应用WindowsServerD域提升内网管理水平

2013-07-31赵新平

赤峰学院学报·自然科学版 2013年23期

关键词：域控制器组策略客户端

赵新平

（吕梁学院汾阳师范分校信息技术系，山西汾阳 032200）

应用WindowsServerD域提升内网管理水平

赵新平

（吕梁学院汾阳师范分校信息技术系，山西汾阳 032200）

很多企事业单位都拥有自己的内部网络，内网计算机和用户数量也在与日俱增，但由于缺乏相应的管理手段，内网运行状态大多不尽如人意.本文针对内部网络存在的问题，提出用Windows Server的AD（Active Directory）域服务提升内网的集中管控能力，并结合实例论述了域管理模式建设的一般流程.

内网管理；AD域；组策略

1 前言

随着信息技术应用领域的不断扩大，不少企业和事业单位都建设了自己的内部网络，接入了因特网，这对他们信息传递和资源共享带来了很大的便利.但是，由于种种原因，很多单位的内部网络缺乏管理，在资源被滥用的同时也存在巨大的安全隐患.

2 内网管理现状及域管理模式的优势

2.1 内网管理现状

目前，很多企事业单位的网络终端都是基于工作组模式运行，网络管理员无法对终端计算机进行集中管理，终端安全策略需要逐台设置，费时费力.由于对网内计算机的权限缺乏管理，导致终端用户对计算机拥有完全控制权限.用户可以随意安装操作系统和应用软件，可以随意使用移动存储器，可以随意安装和运行未经过安全检测的软件.用户往往设置空口令或弱口令，不开启防火墙，设置文件或文件夹共享，开启远程控制，开启Guest账户.这对网内信息安全和网络运行带来了巨大的安全隐患.

2.2 域管理模式的优势

活动目录（ActiveDirectory）是WindowsServer操作系统中存储网络对象（如：网络计算机、用户账户、共享资源和网络打印机等）的标准服务.域控制器通过活动目录服务对网络中所辖区域的计算机、用户及网络资源进行管理即为域管理模式.相对于工作组模式，域管理模式具有以下优势：

2.2.1 集中管理用户账户与权限

工作组模式实行的是分散管理模式，每一台计算机都是独立自主的.用户账户和权限信息存储在本机，共享资源的权限由共享资源的计算机独立控制.域管理模式是主-从管理模式，通过域控制器存储域内所有计算机的账户和权限信息，共享资源可以分布在域中的计算机上，但访问权限由域控制器统一管理.管理员对于域中所有用户的账户管理和权限分配可以在域控制器上集中完成，减少了管理的工作量.

2.2.2 方便用户使用网络共享资源，安全性高

域为用户提供了单一的登录过程来访问网络资源.即用户可以登录到域中任意一台被许可登录的计算机上，使用网络上的共享资源，只要用户拥有对该资源的合适权限.域通过对用户权限的精确划分，确定了只有特定用户才能使用某一项网络资源，从而保障了资源使用的合法性和安全性.

使用漫游账户和文件夹重定向技术，个人账户的工作文件及数据等可以存储在服务器上，统一进行备份、管理，用户的数据更加安全、有保障.

2.2.3 可以分发、指派软件，实现域内软件统一安装

在日常维护工作中，管理员经常要为客户端计算机统一安装某个软件.在域管理模式下可以通过设置组策略，方便实现客户端统一安装软件.需要注意的是，默认只能发布M S I格式的软件包，对于其它格式的软件包，需要通过第三方软件将其打包为M S I格式再进行发布.另外，还可能通过在域内布署WSUS（WindowsServerUpdateServices）服务，为客户端计算机统一安装补丁.

另外，在域管理模式下，我们还可以限制客户端的某些软件运行、禁用USB存储设备、进行网络准入控制、网络访问保护等.

3 域管理模式规划与实施

3.1 情境假设

某公司总部设在A地，两个子公司分别位于B地和C地，现有员工2 0 0人左右.公司已有一个局域网，运行200台计算机，服务器操作系统为WindowsServer2008，客户机操作系统是WindowsXP，运行于工作组模式下.由于计算机较多，管理上缺乏层次，公司希望利用Windows域模式管理所有网络资源，提高办公效率，加强内网安全，规范计算机使用.

公司下设部门有：总经理办公室、人力资源部、行政部、财务部、工程部、销售部.

3.2 域管理模式规划

在总公司A地建立根域：companyloc，内部子网：192.168.1.0/24

在分公司B地建立子域：b.company.loc，内部子网：192.168.2.0/24

在分公司C地建立子域：c.company.loc，内部子网：192.168.3.0/24

因为在域管理模式下，域控制器（DomainController，DC）负责全网用户的登录审核以及用户权限的控制，域控制器一旦停机，将会使网络处于瘫痪状态.所以，在总公司及B、C两地的分公司分别设置两台域控制器，当主D C停机时，备用D C可以接替主D C提供服务.

DC规划情况如下表所示：

地区计算机名 IP地址子网掩码 DNS A地DC-A-01 192.168.1.251 255.255.255.0 192.168.1.251 DC-A-02 192.168.1.252 255.255.255.0 192.168.1.251 B地C地DC-B-01 192.168.2.251 255.255.255.0 192.168.1.251 DC-B-02 192.168.2.252 255.255.255.0 192.168.1.251 DC-C-01 192.168.3.251 255.255.255.0 192.168.1.251 DC-C-02 192.168.3.252 255.255.255.0 192.168.1.251

3.3 域管理模式实施

3.3.1 安装域控制器

在提供域控制器功能的服务器上添加“ActiveDirectory域服务”角色，在安装过程中需要提供域名.如果安装的是主域控制器，则将D N S服务一起安装.在设置数据库及日志文件路径时最好将数据库文件和日志文件的路径设置到不同分区.

3.3.2 规划组织单位

为了便于管理，在域控制器上按公司部门划分创建组织单位（OrganizationUnits，OU），将相关帐号和组划入组织单位，即可按部门设置组策略.

3.3.3 创建用户

为所有内网用户创建帐号，加入适当的权限组，并加入相关OU.在域管理模式下，管理员可以在域控制器上统一管理全网用户账户及权限.只要管理员授权，用户就可以用自己的帐号在网内的多台计算机上登录.如果使用漫游账户和文件夹重定向技术，用户个人账户的工作文件和数据可以存储在服务器上，进行统一备份管理，用户数据更加安全.

3.3.4 设置组策略

组策略是WindowsAD域用户安全管理的重要手段，在具体应用时应该先进行测试，再进行策略下发.

通过设置组策略，可以纠正一些用户不规范的操作行为.如：

（1）强制用空口令或弱口令的账户修改口令.

（2）强制关闭Guest账户.

（3）强制开启客户端防火墙.

（4）关闭客户端硬盘和文件夹共享.

（5）关闭远程桌面.

通过设置组策略，可以提高网管的工作效率.如：

（1）统一设置客户端桌面、屏保、浏览器主页等，以宣传公司企业文化内容.

（2）设置软件分发和指派，统一进行软件安装，省时省力.

（3）禁止用户安装软件、卸载软件、修改IP等操作，防止用户擅自修改工作环境.