劉惠謀
(天津一汽夏利汽車股份有限公司產(chǎn)品開發(fā)中心)
域管理模式是一種主/從管理模式,通過(guò)一臺(tái)域控制器來(lái)集中管理域內(nèi)用戶帳號(hào)和權(quán)限,訪問(wèn)權(quán)限由控制器統(tǒng)一管理,帳號(hào)信息保存在域控制器內(nèi),共享信息分散在每臺(tái)計(jì)算機(jī)中。汽車開發(fā)設(shè)計(jì)需要采用域管理模式來(lái)管理汽車產(chǎn)品的設(shè)計(jì)數(shù)據(jù),保證數(shù)據(jù)的安全,提高企業(yè)的工作效率,實(shí)現(xiàn)資源共享。文章介紹了域管理模式對(duì)于保障汽車產(chǎn)品設(shè)計(jì)數(shù)據(jù)安全的重要意義。
汽車開發(fā)設(shè)計(jì)需要采用域管理模式[1]而非工作組管理模式,域管理與工作組管理的主要區(qū)別在于:
1)工作組網(wǎng)[2]實(shí)現(xiàn)的是分散的管理模式,用戶賬戶和權(quán)限信息保存在本機(jī)中,每一臺(tái)計(jì)算機(jī)都是獨(dú)立自主的,同時(shí)借助工作組來(lái)共享信息,共享信息的權(quán)限設(shè)置由每臺(tái)計(jì)算機(jī)控制。而域網(wǎng)實(shí)現(xiàn)的是主/從管理模式,通過(guò)一臺(tái)域控制器來(lái)集中管理域內(nèi)用戶帳號(hào)和權(quán)限,帳號(hào)信息保存在域控制器內(nèi),共享的信息分散在每臺(tái)在域計(jì)算機(jī)里,但是信息的訪問(wèn)權(quán)限由控制器統(tǒng)一管理。這就是兩者最大的不同。
2)“域”的真正含義是指使用服務(wù)器控制網(wǎng)絡(luò)上計(jì)算機(jī)加入的計(jì)算機(jī)組合。實(shí)行嚴(yán)格的管理對(duì)網(wǎng)絡(luò)安全非常必要。在網(wǎng)模式下,任何一臺(tái)電腦只要接入網(wǎng)絡(luò),其他機(jī)器就都可以訪問(wèn)共享資源,如共享上網(wǎng)等。盡管網(wǎng)絡(luò)上的共享文件可以加訪問(wèn)密碼,但易被破解。在“域”模式下,資源的訪問(wèn)有較嚴(yán)格的管理,至少有一臺(tái)服務(wù)器負(fù)責(zé)每一臺(tái)聯(lián)入網(wǎng)絡(luò)的電腦和用戶的驗(yàn)證工作,稱為“域控制器(Domain Controller,簡(jiǎn)寫為 DC)”。必須由網(wǎng)絡(luò)管理員進(jìn)行相應(yīng)的設(shè)置,才能把某臺(tái)計(jì)算機(jī)加入到域中,實(shí)現(xiàn)文件的共享。域控制器以系統(tǒng)管理員的身份進(jìn)行服務(wù)器端設(shè)置和客戶端設(shè)置。
3)域控制器中包含由域的賬戶、密碼以及屬于這個(gè)域的計(jì)算機(jī)等信息構(gòu)成的數(shù)據(jù)庫(kù)。如圖1所示,當(dāng)計(jì)算機(jī)聯(lián)入網(wǎng)絡(luò)時(shí),域控制器首先要鑒別該計(jì)算機(jī)是否屬于這個(gè)域,并且驗(yàn)證用戶使用的登錄賬號(hào)是否存在及密碼是否正確。如果以上信息有一項(xiàng)不正確,則域控制器就不允許用戶從該計(jì)算機(jī)登錄。如果不能登錄,用戶就不能訪問(wèn)服務(wù)器上有權(quán)限保護(hù)的資源,只能以網(wǎng)用戶的方式訪問(wèn)Windows共享的資源,這樣就在一定程度上保護(hù)了網(wǎng)絡(luò)上的資源。而工作組只是進(jìn)行本地計(jì)算機(jī)信息與安全的認(rèn)證。
1)方便對(duì)用戶操作進(jìn)行權(quán)限設(shè)置。比如一個(gè)汽車產(chǎn)品數(shù)據(jù)文件只允許指定人員查看,但不可以對(duì)數(shù)據(jù)文件進(jìn)行刪除、修改或移動(dòng)。
2)能夠?qū)崿F(xiàn)網(wǎng)絡(luò)內(nèi)的軟件一起安裝,避免病毒的侵入,從而大大提高產(chǎn)品數(shù)據(jù)的安全性。很多服務(wù)建立在域環(huán)境中,管理員便于統(tǒng)一管理,方便在MS軟件方面集成,如ISA EXCHANGE(郵件服務(wù)器)、ISA SERVER(上網(wǎng)的各種設(shè)置與管理)及PDM(產(chǎn)品數(shù)據(jù)管理)等。使用漫游賬戶和文件夾重定向技術(shù),個(gè)人賬戶的工作文件及數(shù)據(jù)等可以存儲(chǔ)在服務(wù)器上,統(tǒng)一進(jìn)行備份和管理,使汽車產(chǎn)品數(shù)據(jù)更加安全和有保障。
