目前，企業(yè)內(nèi)業(yè)務(wù)管理的自動(dòng)化平臺(tái)已經(jīng)普及比如ERP、OA管理系統(tǒng)等，企業(yè)人員基本上通過局域網(wǎng)上的自動(dòng)化系統(tǒng)終端完成本職業(yè)務(wù)。網(wǎng)絡(luò)帶給企業(yè)便利的同時(shí)，也存在安全上的隱患。鑒于企業(yè)局域網(wǎng)網(wǎng)絡(luò)中計(jì)算機(jī)和用戶賬戶數(shù)量較多，為了實(shí)現(xiàn)高效管理，可以采用域控制器提升企業(yè)網(wǎng)絡(luò)安全程度，整合局域網(wǎng)內(nèi)基于網(wǎng)絡(luò)的資源。

一、域控制器的概念

    域(Domain)是指網(wǎng)絡(luò)服務(wù)器和其他計(jì)算機(jī)的一種邏輯分組，是活動(dòng)目錄的分區(qū)，定義了安全邊界，凡是在共享域邏輯范圍內(nèi)的用戶都使用公共的安全機(jī)制和用戶賬戶信息。在活動(dòng)目錄(Actire Dirdctory)中， 目錄存儲(chǔ)只有一種形式， 即域控制器(Domain Controller)，包括了完整的域目錄的信息。因此，每一個(gè)域中必須有一個(gè)域控制器。域控制器具有對(duì)整個(gè)域以及域中的所有計(jì)算機(jī)的管理權(quán)限，包含域內(nèi)的賬戶、密碼，屬于該域的計(jì)算機(jī)等信息構(gòu)成的數(shù)據(jù)庫(kù)。

二、企業(yè)域控規(guī)劃

    (一)設(shè)計(jì)原則。域控規(guī)劃應(yīng)以現(xiàn)有的企業(yè)管理模式為標(biāo)準(zhǔn)，根據(jù)管理需要設(shè)計(jì)和規(guī)范用戶權(quán)限；應(yīng)滿足安全要求及冗余需求，能夠保證其全天候無故障持續(xù)運(yùn)行；應(yīng)有數(shù)據(jù)保護(hù)機(jī)制，以保證企業(yè)數(shù)據(jù)的安全性和正確性；應(yīng)滿足企業(yè)的應(yīng)用需求，根據(jù)企業(yè)需求來配置域控制器提供的服務(wù)；應(yīng)具有可擴(kuò)展、經(jīng)濟(jì)、實(shí)用等特性。

    (二)設(shè)計(jì)方案。域控制器選用windwos server entERPriseedition，提供域管理和域名解析，采用雙服務(wù)集群方案，一臺(tái)為主服務(wù)器，一臺(tái)備用服務(wù)器。雙機(jī)熱備，實(shí)現(xiàn)服務(wù)器全天候無故障運(yùn)行，當(dāng)一臺(tái)服務(wù)器出現(xiàn)故障可由備用服務(wù)器直接接管主服務(wù)器的工作；根據(jù)企業(yè)現(xiàn)有的管理模式在域中配置相應(yīng)管理模型及OU單元；主服務(wù)器采用磁盤陣列技術(shù)保證服務(wù)器數(shù)據(jù)的安全和完整性，防止服務(wù)器硬件故障。

三、服務(wù)器配置管理

    (一)域控制器的安裝。要將用戶計(jì)算機(jī)加入域，可由網(wǎng)絡(luò)管理員進(jìn)行相應(yīng)的設(shè)置，為之授予必要的權(quán)限，實(shí)現(xiàn)文件與設(shè)備的共享。現(xiàn)就域控制器的安裝及操作使用介紹如下：

    1．安裝主域控制器。在windows server2003的控制面板中一管理工具一配置服務(wù)器安裝“Active Directory”，按提示操作，將主域控制器安裝成DNS服務(wù)器。

