部門進行域控管理，可以有效地加強企業IT 系統及網絡系統的管控，提高企業信息化技術服務效率，為異地辦公提供技術支撐，實現權限可控狀態下的技術文檔和資源共享。

1 AD 域控管理功能及優勢

信息化程度的加深導致企業信息化資源成規模擴大，傳統分布式系統工作模式已不能滿足企業管理過程中各類信息對象管理需要。AD 域集中化管控，滿足企業信息化過程中信息管控、異地協同辦公、技術資源受控利用等需求，實現企業信息化管理水平的提升。

1.1 集中化的身份驗證

在企業用戶管理中，用戶的審核驗證以及訪問控制工作簡單、重復，跟容易出錯。AD 域目錄集中進行用戶管理、服務器訪問控制權限管理，并加強基于角色的安全性。

由于AD 數據庫的存在，可以在域控制器上集中管理分散的研究院設計用戶工作圖站，實現設計用戶在任何域終端節點進行漫游。如SMS 等其他產品也根據需求與這個統一身份認證體系集成，應用類的門戶和其他業務系統也可完成上述集成。此外，由于開放LDAP 協議，第三方產品也可以集成到這個統一的身份驗證體系中來。

1.2 資源集中化檢索利用

集中統一的身份認證體系、集成DFS、控制管理網絡共享資源等能力，使得通過AD 域有能力將分散在網絡上的資源進行集中檢索和權限管控。利用AD 的這一特性，理論上說，管理員可以建立一個完全分布式的文件存儲系統，將各類網絡存儲，研究院專用文件服務器，設計人員圖站上的分散存儲集中起來管理和應用。

1.3 策略控制與權限集中化管理

AD 域的審核驗證機制保證了用戶身份驗證、用戶權限控制管理的集中化管理。可分法GPO 技術的引入，使集中管控分散在Windows 終端上的組策略成為現實。注冊表開關及腳本控制客戶端操作系統特性的重要工具就是組策略，組策略的集中管控滿足了管理員對全部Windows 網絡中研發人員圖站的大規模管理和控制。

1.4 AD 域提升終端系統管理效率

分布式計算機架構管理維護工作繁重，時間消耗較大，運維管理重復工作較多。造成人力物力資源浪費，用戶規模較大時，常因故障得不到及時解決導致設計用戶抱怨。通過在單一的位置管理用戶、組和網絡資源、進行補丁或軟件發放或管理域終端桌面系統，能夠有效減少重復工作量，減少運維人員，達到企業降成本目標。

圖1 典型AD 域樹林結構圖

2 制造型企業面臨的現狀和問題

隨著近年我國制造業蓬勃發展，大中型制造企業生產、運營及研發業務繁多，人員規模較大，并且還有試制試驗部門、各類項目組、外地設有研發分支部門。信息化設備千臺以上、常用業務系統幾十個，信息安全及數據安全形勢嚴峻，資源共享利用要求較高。對計算機采用非集中化管理，軟硬件故障高，無法保障終端桌面運行環境的統一，造成PLM、MES、郵件等業務系統、UG、CATIA、AUTOCAD 等設計工具故障及問題多，影響日常工作。

3 管理策略研究

為滿足企業運營和信息化管理需求，建設企業域站點，完善AD 域管理，提高域控系統的安全性、可控性、可管理性、可靠性和可用性。本文以制造型企業域控建設為例，重點探討在企業采用“分級管理，權限細分；分布部署，集中管理”的思想，基于AD 活動目錄的基礎架構建立域控分級管理體系。

4 總體規劃

在進行域控規劃過程中，主要以企業生產、運營或產品研發單位為主體，以業務為導向，項目組、異地產品研發機構等為分支機構進行總體考慮，明確域邊界及需要的管控策略，逐步完成研發部門域控管理。

4.1 AD 域和DNS 規劃

因為AD 作為整個IT 架構的基礎，不會輕易調整，域命名和DNS 的規劃需放在首要地位，建議考慮五年的需求，避免因修改造成人力物力損失，例如：站點域名yfys.com。

部署AD，首先完成DNS 服務器規劃設計及部署，結合域控制器的要求進行配置。其具體條件如下：

4.1.1 DNS 服務器支持服務定位（SRV）資源記錄

4.1.2 滿足DNS 動態更新協議要求

支持到Windows Server 2016。

4.1.3 在集成AD 域中

區域數據存儲在AD 域中，傳送復制拓撲中避免管理單獨一個DNS 區域。

4.1.4 管理員對計算機名稱更新進行精確管控

杜絕非法計算機在DNS 服務器取得在用名稱。

4.2 確定AD 域邏輯結構

4.2.1 域森林定義

企業級域森林是下屬各部門域的集合。域或者森林的實施部署取決于企業的管理需要。獨立的域或森林環境較易管理與部署，域間建立單雙向信任關系，自動建立信任配置。

大型制造型企業下屬公司、部門等較多，一般由多域或多個森林構成，每個森林或域均可設置管理員。森林或域通過構建信任關系，可設定不同的權限范圍。森林的架構策略一般不建議更改。如果更改架構會影響到森林中的全部域。如果對統一的AD 公共架構策略不能達成共識，一個森林中必須有一個架構策略，而不是多個。

