趙新平

（呂梁學(xué)院汾陽(yáng)師范分校 信息技術(shù)系，山西 汾陽(yáng) 032200）

應(yīng)用WindowsServerD域提升內(nèi)網(wǎng)管理水平

趙新平

（呂梁學(xué)院汾陽(yáng)師范分校 信息技術(shù)系，山西 汾陽(yáng) 032200）

很多企事業(yè)單位都擁有自己的內(nèi)部網(wǎng)絡(luò)，內(nèi)網(wǎng)計(jì)算機(jī)和用戶(hù)數(shù)量也在與日俱增，但由于缺乏相應(yīng)的管理手段，內(nèi)網(wǎng)運(yùn)行狀態(tài)大多不盡如人意.本文針對(duì)內(nèi)部網(wǎng)絡(luò)存在的問(wèn)題，提出用Windows Server的AD（Active Directory）域服務(wù)提升內(nèi)網(wǎng)的集中管控能力，并結(jié)合實(shí)例論述了域管理模式建設(shè)的一般流程.

內(nèi)網(wǎng)管理；AD域；組策略

1 前言

隨著信息技術(shù)應(yīng)用領(lǐng)域的不斷擴(kuò)大，不少企業(yè)和事業(yè)單位都建設(shè)了自己的內(nèi)部網(wǎng)絡(luò)，接入了因特網(wǎng)，這對(duì)他們信息傳遞和資源共享帶來(lái)了很大的便利.但是，由于種種原因，很多單位的內(nèi)部網(wǎng)絡(luò)缺乏管理，在資源被濫用的同時(shí)也存在巨大的安全隱患.

2 內(nèi)網(wǎng)管理現(xiàn)狀及域管理模式的優(yōu)勢(shì)

2.1 內(nèi)網(wǎng)管理現(xiàn)狀

目前，很多企事業(yè)單位的網(wǎng)絡(luò)終端都是基于工作組模式運(yùn)行，網(wǎng)絡(luò)管理員無(wú)法對(duì)終端計(jì)算機(jī)進(jìn)行集中管理，終端安全策略需要逐臺(tái)設(shè)置，費(fèi)時(shí)費(fèi)力.由于對(duì)網(wǎng)內(nèi)計(jì)算機(jī)的權(quán)限缺乏管理，導(dǎo)致終端用戶(hù)對(duì)計(jì)算機(jī)擁有完全控制權(quán)限.用戶(hù)可以隨意安裝操作系統(tǒng)和應(yīng)用軟件，可以隨意使用移動(dòng)存儲(chǔ)器，可以隨意安裝和運(yùn)行未經(jīng)過(guò)安全檢測(cè)的軟件.用戶(hù)往往設(shè)置空口令或弱口令，不開(kāi)啟防火墻，設(shè)置文件或文件夾共享，開(kāi)啟遠(yuǎn)程控制，開(kāi)啟Guest賬戶(hù).這對(duì)網(wǎng)內(nèi)信息安全和網(wǎng)絡(luò)運(yùn)行帶來(lái)了巨大的安全隱患.

2.2 域管理模式的優(yōu)勢(shì)

活動(dòng)目錄（ActiveDirectory）是WindowsServer操作系統(tǒng)中存儲(chǔ)網(wǎng)絡(luò)對(duì)象（如：網(wǎng)絡(luò)計(jì)算機(jī)、用戶(hù)賬戶(hù)、共享資源和網(wǎng)絡(luò)打印機(jī)等）的標(biāo)準(zhǔn)服務(wù).域控制器通過(guò)活動(dòng)目錄服務(wù)對(duì)網(wǎng)絡(luò)中所轄區(qū)域的計(jì)算機(jī)、用戶(hù)及網(wǎng)絡(luò)資源進(jìn)行管理即為域管理模式.相對(duì)于工作組模式，域管理模式具有以下優(yōu)勢(shì)：

2.2.1 集中管理用戶(hù)賬戶(hù)與權(quán)限

工作組模式實(shí)行的是分散管理模式，每一臺(tái)計(jì)算機(jī)都是獨(dú)立自主的.用戶(hù)賬戶(hù)和權(quán)限信息存儲(chǔ)在本機(jī)，共享資源的權(quán)限由共享資源的計(jì)算機(jī)獨(dú)立控制.域管理模式是主-從管理模式，通過(guò)域控制器存儲(chǔ)域內(nèi)所有計(jì)算機(jī)的賬戶(hù)和權(quán)限信息，共享資源可以分布在域中的計(jì)算機(jī)上，但訪問(wèn)權(quán)限由域控制器統(tǒng)一管理.管理員對(duì)于域中所有用戶(hù)的賬戶(hù)管理和權(quán)限分配可以在域控制器上集中完成，減少了管理的工作量.

