目前，企業內業務管理的自動化平臺已經普及比如ERP、OA管理系統等，企業人員基本上通過局域網上的自動化系統終端完成本職業務。網絡帶給企業便利的同時，也存在安全上的隱患。鑒于企業局域網網絡中計算機和用戶賬戶數量較多，為了實現高效管理，可以采用域控制器提升企業網絡安全程度，整合局域網內基于網絡的資源。

一、域控制器的概念

    域(Domain)是指網絡服務器和其他計算機的一種邏輯分組，是活動目錄的分區，定義了安全邊界，凡是在共享域邏輯范圍內的用戶都使用公共的安全機制和用戶賬戶信息。在活動目錄(Actire Dirdctory)中， 目錄存儲只有一種形式， 即域控制器(Domain Controller)，包括了完整的域目錄的信息。因此，每一個域中必須有一個域控制器。域控制器具有對整個域以及域中的所有計算機的管理權限，包含域內的賬戶、密碼，屬于該域的計算機等信息構成的數據庫。

二、企業域控規劃

    (一)設計原則。域控規劃應以現有的企業管理模式為標準，根據管理需要設計和規范用戶權限；應滿足安全要求及冗余需求，能夠保證其全天候無故障持續運行；應有數據保護機制，以保證企業數據的安全性和正確性；應滿足企業的應用需求，根據企業需求來配置域控制器提供的服務；應具有可擴展、經濟、實用等特性。

    (二)設計方案。域控制器選用windwos server entERPriseedition，提供域管理和域名解析，采用雙服務集群方案，一臺為主服務器，一臺備用服務器。雙機熱備，實現服務器全天候無故障運行，當一臺服務器出現故障可由備用服務器直接接管主服務器的工作；根據企業現有的管理模式在域中配置相應管理模型及OU單元；主服務器采用磁盤陣列技術保證服務器數據的安全和完整性，防止服務器硬件故障。

三、服務器配置管理

    (一)域控制器的安裝。要將用戶計算機加入域，可由網絡管理員進行相應的設置，為之授予必要的權限，實現文件與設備的共享。現就域控制器的安裝及操作使用介紹如下：

    1．安裝主域控制器。在windows server2003的控制面板中一管理工具一配置服務器安裝“Active Directory”，按提示操作，將主域控制器安裝成DNS服務器。

    2．配置OU組策略。組織單元：組織單元(Organizationa1 Units組織單元，簡稱OO)就是包含在域中特別有用的目錄對象類型。組策略：組策略是活動目錄上的最大應用，可讓許多重復的管理工作自動化、簡單化。組策略設置影響計算機或用戶賬戶，并可應用于站點、域或組織單元。它可用于配置安全選項、管理應用程序、管理桌面外觀、指派腳本，并將文件夾從本地計算機重新定向到網絡位置。組策略操作步驟：首先為各職能部門新建OU，并對OU的組策略進行設置，使其自動繼承本部OU的組策略。在組策略編輯窗口中，建議使用用戶配置下的組策略， 以便針對用戶所擔當的工作職責給予適當的權限。由于組策略內容很多，為了禁用不明來歷的外來存儲設備，杜絕修改計算機名、網絡、打印機等統一設置，可考慮設置域用戶漫游(為每個用戶準備一個存放漫游用戶配置文件的網絡存儲路徑)，無論用戶在局域網內任何一臺客戶端登錄，都會面對本人的自定義界面，行使本部主管在部門OU中為之設置的權限。

    (二)域控制器的應用。安裝好windows server 2003后，首先應該更改系統默認管理員賬戶的名稱和密碼，以增強系統安全性。使用win鍵+R或者在運行中鍵入命令gpedit．msc打開組策略，選擇本地計算機策略-windows設置-本地策略-安全策略選項，重命名系統管理員賬戶和創建一個具有管理員權限的賬戶，并禁用Administrator賬戶都可用來增強賬戶安全，防止可能通過網絡暴力破解Administrator賬戶密碼。為了保證系統的安全，系統管理員賬戶的密碼必須定期更改而且要滿足復雜程度要求。

    對于域中的各個組織單元中的用戶，建議使用復雜程度較高的密碼。具體設置可以通過管理員賬戶或組策略來實現。更改密碼復雜性要求可運行gpedit．mse打開組策略編輯器-windows設置一賬戶策略一密碼策略進行設置。

    (三)域控制器的優越性。

    1．權限管理集中、管理成本下降。域環境、所有網絡資源、用戶管理都可以在域控制器上維護，便于集中管理。通過域管理可以有效的分發和指派軟件，實現網絡內軟件的統一性。

    2．安全性能加強、權限更加分明。通過域安全策略可以關閉客戶端的USB接口和其他移動存儲設備，防止企業機密資料的外泄。安全性完全與活動目錄(Active Directory)集成，活動目錄提供安全策略的存儲和應用范圍，可以對目錄中的每個對象定義訪問控制。

    3．方便用戶使用各種共享資源及靈活的查詢機制。可由管理員指派登錄腳本映射分布式文件系統根目錄，統一管理。用戶登錄后就可以像使用本地盤符一樣使用網絡上的資源，且不需再次輸入密碼。同時，可使用“開始”菜單、“網上鄰居”或“Active Directory用戶和計算機”上的“搜索”命令，通過對象屬性快速查找網絡上的對象。

四、總結

    通過域控制器在局域網的運作及實施，我公司計算機網絡已經從原來的分散式管理升級到集中式管理模式上，提升了網絡系統的安全性，降低了網絡運行成本。隨著公司的快速發展及網絡規模的逐步擴大，對域控制的應用也將從廣度和深度上不斷探索和改進。

轉載請注明出處：拓步ERP資訊網http://www.guhuozai8.cn/

本文標題：域控制器在企業局域網中的應用

本文網址：http://www.guhuozai8.cn/html/support/1112154590.html