一��、什么是AD域
域”的真正含義指的是服務(wù)器控制網(wǎng)絡(luò)上的計(jì)算機(jī)能否加入的計(jì)算機(jī)組合�。
一提到組合����,勢(shì)必需要嚴(yán)格的控制。所以實(shí)行嚴(yán)格的管理對(duì)網(wǎng)絡(luò)安全是非常必要的���。在對(duì)等網(wǎng)模式下,任何一臺(tái)電腦只要接入網(wǎng)絡(luò)�,其他機(jī)器就都可以訪問(wèn)共享資源,如共享上網(wǎng)等���。盡管對(duì)等網(wǎng)絡(luò)上的共享文件可以加訪問(wèn)密碼�,但是非常容易被破解����。數(shù)據(jù)的傳輸是非常不安全的。不過(guò)在“域”模式下���,至少有一臺(tái)服務(wù)器負(fù)責(zé)每一臺(tái)聯(lián)入網(wǎng)絡(luò)的電腦和用戶的驗(yàn)證工作�,相當(dāng)于一個(gè)單位的門衛(wèi)一樣���,稱為“域控制器”��。
域控制器中包含了由這個(gè)域的賬戶���、密碼���、屬于這個(gè)域的計(jì)算機(jī)等信息構(gòu)成的數(shù)據(jù)庫(kù)。當(dāng)電腦聯(lián)入網(wǎng)絡(luò)時(shí)����,域控制器首先要鑒別這臺(tái)電腦是否是屬于這個(gè)域的,用戶使用的登錄賬號(hào)是否存在��、密碼是否正確����。如果以上信息有一樣不正確,那么域控制器就會(huì)拒絕這個(gè)用戶從這臺(tái)電腦登錄��。不能登錄�,用戶就不能訪問(wèn)服務(wù)器上有權(quán)限保護(hù)的資源,他只能以對(duì)等網(wǎng)用戶的方式訪問(wèn)Windows共享出來(lái)的資源�����,這樣就在一定程度上保護(hù)了網(wǎng)絡(luò)上的資源。要把一臺(tái)電腦加入域��,僅僅使它和服務(wù)器在網(wǎng)上鄰居中能夠相互“看”到是遠(yuǎn)遠(yuǎn)不夠的�����,必須要由網(wǎng)絡(luò)管理員進(jìn)行相應(yīng)的設(shè)置���,把這臺(tái)電腦加入到域中�。這樣才能實(shí)現(xiàn)文件的共享���。
成都創(chuàng)新互聯(lián)公司擁有10多年成都網(wǎng)站建設(shè)工作經(jīng)驗(yàn),為各大企業(yè)提供成都網(wǎng)站建設(shè)、網(wǎng)站建設(shè)服務(wù)��,對(duì)于網(wǎng)頁(yè)設(shè)計(jì)���、PC網(wǎng)站建設(shè)(電腦版網(wǎng)站建設(shè))�����、APP應(yīng)用開(kāi)發(fā)��、wap網(wǎng)站建設(shè)(手機(jī)版網(wǎng)站建設(shè))�����、程序開(kāi)發(fā)�����、網(wǎng)站優(yōu)化(SEO優(yōu)化)�����、微網(wǎng)站�、空間域名等,憑借多年來(lái)在互聯(lián)網(wǎng)的打拼���,我們?cè)诨ヂ?lián)網(wǎng)網(wǎng)站建設(shè)行業(yè)積累了很多網(wǎng)站制作�、網(wǎng)站設(shè)計(jì)����、網(wǎng)絡(luò)營(yíng)銷經(jīng)驗(yàn),集策劃��、開(kāi)發(fā)��、設(shè)計(jì)�、營(yíng)銷�����、管理等網(wǎng)站化運(yùn)作于一體����,具備承接各種規(guī)模類型的網(wǎng)站建設(shè)項(xiàng)目的能力��。
二���、為什么需要AD域
微軟管理計(jì)算機(jī)可以使用域和工作組兩個(gè)模型��,默認(rèn)情況下計(jì)算機(jī)安裝完操作系統(tǒng)后是隸屬于工作組的�����。我們從很多書里可以看到對(duì)工作組特點(diǎn)的描述,例如工作組屬于分散管理�,適合小型網(wǎng)絡(luò)等等。
實(shí)例:
假設(shè)現(xiàn)在工作組內(nèi)有兩臺(tái)計(jì)算機(jī)����,一臺(tái)是服務(wù)器,一臺(tái)是客戶機(jī)���。服務(wù)器的職能大家都知道���,無(wú)非是提供資源和分配資源��。服務(wù)器提供的資源有多種形式��,可以是共享文件夾���,可以是共享打印機(jī),可以是電子郵箱�����,也可以是數(shù)據(jù)庫(kù)等等?��,F(xiàn)在服務(wù)器提供一個(gè)簡(jiǎn)單的共享文件夾作為服務(wù)資源���,我們的任務(wù)是要把這個(gè)共享文件夾的訪問(wèn)權(quán)限授予公司內(nèi)的員工張三,注意����,這個(gè)文件夾只有張三一個(gè)人可以訪問(wèn)!那我們就要考慮一下如何才能實(shí)現(xiàn)這個(gè)任務(wù),一般情況下管理員的思路都是在服務(wù)器上為張三這個(gè)用戶創(chuàng)建一個(gè)用戶賬號(hào)��,如果訪問(wèn)者能回答出張三賬號(hào)的用戶名和密碼����,我們就認(rèn)可這個(gè)訪問(wèn)者就是張三。