如企業因項目工作及異地產品研發協同工作需要，設置3 個域站點以及國外研發中心一個，YFYS 主根節點負責管理本部研發業務單位，YFTS 節點負責主要產品平臺項目組,YFCS 節點負責海外研發中心的管理，YFKS 節點負責本部管理部門管理。三個域節點雙向信任，組成一個域森林關系，同時對每個管理部門下發不同管理安全策略，以達到管理目的。

圖2

4.2.2 制定域規劃

進行企業級域結構規劃時，要遵循“簡單，高效”的設計原則，增加一些功能結構有可能對未來擴展有幫助，但簡單結構的原則更需要堅持，總體結構簡單更易于進行運維管理等工作。每個森林下不建議僅有一個域，如果這樣做將會帶來更多的管理開銷，從而花費更多的人力物力，造成成本上升，因此，我們加入到森林里的域都要有益且盡量簡化結構。

4.3 確定AD 物理結構

由于企業異地辦公的需求，應該考慮使用多站點拓撲來規劃物理結構。在域控建設過程中，考慮異地辦公問題，通過電信專線或VPN 方式連接，采用三個站點拓撲結構完成系統建設。在系統建設中應注意以下幾點：

企業內部以太網環境要求1000Mbps 以上，視為高速網絡，通常建立單站點。

互聯網環境、WAN 連接一般速度較低，視為低速網絡。鏈路連接質量不如企業內網，適用于多站點連接。在多站點模式下，站點間的鏈接通過WAN 或互聯網進行通信訪問，AD 域終端則更多的是進行站點內的DC 間互訪。

4.4 域OU 結構規劃

組織單元（OU）是一個容器，主要在域中建立有組織結構的管理單位，是存儲活動目錄信息的容器。LDAP（輕量目錄訪問協議）尋址ADDS 一般是通過OU 來進行。系統管理員在域中創建OU 結構時，需要清楚“域邊界”，明確域邊界及今后策略覆蓋范圍。從業務需要劃分管理模型的結構，而不是簡單按照公司組織架構來創建OU 結構。進行OU 規劃有以下建議：

OU 的存在，實現域中創建帶有分層結構的目錄樹。在OU 的定義過程中，嵌套以二層為優，過多會使域運維過于復雜且效率很低，嵌套不建議超過四層。

針對域目錄對象訪問，可以采用OU 委派管理控制。

為了達到對用戶終端環境的集中管控，同時對桌面進行策略或腳本控制，對此，我們建議在OU 上采用組策略控制。策略分兩類，安全策略和用戶策略，前者進行域級別實施，后者在OU 上實施。

在域管理過程中，例如企業研發部門，對產品開發項目組OU 規劃設定在研發單位下屬一級部門，以便對項目組管理進行特定策略下發管控，對于研發單位下屬一級單位部署在同一OU。為提高效率，方便管理，OU 嵌套為兩級。日常應用中，OU 結構不屬于普通用戶瀏覽使用資源。

圖3 OU 結構

圖4

5 域控管理策略應用

域控管理策略由OU 支持策略、站點組策略、本地組策略等策略構成，其中組策略中僅與安全設置有關的策略大致有160 多種，涉及注冊表的策略有470 多種。在域控管理過程中，通過開發配置不同的策略，實現域安全、客戶端環境管控、文件服務器權限配置、用戶訪問權限控制、賬戶管理。并且通過域樹策略配置，滿足不同部門，不同地域域站點信任及數據互訪的需求。

圖5 組策略類型

5.1 策略應用規則

5.1.1 策略繼承與阻止

下級容器可以繼承或阻止應用其上級容器的GPO 設置。

5.1.2 策略累加與沖突

多個GPO 設置在不沖突的情況下累加如沖突后應用生效。

5.1.3 策略強制生效

下級容器強制執行其上級容器的GPO 設置。

5.2 域控管理策略應用

域控管理策略應用較為豐富，以一般制造企業實施為例，簡要介紹策略實際應用。

5.2.1 重定向策略

配置及發布重定向策略，就是把設計端重要的文件夾或數據存儲位置轉移到域控制器上或者其他服務器主機，實現對數據統一備份與管理。在實際使用過程中，我們對如應用程序數據（個人賬戶配置數據）、域客戶端桌面、個人文檔區等數據進行重定向。

表1

5.2.2 用戶存儲區配額策略

針對服務器存儲空間依據用戶進行空間配額限制，并進行相關存儲訪問控制權限配置，實現文件服務器存儲動態管控的目標。

5.2.3 賬戶控制策略

5.2.3.1 域用戶密碼，通過密碼策略（Password policies）可以使域客戶端強制執行域密碼規則，依據安全規定，密碼長度6 位，格式為數字+字母形式，針對全域進行強制部署。

5.2.3.2 帳戶鎖定策略，根據安全防護要求，我們在部署域控賬戶時，特別制定賬戶鎖定次數限制，用戶密碼輸錯5次，將被鎖定，直到管理員進行解鎖。

6 結論

隨著信息技術的發展以及企業信息化程度的加深，如何有效管理企業眾多信息化設備，并使之助力企業研發工作已成為研發管理者共同關注話題。基于微軟AD 域模式，域控管理是規模化企業在產品開發過程很重要的一種IT 管理技術手段。通過其可以有效實現企業資源共享利用，實現企業信息化資源有序合理管控，達到企業節約增效的目的。