3)可以分發(fā)和指派軟件等,方便用戶使用各種資源。SMS(SystemManagement Server)能夠分發(fā)應(yīng)用程序和系統(tǒng)補(bǔ)丁等,用戶可以選擇安裝,也可以由系統(tǒng)管理員指派自動(dòng)安裝。并能集中管理系統(tǒng)補(bǔ)?。ㄈ鏦indows Updates),不需每臺(tái)客戶端服務(wù)器都下載同樣的補(bǔ)丁,從而節(jié)省大量網(wǎng)絡(luò)帶寬。
汽車設(shè)計(jì)[4]人員和管理員可以在不知道所需對(duì)象確切名稱的情況下,通過(guò)該對(duì)象的1個(gè)或多個(gè)屬性查找對(duì)象的部分屬性,從而在域中得到一個(gè)與所有已知屬性相匹配的對(duì)象列表。通過(guò)域可以使得基于1個(gè)或多個(gè)對(duì)象屬性來(lái)查找一個(gè)對(duì)象變成可能。域控制器集中管理用戶對(duì)網(wǎng)絡(luò)的訪問(wèn),如登錄、驗(yàn)證、訪問(wèn)目錄和共享資源。為了簡(jiǎn)化管理,所有域中的域控制器都是平等的,可以在任何域控制器上進(jìn)行修改,這種更新可以復(fù)制到域中所有的其他域控制器上。域的實(shí)施通過(guò)提供對(duì)網(wǎng)絡(luò)上所有對(duì)象的單點(diǎn)管理進(jìn)一步簡(jiǎn)化了管理。因?yàn)橛蚩刂破魈峁┝藢?duì)網(wǎng)絡(luò)[5]上所有資源的單點(diǎn)登錄,管理員可以登錄到一臺(tái)計(jì)算機(jī)來(lái)管理網(wǎng)絡(luò)中任何計(jì)算機(jī)上的管理對(duì)象。在NT網(wǎng)絡(luò)中,當(dāng)用戶一次登陸一個(gè)域服務(wù)器后,就可以訪問(wèn)該域中已經(jīng)開放的全部資源,而無(wú)需對(duì)同一域進(jìn)行多次登陸。但在需要共享不同域中的服務(wù)時(shí),對(duì)每個(gè)域都必須要登陸一次,否則無(wú)法訪問(wèn)未登陸域服務(wù)器中的資源或無(wú)法獲得未登陸域的服務(wù)。
在活動(dòng)目錄中,通過(guò)將目錄組織成幾個(gè)部分存儲(chǔ)信息,從而允許存儲(chǔ)大量的對(duì)象。因此,目錄可以隨著組織的增長(zhǎng)而一同擴(kuò)展,允許用戶從一個(gè)具有幾百個(gè)對(duì)象的小的安裝環(huán)境發(fā)展成擁有幾百萬(wàn)對(duì)象的大型安裝環(huán)境。域?yàn)槠囋O(shè)計(jì)人員提供了單一的登錄過(guò)程來(lái)訪問(wèn)網(wǎng)絡(luò)資源,如所有他們具有權(quán)限的文件、打印機(jī)和應(yīng)用程序資源。即用戶可以登錄到一臺(tái)計(jì)算機(jī)來(lái)使用網(wǎng)絡(luò)上另外一臺(tái)計(jì)算機(jī)上的資源,只要用戶具有對(duì)資源的合適權(quán)限。域通過(guò)對(duì)用戶權(quán)限合適的劃分,確定了只有對(duì)特定資源有合法權(quán)限的用戶才能使用該資源,從而保障了資源使用的合法性和安全性。每個(gè)域控制器保存和維護(hù)目錄的一個(gè)副本。在域中,創(chuàng)建的每一個(gè)用戶賬號(hào)都會(huì)對(duì)應(yīng)目錄的一個(gè)記錄。當(dāng)汽車設(shè)計(jì)人員登錄到域中的計(jì)算機(jī)時(shí),域控制器將按照目錄檢查用戶名、口令及登錄限制以驗(yàn)證用戶。當(dāng)存在多個(gè)域控制器時(shí),他們會(huì)定期相互復(fù)制目錄信息。域控制器間的數(shù)據(jù)復(fù)制,促使登錄人員信息發(fā)生改變時(shí)(比如用戶修改了口令),可以迅速?gòu)?fù)制到其他的域控制器上,因此當(dāng)一臺(tái)域控制器出現(xiàn)故障時(shí),用戶仍然可以通過(guò)其他的域控制器進(jìn)行登錄,保障了網(wǎng)絡(luò)的順利運(yùn)行。
域管理模式能有效隔離開內(nèi)網(wǎng)與外網(wǎng),防止公司資料外泄,從根源上杜絕病毒的侵襲。同時(shí)域管理模式使得管理員能夠更方便地管理系統(tǒng),方便用戶使用各種資源,提高了企業(yè)的工作效率,實(shí)現(xiàn)了資源共享,并且具有較強(qiáng)的可擴(kuò)展性。但域管理也存在成本高和需要高性能的服務(wù)器等缺點(diǎn)。如果沒有備用服務(wù)器,主服務(wù)器崩壞后果非常嚴(yán)重??傮w來(lái)說(shuō),域管理模式能夠擔(dān)負(fù)起保障汽車產(chǎn)品設(shè)計(jì)數(shù)據(jù)安全的重任。