看完了這個(gè)實(shí)例之后���,很多朋友可能會(huì)想���,在工作組模式下這個(gè)問(wèn)題解決得很好啊,我們不是成功地實(shí)現(xiàn)了預(yù)期目標(biāo)嘛���!沒(méi)錯(cuò)���,在這個(gè)小型網(wǎng)絡(luò)中,確實(shí)工作組模型沒(méi)有暴露出什么問(wèn)題�。但是我們要把問(wèn)題擴(kuò)展一下!現(xiàn)在假設(shè)公司不是一臺(tái)服務(wù)器���,而是500臺(tái)服務(wù)器,這大致是一個(gè)中型公司的規(guī)模�,那么我們的麻煩就來(lái)了。如果這500臺(tái)服務(wù)器上都有資源要分配給張三�,那會(huì)有什么樣的后果呢��?由于工作組的特點(diǎn)是分散管理�,那么意味著每臺(tái)服務(wù)器都要給張三創(chuàng)建一個(gè)用戶賬號(hào)���!張三這個(gè)用戶就必須痛不欲生地記住自己在每個(gè)服務(wù)器上的用戶名和密碼�����。而服務(wù)器管理員也好不到哪兒去���,每個(gè)用戶賬號(hào)都重新創(chuàng)建500次!如果公司內(nèi)有1000人呢��?我們難以想象這么管理網(wǎng)絡(luò)資源的后果�,這一切的根源都是由于工作組的分散管理!現(xiàn)在大家明白為什么工作組不適合在大型的網(wǎng)絡(luò)環(huán)境下工作了吧���,工作組這種散漫的管理方式和大型網(wǎng)絡(luò)所要求的高效率是背道而馳的���。
2.1、權(quán)限管理集中����、管理成本下降
域環(huán)境��,所有網(wǎng)絡(luò)資源����,包括用戶���,均是在域控制器上維護(hù)�,便于集中管理����。所有用戶只要登入到域,在域內(nèi)均能進(jìn)行身份驗(yàn)證����,管理人員可以較好的管理計(jì)算機(jī)資源,管理網(wǎng)絡(luò)的成本大大降低���。防止公司員工在客戶端隨意安裝軟件, 能夠增強(qiáng)客戶端安全性�、減少客戶端故障����,降低維護(hù)成本����。通過(guò)域管理可以有效的分發(fā)和指派軟件�、補(bǔ)丁等�����,實(shí)現(xiàn)網(wǎng)絡(luò)內(nèi)的一起安裝����,保證網(wǎng)絡(luò)內(nèi)軟件的統(tǒng)一性。限制員工上網(wǎng)環(huán)境�,禁止訪問(wèn)非工作以外的其他網(wǎng)站。
2.2���、安全性能加強(qiáng)��、權(quán)限更加分明
有利于公司的一些保密資料的管理,比如說(shuō)某個(gè)盤允許某個(gè)人可以讀寫���,但另一個(gè)人就不可以讀寫;哪一個(gè)文件只讓哪個(gè)人看���;或者讓某些人可以看,但不可以刪/改/移等��?����?梢苑獾艨蛻舳说腢SB端口���,防止公司機(jī)密資料的外泄����。安全性完全與活動(dòng)目錄集成�。
不僅可在目錄中的每個(gè)對(duì)象上定義訪問(wèn)控制,而且還可在每個(gè)對(duì)象的屬性上定義�����。
活動(dòng)目錄提供安全策略的存儲(chǔ)和應(yīng)用范圍��。
安全策略可包含帳戶信息:如域范圍內(nèi)的密碼限制或?qū)μ囟ㄓ蛸Y源的訪問(wèn)權(quán)���;通過(guò)組策略設(shè)置下發(fā)并執(zhí)行安全策略���。
2.3、賬戶漫游和文件夾重定向
個(gè)人賬戶的工作文件及數(shù)據(jù)等可以存儲(chǔ)在服務(wù)器上���,統(tǒng)一進(jìn)行備份���、管理����,用戶的數(shù)據(jù)更加安全�����、有保障��。當(dāng)客戶機(jī)故障時(shí)�,只需使用其他客戶機(jī)安裝相應(yīng)軟件以用戶帳號(hào)登錄即可���,用戶會(huì)發(fā)現(xiàn)自己的文件仍然在“原來(lái)的位置”(比如����,我的文檔)�,沒(méi)有丟失,從而可以更快地進(jìn)行故障修復(fù)��。在服務(wù)器離線時(shí)(故障或其他情況)��,“脫機(jī)文件夾”技術(shù)會(huì)自動(dòng)讓用戶使用文件的本地緩存版本繼續(xù)工作,并在注銷或登錄系統(tǒng)時(shí)與服務(wù)器上的文件同步��,保證用戶的工作不會(huì)被打斷�����。
2.4����、方便用戶使用各種共享資源
可由管理員指派登錄腳本映射分布式文件系統(tǒng)根目錄,統(tǒng)一管理���。用戶登錄后就可以像使用本地盤符一樣�����,使用網(wǎng)絡(luò)上的資源��,且不需再次輸入密碼����,用戶也只需記住一對(duì)用戶名/密碼即可����。各種資源的訪問(wèn)�����、讀取���、修改權(quán)限均可設(shè)置,不同的賬戶可以有不同的訪問(wèn)權(quán)限�。即使資源位置改變,用戶也不需任何操作�,只需管理員修改鏈接指向并設(shè)置相關(guān)權(quán)限即可�����,用戶甚至不會(huì)意識(shí)到資源位置的改變��,不用像從前那樣����,必須記住哪些資源在哪臺(tái)服務(wù)器上。
網(wǎng)站標(biāo)題:淺談AD域
文章源于:
http://weahome.cn/article/jeogei.html
重慶分公司
重慶分公司
