|
域管理的方案與應(yīng)用
資源天下 2019/8/14 10:51:17
1. 計(jì)算機(jī)域的一些基本概念:
域是一個(gè)有安全邊界的計(jì)算機(jī)集合����,在同一個(gè)域中的計(jì)算機(jī)彼此之間已經(jīng)建立了信任關(guān)系,在域內(nèi)訪問(wèn)其他機(jī)器���,不再需要被訪問(wèn)機(jī)器的許可了����。為什么是這樣的呢�����?因?yàn)樵诩尤胗虻臅r(shí)候,管理員為每個(gè)計(jì)算機(jī)在域中建立了一個(gè)計(jì)算機(jī)帳戶��,這個(gè)帳戶和用戶帳戶一樣�����,也有密碼保護(hù)的����?墒谴蠹乙獑(wèn)了���,我沒(méi)有輸入過(guò)什么密碼啊����,是的����,你確實(shí)沒(méi)有輸入,計(jì)算機(jī)帳戶的密碼不叫密碼�,在域中稱為登錄票據(jù),它是由域控制器上的KDC服務(wù)來(lái)頒發(fā)和維護(hù)的���。是由域服務(wù)器來(lái)統(tǒng)一設(shè)置用戶跟密碼的.
其實(shí)上我們可以把域和工作組聯(lián)系起來(lái)理解,在工作組上你一切的設(shè)置在本機(jī)上進(jìn)行包括各種策略�,用戶登錄也是登錄在本機(jī)的�����,密碼是放在本機(jī)的數(shù)據(jù)庫(kù)來(lái)驗(yàn)證的�。而如果你的計(jì)算機(jī)加入域的話,各種策略是域控制器統(tǒng)一設(shè)定��,用戶名和密碼也是放到域控制器去驗(yàn)證�����,也就是說(shuō)你的賬號(hào)密碼可以在同一域的任何一臺(tái)計(jì)算機(jī)登錄�����。
不過(guò)在“域”模式下���,至少有一臺(tái)服務(wù)器負(fù)責(zé)每一臺(tái)聯(lián)入網(wǎng)絡(luò)的電腦和用戶的驗(yàn)證工作�����,相當(dāng)于一個(gè)單位的門衛(wèi)一樣�,稱為“域控制器”。域控制器中包含了由這個(gè)域的賬戶�����、密碼��、屬于這個(gè)域的計(jì)算機(jī)等信息構(gòu)成的數(shù)據(jù)庫(kù)��。當(dāng)電腦聯(lián)入網(wǎng)絡(luò)時(shí)��,域控制器首先要鑒別這臺(tái)電腦是否是屬于這個(gè)域的�����,用戶使用的登錄賬號(hào)是否存在�����、密碼是否正確����。如果以上信息有一樣不正確,那么域控制器就會(huì)拒絕這個(gè)用戶從這臺(tái)電腦登錄�����。不能登錄,用戶就不能訪問(wèn)服務(wù)器上有權(quán)限保護(hù)的資源�,他只能以對(duì)等網(wǎng)用戶的方式訪問(wèn)Windows共享出來(lái)的資源,這樣就在一定程度上保護(hù)了網(wǎng)絡(luò)上的資源���。
要把一臺(tái)電腦加入域,僅僅使它和服務(wù)器在網(wǎng)上鄰居中能夠相互“看”到是遠(yuǎn)遠(yuǎn)不夠的��,必須要由網(wǎng)絡(luò)管理員進(jìn)行相應(yīng)的設(shè)置���,把這臺(tái)電腦加入到域中����。這樣才能實(shí)現(xiàn)文件的共享��。集中統(tǒng)一�,便于管理。
2. 網(wǎng)絡(luò)施行域管理的優(yōu)點(diǎn)
1.客戶機(jī)加入域�、賬戶以域用戶登錄,通過(guò)組策略設(shè)置計(jì)算機(jī)��、用戶策略能夠增強(qiáng)客戶端安全性���、減少客戶端故障��,降低維護(hù)成本�����。
2.��、使用漫游賬戶和文件夾重定向技術(shù)��,個(gè)人賬戶的工作文件及數(shù)據(jù)等可以存儲(chǔ)在服務(wù)器上����,統(tǒng)一進(jìn)行備份、管理����,用戶的數(shù)據(jù)更加安全、有保障���。當(dāng)客戶機(jī)故障時(shí)����,只需使用其他客戶機(jī)安裝相應(yīng)軟件以用戶帳號(hào)登錄即可���,用戶會(huì)發(fā)現(xiàn)自己的文件仍然在“原來(lái)的位置”(比如�����,我的文檔)��,沒(méi)有丟失�,從而可以更快地進(jìn)行故障修復(fù)。
3.安全性高�����。有利于企業(yè)的一些保密資料的管理,比如說(shuō)哪一個(gè)文件只讓哪個(gè)人看,或者讓某些人可以看,但不可以刪/改/移等
3. 施行域管理的步驟以及需要準(zhǔn)備的事項(xiàng)
1.首先將所有的計(jì)算機(jī)重新命名���,以拼音或者英文命名,使用中文容易導(dǎo)致網(wǎng)絡(luò)某些功能失效�����。
2.需要準(zhǔn)備一臺(tái)域服務(wù)器���,對(duì)下面域用戶進(jìn)行管理用的����。域服務(wù)器建議購(gòu)買HP、浪潮品牌的���,不建議使用聯(lián)想�、IBM等其他牌子��。
3.準(zhǔn)備一套網(wǎng)絡(luò)殺毒軟件����,每次只需要域服務(wù)器上的殺毒服務(wù)端更新病毒庫(kù)即可。建議軟件:賽門鐵克·瑞星網(wǎng)絡(luò)殺毒�����。
4.內(nèi)部郵件分發(fā)系統(tǒng)���,建議購(gòu)買正版的郵件系統(tǒng)�。只允許客戶端將郵件發(fā)往內(nèi)部��,而無(wú)法直接發(fā)送至外部網(wǎng)絡(luò)���,經(jīng)由管理人員審核以后����。才可以發(fā)送。
5.將所有機(jī)器的光驅(qū)拆卸下來(lái)���,防止客戶端機(jī)器擅自更改系統(tǒng)����,破解系統(tǒng)密碼�,任意拷貝東西。
6.將USB口使用封條封住����,任何人禁止使用USB輸入輸出設(shè)備,防止內(nèi)部資料流出���。
7.禁止將外來(lái)計(jì)算機(jī)與內(nèi)部網(wǎng)絡(luò)連接,既個(gè)人計(jì)算機(jī)禁止帶入企業(yè)使用��,以及與網(wǎng)絡(luò)連接�。最大程度防止資料被惡意拷貝,以及中毒��。禁止個(gè)人使用USB設(shè)備拷貝文件�。
4. 備注
4.1 建議服務(wù)器配置
四核CPU、4G內(nèi)存�����、千兆網(wǎng)卡、2T~~10T之間大小的硬盤(需要做磁盤陣列)��、不間斷電源(一千伏安��、30分鐘以上)WINDOWS 2003
4.2 建議網(wǎng)絡(luò)環(huán)境
網(wǎng)絡(luò)交換機(jī)為千兆交換機(jī)(最次主交換為千兆交換機(jī))����,否則網(wǎng)絡(luò)登錄會(huì)比較慢。
4.3 建議網(wǎng)絡(luò)殺毒軟件
賽門鐵克 標(biāo)準(zhǔn)50用戶版以上��。
|