当前位置:文档之家› 局域网中域的建设与管理

局域网中域的建设与管理

。科技情报开发与经济SCI—TECHINFORMATIONDEVELOPMENT&ECONOMY2009年第19卷第22期

文章编号:1005--6033(2009)22—0080-03

局域网中域的建设与管理

侯敏

(太原煤气化第二焦化厂,山西太原,030024)

摘要:在局域网内建立域,用域组策略来管理各个工作站是一种行之有效的方法。介

绍了局域网内域的建立方法与配置以及域组策略的基本设置步骤。

关键词:局域网;域;域组策略;域控制器(DC)

中图分类号:TP393.1文献标识码:A

随着信息技术的迅速发展。局域网管理显得日趋重要起来,

在局域网内建立“域”,用域组策略来管理各个工作站,成为一种

有效可行的管理方法。只需在服务器端和客户端进行一些必要

的设置就可以在一个局域网内建立起一个域,利用域可以统一

修改需管理的计算机的设置,可以统一修改用户环境,还可以统

一部署软件等,这样可以不用去每个客户端设置系统安装软件,

从而简化了繁琐的网络管理工作,节约了管理的成本。

l域的工作原理

“域”的真正含义指的是服务器控制网络上的计算机能否加

人的计算机组合。“域”这个概念与工作组相似,它可以看作为一

个大的工作组,功能要比工作组更全面,它们的区别在于工作组

上一切的设置都是在本地机上进行的,包括各种策略.用户登录

也是登录到本地机的,密码是放在本地机的数据库来验证的;把

计算机加入域,各种策略由DC(域控制器)统一设定,用户名和

密码也是放到DC去验证,一个账号密码可以在同一域的任何一

台计算机登录。

在局域网中实行严格的管理对网络安全是非常必要的.在

对等网模式下,任何一台电脑只要接入网络,其他机器就都可以

访问共享资源,尽管对等网络上的共享文件可以加访问密码,但

是这样非常容易被破解,数据的传输非常不安全。在“域”模式

下,至少有一台服务器负责每一台联入网络的电脑和用户的验

证工作,相当于一个单位的门卫一样,称为“域控制器(Domain

Controller,简写为DC)”。DC里包含了由这个域的账户、密码、

属于这个域的计算机等信息构成的数据库。当电脑接入网络时。

域控制器首先要鉴别这台电脑是否属于这个域,用户使用的登

录账号是否存在、密码是否正确。如果以上信息有一样不正确,

那么域控制器就会拒绝这个用户从这台电脑登录。不能登录,用

户就不能访问服务器上有权限保护的资源,该用户就只能以对

等网用户的方式访问Windows共享的资源,这样就在一定程度

上保护了网络上的资源。

2域的建立

现以实例子说明企业中域的建立。

2.1网络拓扑

网络拓扑见图l。

DCI的lP地址为192.168.1.I

DC2的lP地址为192.168.1.2

1SA的IP地址为192.168.1.3

所有工作站的Ⅱ)地址在192.168.1.4至192.168.1.100之间

分配。

80收稿日期:2009--05~20

图1局域网拓扑图示例

2.2准备工作

命名DNS域名,建立DNS服务器,至少一个NTFS,分区必

须有一足够的硬盘空间,然后对服务器端和客户端进行设置。

(I)服务器端的主要设置。因为只有本地办公。所以只需要

单域就够了。服务器是两台DELL服务器,操作系统都是

Windows2003SERVER版。

DCl(192.168.1.1):主域控制器,域名qiye.corn,

IPl92.168.1.1;并配置为主DNS服务器(转发DNS请求到ISP的

DNS服务器lP,这样当客户机的DNS指向DCl时.不仅可以正

常使用局域网也可以访问因特网),备用DNS指向DC2;安装

WINS服务。

DC2(192.168.1.2):备份域控制器,DHCP服务器,建立作用

域192.168.1.0/24,提供192.168.1.10至192。168.1.100(具体提供

多少lP地址根据需要自定,关键是留出一部分lP给服务器用);