2.2.2 方便用戶(hù)使用網(wǎng)絡(luò)共享資源，安全性高

域?yàn)橛脩?hù)提供了單一的登錄過(guò)程來(lái)訪問(wèn)網(wǎng)絡(luò)資源.即用戶(hù)可以登錄到域中任意一臺(tái)被許可登錄的計(jì)算機(jī)上，使用網(wǎng)絡(luò)上的共享資源，只要用戶(hù)擁有對(duì)該資源的合適權(quán)限.域通過(guò)對(duì)用戶(hù)權(quán)限的精確劃分，確定了只有特定用戶(hù)才能使用某一項(xiàng)網(wǎng)絡(luò)資源，從而保障了資源使用的合法性和安全性.

使用漫游賬戶(hù)和文件夾重定向技術(shù)，個(gè)人賬戶(hù)的工作文件及數(shù)據(jù)等可以存儲(chǔ)在服務(wù)器上，統(tǒng)一進(jìn)行備份、管理，用戶(hù)的數(shù)據(jù)更加安全、有保障.

2.2.3 可以分發(fā)、指派軟件，實(shí)現(xiàn)域內(nèi)軟件統(tǒng)一安裝

在日常維護(hù)工作中，管理員經(jīng)常要為客戶(hù)端計(jì)算機(jī)統(tǒng)一安裝某個(gè)軟件.在域管理模式下可以通過(guò)設(shè)置組策略，方便實(shí)現(xiàn)客戶(hù)端統(tǒng)一安裝軟件.需要注意的是，默認(rèn)只能發(fā)布M S I格式的軟件包，對(duì)于其它格式的軟件包，需要通過(guò)第三方軟件將其打包為M S I格式再進(jìn)行發(fā)布.另外，還可能通過(guò)在域內(nèi)布署WSUS（WindowsServerUpdateServices）服務(wù)，為客戶(hù)端計(jì)算機(jī)統(tǒng)一安裝補(bǔ)丁.

另外，在域管理模式下，我們還可以限制客戶(hù)端的某些軟件運(yùn)行、禁用USB存儲(chǔ)設(shè)備、進(jìn)行網(wǎng)絡(luò)準(zhǔn)入控制、網(wǎng)絡(luò)訪問(wèn)保護(hù)等.

3 域管理模式規(guī)劃與實(shí)施

3.1 情境假設(shè)

某公司總部設(shè)在A地，兩個(gè)子公司分別位于B地和C地，現(xiàn)有員工2 0 0人左右.公司已有一個(gè)局域網(wǎng)，運(yùn)行200臺(tái)計(jì)算機(jī)，服務(wù)器操作系統(tǒng)為WindowsServer2008，客戶(hù)機(jī)操作系統(tǒng)是WindowsXP，運(yùn)行于工作組模式下.由于計(jì)算機(jī)較多，管理上缺乏層次，公司希望利用Windows域模式管理所有網(wǎng)絡(luò)資源，提高辦公效率，加強(qiáng)內(nèi)網(wǎng)安全，規(guī)范計(jì)算機(jī)使用.

公司下設(shè)部門(mén)有：總經(jīng)理辦公室、人力資源部、行政部、財(cái)務(wù)部、工程部、銷(xiāo)售部.

3.2 域管理模式規(guī)劃

在總公司A地建立根域：companyloc，內(nèi)部子網(wǎng)：192.168.1.0/24

在分公司B地建立子域：b.company.loc，內(nèi)部子網(wǎng)：192.168.2.0/24

在分公司C地建立子域：c.company.loc，內(nèi)部子網(wǎng)：192.168.3.0/24

因?yàn)樵谟蚬芾砟Ｊ较?，域控制器（DomainController，DC）負(fù)責(zé)全網(wǎng)用戶(hù)的登錄審核以及用戶(hù)權(quán)限的控制，域控制器一旦停機(jī)，將會(huì)使網(wǎng)絡(luò)處于癱瘓狀態(tài).所以，在總公司及B、C兩地的分公司分別設(shè)置兩臺(tái)域控制器，當(dāng)主D C停機(jī)時(shí)，備用D C可以接替主D C提供服務(wù).

