目前,企业内业务管理的自动化平台已经普及比如ERP、OA管理系统等,企业人员基本上通过局域网上的自动化系统终端完成本职业务。网络带给企业便利的同时,也存在安全上的隐患。鉴于企业局域网网络中计算机和用户账户数量较多,为了实现高效管理,可以采用域控制器提升企业网络安全程度,整合局域网内基于网络的资源。
一、域控制器的概念
域(Domain)是指网络服务器和其他计算机的一种逻辑分组,是活动目录的分区,定义了安全边界,凡是在共享域逻辑范围内的用户都使用公共的安全机制和用户账户信息。在活动目录(Actire Dirdctory)中, 目录存储只有一种形式, 即域控制器(Domain Controller),包括了完整的域目录的信息。因此,每一个域中必须有一个域控制器。域控制器具有对整个域以及域中的所有计算机的管理权限,包含域内的账户、密码,属于该域的计算机等信息构成的数据库。
二、企业域控规划
(一)设计原则。域控规划应以现有的企业管理模式为标准,根据管理需要设计和规范用户权限;应满足安全要求及冗余需求,能够保证其全天候无故障持续运行;应有数据保护机制,以保证企业数据的安全性和正确性;应满足企业的应用需求,根据企业需求来配置域控制器提供的服务;应具有可扩展、经济、实用等特性。
(二)设计方案。域控制器选用windwos server enterpriseedition,提供域管理和域名解析,采用双服务集群方案,一台为主服务器,一台备用服务器。双机热备,实现服务器全天候无故障运行,当一台服务器出现故障可由备用服务器直接接管主服务器的工作;根据企业现有的管理模式在域中配置相应管理模型及OU单元;主服务器采用磁盘阵列技术保证服务器数据的安全和完整性,防止服务器硬件故障。
三、服务器配置管理
(一)域控制器的安装。要将用户计算机加入域,可由网络管理员进行相应的设置,为之授予必要的权限,实现文件与设备的共享。现就域控制器的安装及操作使用介绍如下:
1.安装主域控制器。在windows server2003的控制面板中一管理工具一配置服务器安装“Active Directory”,按提示操作,将主域控制器安装成DNS服务器。
2.配置OU组策略。组织单元:组织单元(Organizationa1 Units组织单元,简称OO)就是包含在域中特别有用的目录对象类型。组策略:组策略是活动目录上的最大应用,可让许多重复的管理工作自动化、简单化。组策略设置影响计算机或用户账户,并可应用于站点、域或组织单元。它可用于配置安全选项、管理应用程序、管理桌面外观、指派脚本,并将文件夹从本地计算机重新定向到网络位置。组策略操作步骤:首先为各职能部门新建OU,并对OU的组策略进行设置,使其自动继承本部OU的组策略。在组策略编辑窗口中,建议使用用户配置下的组策略, 以便针对用户所担当的工作职责给予适当的权限。由于组策略内容很多,为了禁用不明来历的外来存储设备,杜绝修改计算机名、网络、打印机等统一设置,可考虑设置域用户漫游(为每个用户准备一个存放漫游用户配置文件的网络存储路径),无论用户在局域网内任何一台客户端登录,都会面对本人的自定义界面,行使本部主管在部门OU中为之设置的权限。
(二)域控制器的应用。安装好windows server 2003后,首先应该更改系统默认管理员账户的名称和密码,以增强系统安全性。使用win键+R或者在运行中键入命令gpedit.msc打开组策略,选择本地计算机策略-windows设置-本地策略-安全策略选项,重命名系统管理员账户和创建一个具有管理员权限的账户,并禁用Administrator账户都可用来增强账户安全,防止可能通过网络暴力破解Administrator账户密码。为了保证系统的安全,系统管理员账户的密码必须定期更改而且要满足复杂程度要求。
对于域中的各个组织单元中的用户,建议使用复杂程度较高的密码。具体设置可以通过管理员账户或组策略来实现。更改密码复杂性要求可运行gpedit.mse打开组策略编辑器-windows设置一账户策略一密码策略进行设置。
(三)域控制器的优越性。
1.权限管理集中、管理成本下降。域环境、所有网络资源、用户管理都可以在域控制器上维护,便于集中管理。通过域管理可以有效的分发和指派软件,实现网络内软件的统一性。
2.安全性能加强、权限更加分明。通过域安全策略可以关闭客户端的USB接口和其他移动存储设备,防止企业机密资料的外泄。安全性完全与活动目录(Active Directory)集成,活动目录提供安全策略的存储和应用范围,可以对目录中的每个对象定义访问控制。
3.方便用户使用各种共享资源及灵活的查询机制。可由管理员指派登录脚本映射分布式文件系统根目录,统一管理。用户登录后就可以像使用本地盘符一样使用网络上的资源,且不需再次输入密码。同时,可使用“开始”菜单、“网上邻居”或“Active Directory用户和计算机”上的“搜索”命令,通过对象属性快速查找网络上的对象。
四、总结
通过域控制器在局域网的运作及实施,我公司计算机网络已经从原来的分散式管理升级到集中式管理模式上,提升了网络系统的安全性,降低了网络运行成本。随着公司的快速发展及网络规模的逐步扩大,对域控制的应用也将从广度和深度上不断探索和改进。