配置主DNS为192.168.I.2,备用DNS指向192.168.I.I.实现双

机热备的效果,即使DCI故障也能保证客户端可以正常使用网

络;配置作用域选项,其中网关为192.168.1.254,而DNS和

WINS服务器地址为192.168.1.1。

ISA(192.168.1-3):ISA服务器,作为软件防火墙连接互联

网,并配置客户端访问策略,将其加入域对特定的域用户进行访

问策略管理。

(2)客户端的主要设置。在客户端上统一规范计算机名称,

用域管理员用户将各个计算机名加入域qiye.eom中.用域管理

员账户安装各类常用软件,将1SA设为lE代理服务器,然后再以

每个客户端分配的用户登录计算机。用户可以通过查找来选择

用户、计算机、打印机、共享文件、组织单位等各类对象。

2.3建立0U

万方数据

侯敏局域网中域的建设与管理本刊E-mail:bjb@sxinfo.nel信息工作研究

在组织单元内可建立用户账户、组账户等对象,以便可以更容易管理资源.并可以通过组策略来管理域中用户的环境。

假设公司有人力资源部、行政部、财务都、工程部、市场部5个部门(虚拟的),为了管理及配置策略方便,建立以下OU层级。

建立一级OU名为“qiye”,在“qiye”下建3个二级OU,分别为“管理员”“公司领导“‘部门”。在“部门”下按部门名称建立5个部门OU.在每个2级OU和3级OU下分别建立安全组和用户,并把耀户加入相应的安全组。

用户账号建立原则:以工号为用户登录名,建立用户的详细资料,然后移动到相应的部门OU.并加人相应的安全组,员工的账号均为DomainUsers组。

3使用组策略来管理

客户机登录用户加入域后,默认情况下任何一个域账号可以在任何一台客户机登录到域使用该台客户机,可以设定各个用户只能合法登录的计算机与用户名绑定,从而在一定程度上增加了客户机的安全性。

组策略是域中一组账号或计算机账号的各种设置的组合。可以使用“组策略”管理MicrosoftWindowsServer2003家族包含的功能,如,组策略软件安装、管理模板、文件夹重定向、远程安装服务、安全设置、脚本(启动/关机和登录注销)和IntemetExplorer维护。组策略的设计关键在于有什么需求,有了需求再去设计该用什么策略来完成它。

首先确定所需策略设置的类型。策略设置通常划分为计算机系统设置、用户环境设置、要部署的应用程序包几部分。3.1组策略实例l——计算机系统设置

由于系统默认只有某些组内的用户才有权限在DC上登录,因此一般用户在利用DC登录时,会出现不允许交互登录的警告信息。

为了便于能在DC上利用一般的用户账户来登录,通过组策略来开放域内的所有用户,使其都可以在DC上登录,亦即修改“DefaultDomainControllersPolicy”,以便让“DomainUsers”组内的所有成员在DC上都具有“允许本地登录”的权限。

步骤l:执行操作。即“开始”一“管理工具”一“ActiveDirectory用户和计算机”-+右击DomainControllersOU“属性”_“组策略”。

步骤2:选择“DefaultDomainContmlle璐Policy”,单击“编辑”按钮运行“组策略编辑器”。

步骤3:在组策略对话框中执行操作。鄞“计算机配置”一“Windows设置”一“本地策略”一“用户权限分配”一双击右边的“允许本地登录”。

步骤4:单击“添加用户或组”按钮,选择DomainUsers组,单击“确定”按钮。

经过开放“允许本地登录”的权限给用户后,现在可以利用任何一个一般的域用户账户,来登录与测试“允许本机登录”的功能是否正常【”。

3.2组策略实例2------用户环境设置

此实例中,利用组策略中的“用户配置”,让“财务部”OU内的所有用户登录域后.禁止光盘、u盘、移动硬盘等的自动运行功能。

步骤I:执行操作。即“开始”一“管理T具”一“ActiveDirectory用户和计算机”一右击“财务部”Ou“属性”一“组策略”一单击“新建”按钮。

步骤2:修改默认的组策略名称“新建组策略对象”为“财务部GPO”。

步骤3:单击“编辑”按钮,运行“组策略编辑器”,然后再在组策略对话框中执行操作,“用户配置…‘管理模板…系统”双击右边的“关闭自动播放”选择“已启用”选项并确定。

步骤4:“财务部”OU内的用户只要在域内任何一台计算机

登录域,这个组策略的配置值就会应用到该用户,因此在利用“财务部”OU内的用户账户登录时,使用光盘、u盘或移动硬盘等

设备时,将不会自动打开文件夹。

3.3组策略实例3——部署应用程序

分发软件的一般步骤为:提供一个.msi的程序放在一个共享文件夹;利用组策略的软件安装找路径;选择发布脂派软件。

现傲一个指派给用户安装0IIice2003的实例。

(1)首先把要分发的软件包放在共享文件夹中,并给之相应的权限。

(2)DC中打开“AD用户与计算机”,为指定的OU设置组策略,新建一个组策略。

(3)选择“用户配置”一“软件设置”一“软件安装”,新建程序包。

(4)找到指定的共享文件夹(网络路径),选掸“已指派”。

(5)由于组策略生成后需要有个刷新时问,可以使用命令GPUPDATE进行立即生效。

(6)使用此OU中的用户登录系统后可以看到程序中已经有了Office工具。

(7)因为选择的是“指派给用户”,那么,当用户登录系统时看

到的Office2003其实没有真正安装,但第一次点击时才开始真正的安装过程;不过如果选择是“指派给计算机”的话,那么这台指定的计算机开机时会很慢,但当计算机进入系统后就会发现Offiee2003已经安装成功了。