    2．配置OU組策略。組織單元：組織單元(Organizationa1 Units組織單元，簡(jiǎn)稱OO)就是包含在域中特別有用的目錄對(duì)象類型。組策略：組策略是活動(dòng)目錄上的最大應(yīng)用，可讓許多重復(fù)的管理工作自動(dòng)化、簡(jiǎn)單化。組策略設(shè)置影響計(jì)算機(jī)或用戶賬戶，并可應(yīng)用于站點(diǎn)、域或組織單元。它可用于配置安全選項(xiàng)、管理應(yīng)用程序、管理桌面外觀、指派腳本，并將文件夾從本地計(jì)算機(jī)重新定向到網(wǎng)絡(luò)位置。組策略操作步驟：首先為各職能部門新建OU，并對(duì)OU的組策略進(jìn)行設(shè)置，使其自動(dòng)繼承本部OU的組策略。在組策略編輯窗口中，建議使用用戶配置下的組策略， 以便針對(duì)用戶所擔(dān)當(dāng)?shù)墓ぷ髀氊?zé)給予適當(dāng)?shù)臋?quán)限。由于組策略內(nèi)容很多，為了禁用不明來歷的外來存儲(chǔ)設(shè)備，杜絕修改計(jì)算機(jī)名、網(wǎng)絡(luò)、打印機(jī)等統(tǒng)一設(shè)置，可考慮設(shè)置域用戶漫游(為每個(gè)用戶準(zhǔn)備一個(gè)存放漫游用戶配置文件的網(wǎng)絡(luò)存儲(chǔ)路徑)，無論用戶在局域網(wǎng)內(nèi)任何一臺(tái)客戶端登錄，都會(huì)面對(duì)本人的自定義界面，行使本部主管在部門OU中為之設(shè)置的權(quán)限。

    (二)域控制器的應(yīng)用。安裝好windows server 2003后，首先應(yīng)該更改系統(tǒng)默認(rèn)管理員賬戶的名稱和密碼，以增強(qiáng)系統(tǒng)安全性。使用win鍵+R或者在運(yùn)行中鍵入命令gpedit．msc打開組策略，選擇本地計(jì)算機(jī)策略-windows設(shè)置-本地策略-安全策略選項(xiàng)，重命名系統(tǒng)管理員賬戶和創(chuàng)建一個(gè)具有管理員權(quán)限的賬戶，并禁用Administrator賬戶都可用來增強(qiáng)賬戶安全，防止可能通過網(wǎng)絡(luò)暴力破解Administrator賬戶密碼。為了保證系統(tǒng)的安全，系統(tǒng)管理員賬戶的密碼必須定期更改而且要滿足復(fù)雜程度要求。

    對(duì)于域中的各個(gè)組織單元中的用戶，建議使用復(fù)雜程度較高的密碼。具體設(shè)置可以通過管理員賬戶或組策略來實(shí)現(xiàn)。更改密碼復(fù)雜性要求可運(yùn)行g(shù)pedit．mse打開組策略編輯器-windows設(shè)置一賬戶策略一密碼策略進(jìn)行設(shè)置。

    (三)域控制器的優(yōu)越性。

    1．權(quán)限管理集中、管理成本下降。域環(huán)境、所有網(wǎng)絡(luò)資源、用戶管理都可以在域控制器上維護(hù)，便于集中管理。通過域管理可以有效的分發(fā)和指派軟件，實(shí)現(xiàn)網(wǎng)絡(luò)內(nèi)軟件的統(tǒng)一性。

    2．安全性能加強(qiáng)、權(quán)限更加分明。通過域安全策略可以關(guān)閉客戶端的USB接口和其他移動(dòng)存儲(chǔ)設(shè)備，防止企業(yè)機(jī)密資料的外泄。安全性完全與活動(dòng)目錄(Active Directory)集成，活動(dòng)目錄提供安全策略的存儲(chǔ)和應(yīng)用范圍，可以對(duì)目錄中的每個(gè)對(duì)象定義訪問控制。

    3．方便用戶使用各種共享資源及靈活的查詢機(jī)制。可由管理員指派登錄腳本映射分布式文件系統(tǒng)根目錄，統(tǒng)一管理。用戶登錄后就可以像使用本地盤符一樣使用網(wǎng)絡(luò)上的資源，且不需再次輸入密碼。同時(shí)，可使用“開始”菜單、“網(wǎng)上鄰居”或“Active Directory用戶和計(jì)算機(jī)”上的“搜索”命令，通過對(duì)象屬性快速查找網(wǎng)絡(luò)上的對(duì)象。

四、總結(jié)

    通過域控制器在局域網(wǎng)的運(yùn)作及實(shí)施，我公司計(jì)算機(jī)網(wǎng)絡(luò)已經(jīng)從原來的分散式管理升級(jí)到集中式管理模式上，提升了網(wǎng)絡(luò)系統(tǒng)的安全性，降低了網(wǎng)絡(luò)運(yùn)行成本。隨著公司的快速發(fā)展及網(wǎng)絡(luò)規(guī)模的逐步擴(kuò)大，對(duì)域控制的應(yīng)用也將從廣度和深度上不斷探索和改進(jìn)。

轉(zhuǎn)載請(qǐng)注明出處：拓步ERP資訊網(wǎng)http://www.ezxoed.cn/

本文標(biāo)題：域控制器在企業(yè)局域網(wǎng)中的應(yīng)用

本文網(wǎng)址：http://www.ezxoed.cn/html/support/1112154590.html