DC規(guī)劃情況如下表所示：

地區(qū) 計(jì)算機(jī)名 IP地址 子網(wǎng)掩碼 DNS A地DC-A-01 192.168.1.251 255.255.255.0 192.168.1.251 DC-A-02 192.168.1.252 255.255.255.0 192.168.1.251 B地C地DC-B-01 192.168.2.251 255.255.255.0 192.168.1.251 DC-B-02 192.168.2.252 255.255.255.0 192.168.1.251 DC-C-01 192.168.3.251 255.255.255.0 192.168.1.251 DC-C-02 192.168.3.252 255.255.255.0 192.168.1.251

3.3 域管理模式實(shí)施

3.3.1 安裝域控制器

在提供域控制器功能的服務(wù)器上添加“ActiveDirectory域服務(wù)”角色，在安裝過(guò)程中需要提供域名.如果安裝的是主域控制器，則將D N S服務(wù)一起安裝.在設(shè)置數(shù)據(jù)庫(kù)及日志文件路徑時(shí)最好將數(shù)據(jù)庫(kù)文件和日志文件的路徑設(shè)置到不同分區(qū).

3.3.2 規(guī)劃組織單位

為了便于管理，在域控制器上按公司部門(mén)劃分創(chuàng)建組織單位（OrganizationUnits，OU），將相關(guān)帳號(hào)和組劃入組織單位，即可按部門(mén)設(shè)置組策略.

3.3.3 創(chuàng)建用戶(hù)

為所有內(nèi)網(wǎng)用戶(hù)創(chuàng)建帳號(hào)，加入適當(dāng)?shù)臋?quán)限組，并加入相關(guān)OU.在域管理模式下，管理員可以在域控制器上統(tǒng)一管理全網(wǎng)用戶(hù)賬戶(hù)及權(quán)限.只要管理員授權(quán)，用戶(hù)就可以用自己的帳號(hào)在網(wǎng)內(nèi)的多臺(tái)計(jì)算機(jī)上登錄.如果使用漫游賬戶(hù)和文件夾重定向技術(shù)，用戶(hù)個(gè)人賬戶(hù)的工作文件和數(shù)據(jù)可以存儲(chǔ)在服務(wù)器上，進(jìn)行統(tǒng)一備份管理，用戶(hù)數(shù)據(jù)更加安全.

3.3.4 設(shè)置組策略

組策略是WindowsAD域用戶(hù)安全管理的重要手段，在具體應(yīng)用時(shí)應(yīng)該先進(jìn)行測(cè)試，再進(jìn)行策略下發(fā).

通過(guò)設(shè)置組策略，可以糾正一些用戶(hù)不規(guī)范的操作行為.如：

（1）強(qiáng)制用空口令或弱口令的賬戶(hù)修改口令.

（2）強(qiáng)制關(guān)閉Guest賬戶(hù).

（3）強(qiáng)制開(kāi)啟客戶(hù)端防火墻.

（4）關(guān)閉客戶(hù)端硬盤(pán)和文件夾共享.

（5）關(guān)閉遠(yuǎn)程桌面.

通過(guò)設(shè)置組策略，可以提高網(wǎng)管的工作效率.如：

（1）統(tǒng)一設(shè)置客戶(hù)端桌面、屏保、瀏覽器主頁(yè)等，以宣傳公司企業(yè)文化內(nèi)容.

（2）設(shè)置軟件分發(fā)和指派，統(tǒng)一進(jìn)行軟件安裝，省時(shí)省力.

（3）禁止用戶(hù)安裝軟件、卸載軟件、修改IP等操作，防止用戶(hù)擅自修改工作環(huán)境.

3.4 測(cè)試和切換到域管理模式

域管理環(huán)境搭建完畢后，應(yīng)先針對(duì)個(gè)別部門(mén)的少量計(jì)算機(jī)時(shí)行測(cè)試，待運(yùn)行穩(wěn)定無(wú)誤后，再有計(jì)劃地將公司各部門(mén)的計(jì)算機(jī)分步驟加入域，且每加入一個(gè)部門(mén)的計(jì)算機(jī)，就要進(jìn)行測(cè)試，以免出現(xiàn)大面積的故障而影響公司的業(yè)務(wù)運(yùn)行.

4 結(jié)束語(yǔ)

WindowsServer的AD域是內(nèi)網(wǎng)桌面管理的有效工具，合理利用可以減少管理員的重復(fù)勞動(dòng)，有效加強(qiáng)內(nèi)網(wǎng)安全.但隨著信息技術(shù)和發(fā)展，內(nèi)網(wǎng)面臨的安全隱患也層出不窮.作為系統(tǒng)管理員，只有不斷創(chuàng)新，不斷學(xué)習(xí)和引入新的安全管理技術(shù)，才能使內(nèi)部網(wǎng)絡(luò)更好好服務(wù)于各自單位的信息化建設(shè).

〔1〕戴有煒.Windows Server 2008 R2 Active Directory配置指南[M].北京：清華大學(xué)出版社，2011.

〔2〕Mark MInasi.精通Windows Server 2008 R2 [M].北京：清華大學(xué)出版社，2012.

TP393.1

A

1673-260 X（2013）12-0022-02