4结语

综上所述,在域环境里来管理网络对于网络管理员来说是相当方便和实用的,所有网络资源,包括用户。均是在域控制器上维护.便于集中管理。所有用户只要登人到域,在域内均能进行身份验证,管理人员可以较好地管理计算机资源.管理网络不再是一个繁琐的过程。在日常工作中设置各式各样的组策略可以使局域网计算机管理达到事半功倍的效果,随着信息化的发展,网络管理成为一个值得深入研究的领域,域的应用给我们提供了全面的管理方式,大大降低了网络管理与维护的成本。

参考文献

[1]戴有炜.Windowsserver2003ActiveDirectory配置指南[M].北京:清华大学出版社,2006.

(责任编辑:郑光)

第一作者简介:侯敏,男,1978年11月生.2003年毕业于太原理工大学自动化专业,助理工程师,太原煤气化第二焦化厂,山西省太原市.030024.

81

万方数据

万方数据

局域网中域的建设与管理

作者:侯敏, HOU Min

作者单位:太原煤气化第二焦化厂,山西太原,030024

刊名:

科技情报开发与经济

英文刊名:SCI-TECH INFORMATION DEVELOPMENT & ECONOMY

年,卷(期):2009,19(22)

被引用次数:0次

参考文献(1条)

1.戴有炜Windows server 2003 Active Directory配置指南 2006

相似文献(10条)

1.期刊论文孟宪涛.池洁.刘力.唐文静.吴微.MENG Xian-tao.CHI Jie.LIU Li.TANG Wen-jing.WU Wei以SQL Server为平台搭建C/S模式的局域网-沈阳师范大学学报(自然科学版)2006,24(2)

以SQL Server为平台,通过Windows身份验证方式注册SQL Server服务器、搭建C/S模式局域网,是一种比通过SQL Server身份验证方式注册SQL Server服务器,搭建的C/S模式的局域网更为复杂但更安全的方式.该过程以配置服务器并提升为域控制器;在域控制器的 Active Directory中新建域用户帐户并授权,SQL Server企业管理器中新建域用户登录帐号;非域控制器主机加入域控制器指定域并以域用户身份登录Windows系统、登录指定域,以Windows身份验证方式访问域控制器上的SQL Server数据库这些步骤进行.

2.学位论文王丽丽局域网隐蔽取证系统的若干关键技术研究2007

随着计算机技术的发展和Internet的广泛运用,计算机犯罪也在不断增加。由于计算机犯罪的隐蔽性和匿名性等特点,使得对计算机犯罪的侦查非常困难。司法手段的落后,在一定程度上助长了计算机犯罪的嚣张气焰。利用法律手段对计算机犯罪行为予以制裁,其中关键的问题之一就是发展基于计算机和网络的各项取证技术。

本文研究了在对目标局域网的基本信息具有零知识的条件下,实现动态的局域网隐蔽取证的几项关键技术。

一是局域网的配置信息盲取技术,主要阐述了在对目标局域网的基本信息具有零知识的前提下,如何获取局域网的网络配置信息和域账户信息,然后探测目标局域网内存活主机及其操作系统类型和开放端口服务信息,最后定位网络域控制器,获取网络域账户信息的一系列技术手段。

二是局域网最高权限攫取及代码植入技术。获取目标局域网的最高权限是取证工作的关键之一。本文主要研究了在局域网中利用Windows操作系统、Microsoft SQL数据库系统的若干漏洞、利用网络服务的弱密码设置、ARP欺骗式网络嗅探等技术,获取目标局域网中的最高权限(域控制器或者重要服务器主机的系统SYSTEM权限),并远程植入取证代码。

三是取证代码隐蔽运行及自删除技术。本文阐述了利用svchost共享式服务所加载的DLL文件,替换为取证代码的DLL文件的技术,达到取证代码隐蔽运行的目的;实现取证代码自删除的技术;以及绕过注册表的监控躲避主动防御系统查杀的技术。

四是用户敏感数据和信息的获取技术,主要包括EFS密码证书、自动登录型用户密码和用户邮件数据。

3.期刊论文史苏静.马福贵域控制器在综合医院局域网管理中的运用-中国病案2007,8(5)

目的 以不占用系统资源,不借助第三方软件,由服务器端统一管理为出发点,进一步探讨综合医院局域网管理的方式和方法.方法 安装域控制器并实施容器策略的设置.结果 我院的局域网中由系统管理员授予的合理、安全的可操作权限.结论 域控制器在综合医院局域网中的使用,符合综合医院信息化建设的发展需求,有利于促进医院网络一体化管理.

