王曉紅

(中國飛機(jī)強(qiáng)度研究所，陜西 西安 710065)

1.引言

隨著信息化建設(shè)的深入，各類應(yīng)用系統(tǒng)的開發(fā)、使用，使企業(yè)信息系統(tǒng)的功能得以充分發(fā)揮，極大地提高了工作效率，企業(yè)員工通過局域網(wǎng)辦公自動化系統(tǒng)終端即可完成各項(xiàng)工作。但是局域網(wǎng)帶來便利的同時，也存在安全上的隱患。鑒于局域網(wǎng)網(wǎng)絡(luò)中計算機(jī)和用戶賬戶的日益增多，應(yīng)采用域管理手段，不但使網(wǎng)絡(luò)管理工作變得簡單化、條理化，同時也可提升局域網(wǎng)的可用性和安全性。

2.域管理的含義

域是Windows操作系統(tǒng)的邏輯組織單元，在Windows網(wǎng)絡(luò)操作系統(tǒng)中，域是安全邊界，每個域都有自己的安全策略，以限制域的訪問管理權(quán)限。域管理即通過Windows的活動目錄對所轄的域進(jìn)行管理的模式。

2.1 活動目錄（ActiveDirectory）

活動目錄（ActiveDirectory）是Windows操作系統(tǒng)的最大優(yōu)勢，它是在Windows Server版上應(yīng)用的目錄服務(wù)。它能夠存儲網(wǎng)絡(luò)對象大量的相關(guān)信息，使管理員和用戶能很容易找到這些信息，提供一種邏輯的、有層次的目錄信息組織機(jī)構(gòu)。活動目錄是網(wǎng)絡(luò)操作系統(tǒng)對網(wǎng)絡(luò)資源進(jìn)行管理的標(biāo)準(zhǔn)方式，為企業(yè)信息化的實(shí)施打下良好基礎(chǔ)。

2.2 組策略

組策略是使用在域中的、為網(wǎng)絡(luò)用戶和計算機(jī)制定的、控制程序、網(wǎng)絡(luò)資源及操作系統(tǒng)行為的主要工具。通過使用組策略可以設(shè)置各種軟件、計算機(jī)和用戶的策略，從而達(dá)到方便管理計算機(jī)，同時提高網(wǎng)絡(luò)安全性的目的。

3.域管理的優(yōu)勢

3.1 合理分配用戶權(quán)限

在局域網(wǎng)中遵循最低權(quán)限原則，應(yīng)合理分配用戶權(quán)限。對普通用戶僅分配Domain Users即可，Domain Users組只能運(yùn)行已安裝的程序，并對文件進(jìn)行基本操作，不能添加、刪除設(shè)備或應(yīng)用程序，不能設(shè)置共享，不能啟動或停止系統(tǒng)服務(wù)，不能修改注冊表和系統(tǒng)目錄，甚至不能修改系統(tǒng)時間和網(wǎng)絡(luò)配置。這樣可以降低域用戶對網(wǎng)絡(luò)系統(tǒng)的影響，加強(qiáng)網(wǎng)絡(luò)的安全性和易管理性。

3.2 提高系統(tǒng)安全性

計算機(jī)的安全策略包括帳戶策略、本地策略、密碼策略、系統(tǒng)服務(wù)、注冊表、事件日志等，通過配置組策略，可以控制計算機(jī)上的運(yùn)行程序，強(qiáng)制糾正域用戶的一些違規(guī)行為，比如，通過設(shè)置帳戶密碼策略可以定期提示域用戶修改口令或弱口令、關(guān)閉計算機(jī)的默認(rèn)共享，關(guān)閉Guest帳戶等。

3.3 實(shí)現(xiàn)軟件自動分發(fā)

應(yīng)用組策略中的軟件自動安裝功能可以方便地實(shí)現(xiàn)多臺客戶端統(tǒng)一安裝應(yīng)用程序。只有系統(tǒng)管理員才具有訪問系統(tǒng)目錄的權(quán)限，通過軟件安裝策略，普通客戶端僅從系統(tǒng)目錄上裝載軟件。但是，域活動目錄中只能安裝MSI格式的安裝包，其它各式的安裝軟件可制作或打包成MSI格式后再進(jìn)行發(fā)布。通過這種方式，可強(qiáng)制向客戶端下發(fā)防病毒軟件及補(bǔ)丁程序。

3.4 回收管理員密碼，限制本地功能

腳本是使用一種特定的描述性語言，通過編輯腳本并將其應(yīng)用到開機(jī)、關(guān)機(jī)、登錄及注銷過程中，可以實(shí)現(xiàn)對客戶端的管理控制。比如，修改域計算機(jī)本地管理員密碼，由域管理員自己掌握。管理員根據(jù)用戶需要開通必要的權(quán)限，以降低域用戶對計算機(jī)系統(tǒng)造成有意或無意的破壞，能有效地控制用戶對服務(wù)器的訪問，從而加強(qiáng)網(wǎng)絡(luò)和服務(wù)器的安全性。

3.5 實(shí)現(xiàn)接入控制

域用戶接入控制分為三個步驟：用戶名的識別與驗(yàn)證、用戶口令的識別與驗(yàn)證和用戶帳號的缺省限制三道關(guān)卡，只要任何一關(guān)未過，該用戶便不能進(jìn)入網(wǎng)絡(luò)。域用戶帳號只有域管理員才能建立，用戶口令是每個域用戶訪問網(wǎng)絡(luò)所必需提供的“證件”，域用戶可以修改自己的口令。域接入控制與防病毒系統(tǒng)、WSUS補(bǔ)丁服務(wù)器、桌面管理等系統(tǒng)緊密配合，對已通過認(rèn)證的用戶終端進(jìn)行安全檢查，強(qiáng)制用戶終端進(jìn)行防病毒、操作系統(tǒng)補(bǔ)丁等安全策略檢查，從而提高了網(wǎng)絡(luò)的安全性和保密性。

4.結(jié)論

通過在局域網(wǎng)實(shí)施域管理，將局域網(wǎng)由原來的分散式管理升級到集中式管理模式上，不但提升了網(wǎng)絡(luò)系統(tǒng)的安全性，而且也降低了網(wǎng)絡(luò)運(yùn)行成本。同時，隨著信息技術(shù)的飛速發(fā)展，對域管理的應(yīng)用也將從廣度和深度上不斷探索和改進(jìn)，使我們擁有一個更加安全的網(wǎng)絡(luò)環(huán)境.

[1]戴有煒.Windowsserver 2003 Active Directory配置指南[M].清華大學(xué)出版社，2004.

[2]韓最蛟，李偉.網(wǎng)絡(luò)維護(hù)與安全技術(shù)教程與實(shí)訓(xùn)[M].清華大學(xué)出版社，2008.