4.会议论文顾星局域网广域宽带互联的实现2008

随着国民经济的发展,越来越多的政府部门、企业机构、事业单位不断增加分支机构,用于处理不同地域或者不同功能的事务。因为信息化、网络化程度的提高,这些单位都有一个需求:将不同地区的总部、分支、办事处的局域网进行互联,与外网相对隔离,便于工作信息的传送。这样就产生了局域网广域互联的问题。本文分析了用户局域网广域宽带互联的几种方式,并进行比较。

5.学位论文李佳基于角色等级的动态跨域授权模型研究2009

近年来,随着网络的飞速发展,分布式环境中的访问控制和授权管理作为安全服务的一个重要领域得到了快速的发展。尤其是办公自动化、电子商务的逐渐深入,政府部门、各单位和企业根据各自的业务需求建立了局域网并开发了各自的应用,而信息化的发展使得这些单域(在同一安全策略管理范围内的局域网)之间实现互连和信息共享的需求越来越迫切。在目前高度动态、异构化、分布式的现代信息系统中,跨越单个管理域的限制,在多个域之间进行安全互操作是一项非常必要的系统需求。但分布式系统中的访问控制,尤其是多管理域环境,由于安全策略异构、用户数量众多且动态变化和没有统一协调人等原因,使得安全管理面临更为复杂的情况。因此,如何进行恰当的访问控制,在有效支持互操作的同时确保系统安全成为至关重要的问题。

本文在管理多域访问控制中引入了角色等级的概念,综合分析了现有的基于授权管理基础设施PMI、属性证书和RBAC的访问控制模型,提出了一种基于角色等级的动态授权管理系统模型。该模型充分考虑了多域环境下由于不同管理域安全策略异构,如角色、权限命名差异和角色层次异构和职责分离约束差异等,实现了多域协同和信息共享。相比其他分布式授权管理系统模型,具有更强的实用性和安全性。论文详细描述了域内授权管理及域间角色的动态映射和授权步骤,并从逻辑结构方面对系统的实现做了详细设计。

6.期刊论文高帅.GAO Shuai局域网中工作组和域之间的差别-河北煤炭2008,""(3)

文章主要介绍了局域网中工作组和域的概念、两者的差别及其相关设置.

7.期刊论文张照录.Zhang Zhaolu实验室级局域网的组建技术及其实践-山东工程学院学报2001,15(1)

本文讨论了局域网的主要组建技术,并从实际出发,组建了拓扑结构物理上为星型,逻辑上为总线型的双绞线以太网。采用Windows NT的单域模型实现实验室级局域网所要求的网络功能,并进一步探讨了局域网的发展及相关问题。

8.学位论文郝刚互连局域网环境下网络管理系统的研究与实现1996

该文在介绍了网络管理基本功能和主要模型的基础上,重点对互连局环境下的网络管理进行了研究与探索.该文在连局域网环境下的网络管理研究中,提出了中心管理器和域管理器的概念,将全网划分成若干个域,每个域由一个域管理器来控制;全网设一个中心管理器,对各个域管理器进行控制,进而实现对全网的管理.在理论研究的基础上,设计并实现了一个网络管理软件包NK_Netwatch for Windows V1.0.该软件包在设计实现中,采用

Client/Server体系结构和面向对象的方法,域管理器与中心管理器采用不同的开发环境和工具,两大部分的通信协议通过信号文件、命令文件以及结果文件加以实现.

9.期刊论文周虹.孔毓伟小型办公局域网组建及Internet共享-企业家天地(下旬刊)2009,""(11)

本文的主要目的是组建机关办公局域网,该网主干为快速以太网,根据机关实际情况,将各部门、车间原有小型局域网、单机等通过光纤、2M、ADSL等传输介质共同连接到主干网络上,以达到尽可能使本网络覆盖较多的部门的目的,最终实现机关内部的办公自动化和无纸化需要.同时.为了方便业务联系和了解外部信息,设计采用ADSL共享方式连入Internet,访问外部信息.发布一些业务或公共信息.

10.期刊论文左树萍.王洪艳计算机局域网的两种模式工作组和域-沧州师范专科学校学报2005,21(4)

介绍组装计算机局域网时,在什么情况用工作组模式,在什么情况用域模式,以及如何安装.

本文链接:https://www.doczj.com/doc/5916633227.html,/Periodical_kjqbkfyjj200922041.aspx

授权使用:华东理工大学图书馆(hdlgdxtsg),授权号:43fb9b27-e2b2-4a97-9252-9e31008f814b

下载时间:2010年11月17日

相关主题
相关文档 最新文档