AD域项目说明
一、权限管理集中、管理成本下降
域环境,所有网络资源,包括用户,均是在域控制器上维护,便于集中管理。所有用户只要登入到域,在域内均能进行身份验证,管理人员可以较好的管理计算机资源,管理网络的成本大大降低。防止公司员工在客户端随意安装软件, 能够增强客户端安全性、减少客户端故障,降低维护成本。通过域管理可以有效的分发和指派软件、补丁等,实现网络内的一起安装,保证网络内软件的统一性。限制员工上网环境,禁止访问非工作以外的其他网站。
二、安全性能加强、权限更加分明
有利于企业的一些保密资料的管理,比如说某个盘允许某个人可以读写,但另一个人就不可以读写;哪一个文件只让哪个人看;或者让某些人可以看,但不可以删/改/移等。可以封掉客户端的USB端口,防止公司机密资料的外泄。安全性完全与活动目录(Active
Directory) 集成。不仅可在目录中的每个对象上定义访问控制,而且还可在每个对象的属性上定义。活动目录(Active
Directory)提供安全策略的存储和应用范围。安全策略可包含帐户信息:如域范围内的密码限制或对特定域资源的访问权;通过组策略设置下发并执行安全策略。
三、账户漫游和文件夹重定向
个人账户的工作文件及数据等可以存储在服务器上,统一进行备份、管理,用户的数据更加安全、有保障。当客户机故障时,只需使用其他客户机安装相应软件以用户帐号登录即可,用户会发现自己的文件仍然在“原来的位置”(比如,我的文档),没有丢失,从而可以更快地进行故障修复。在服务器离线时(故障或其他情况),“脱机文件夹”技术会自动让用户使用文件的本地缓存版本继续工作,并在注销或登录系统时与服务器上的文件同步,保证用户的工作不会被打断。
四、方便用户使用各种共享资源
可由管理员指派登录脚本映射分布式文件系统根目录,统一管理。用户登录后就可以像使用本地盘符一样,使用网络上的资源,且不需再次输入密码,用户也只需记住一对用户名/密码即可。各种资源的访问、读取、修改权限均可设置,不同的账户可以有不同的访问权限。即使资源位置改变,用户也不需任何操作,只需管理员修改链接指向并设置相关权限即可,用户甚至不会意识到资源位置的改变,不用像从前那样,必须记住哪些资源在哪台服务器上。
五、SMS系统管理服务(System Management Server)
通过能够分发应用程序、系统补丁等,用户可以选择安装,也可以由系统管理员指派自动安装。并能集中管理系统补丁(如WindowsUpdates),不需每台客户端服务器都下载同样的补丁,从而节省大量网络带宽。
六、灵活的查询机制
用户和管理员可使用“开始”菜单、“网上邻居”或“ActiveDirectory 用户和计算机”上的“搜索”命令,通过对象属性快速查找网络上的对象。例如,您可通过名字、姓氏、电子邮件名、办公室位置或用户帐户的其他属性来查找用户。通过使用全局编录来优化查找信息。
七、扩展性能较好
WIN2K的活动目录具有很强的可扩展性,管理员可以在计划中增加新的对象类,或者给现有的对象类增加新的属性。计划包括可以存储在目录中的每一个对象类的定义和对象类的属性。
八、方便在 MS 软件方面集成
如ISA、Exchange、Team Foundation Server、SharePoint、 SQL Server等。
J九、域的规划建议
1、系统集成在做企业网络维护过程中,采用单域单站点管理模式,建设AD与BAD,即主域控器与备份域控制器,在其下面采用OU(组织单元)的模式进行集中管理各部门人员与电脑。此种管理模式,成本降低,且减少管理复杂度和维护量。
2、AD(主域控制器):公司所有权限管理,用户建立以及各种策略、软件等的管理及实施到每台电脑。
3、BAD(备份域控制器):采用与AD完全相同的设置,继承AD上的所有管理资料,防止AD出现故障后,公司电脑无法登陆AD和使用网络资源,,将BAD服务器做成WSUS服务器(windows补丁服务器),管理公司所有电脑的补丁的下载与提供安装的服务,如有需要还可集成ISA SERVER服务器,进行公司网络的管控(上网行为管理)
4、域的服务器配置建议在XEON 2.8G 4G内存,硬盘视需求而定,硬盘做RAID,AD数据定期做完整,增量,异地备份。
域英文叫DOMAIN
域(Domain)是Windows网络中独立运行的单位,域之间相互访问则需要建立信任关系(即Trust Relation)。信任关系是连接在域与域之间的桥梁。当一个域与其他域建立了信任关系后,2个域之间不但可以按需要相互进行管理,还可以跨网分配文件和打印机等设备资源,使不同的域之间实现网络资源的共享与管理。
域既是 Windows 网络操作系统的逻辑组织单元,也是Internet的逻辑组织单元,在 Windows 网络操作系统中,域是安全边界。域管理员只能管理域的内部,除非其他的域显式地赋予他管理权限,他才能够访问或者管理其他的域;每个域都有自己的安全策略,以及它与其他域的安全信任关系。
域:域是一种管理边界,用于一组计算机共享共用的安全数据库,域实际上就是一组服务器和工作站的集合。
域在文件系统中,有时也称做“字段”,是指数据中不可再分的基本单元。一个域包含一个值。如学生的名字等。可以通过数据类型(如二进制、字符、字符串等)和长度(占用的字节数)两个属性对其进行描述。
域与工作组的关系
其实上我们可以把域和工作组联系起来理解,在工作组上你一切的设置在本机上进行包括各种策略,用户登录也是登录在本机的,密码是放在本机的数据库来验证的。而如果你的计算机加入域的话,各种策略是域控制器统一设定,用户名和密码也是放到域控制器去验证,也就是说你的账号密码可以在同一域的任何一台计算机登录。
如果说工作组是“免费的旅店”那么域(Domain)就是“星级的宾馆”;工作组可以随便出出进进,而域则需要严格控制。“域”的真正含义指的是服务器控制网络上的计算机能否加入的计算机组合。一提到组合,势必需要严格的控制。所以实行严格的管理对网络安全是非常必要的。在对等网模式下,任何一台电脑只要接入网络,其他机器就都可以访问共享资源,如共享上网等。尽管对等网络上的共享文件可以加访问密码,但是非常容易被破解。在由Windows 9x构成的对等网中,数据的传输是非常不安全的。
工作组是一群计算机的集合,它仅仅是一个逻辑的集合,各自计算机还是各自管理的,你要访问其中的计算机,还是要到被访问计算机上来实现用户验证的。而域不同,域是一个有安全边界的计算机集合,在同一个域中的计算机彼此之间已经建立了信任关系,在域内访问其他机器,不再需要被访问机器的许可了。为什么是这样的呢?因为在加入域的时候,管理员为每个计算机在域中(可和用户不在同一域中)建立了一个计算机帐户,这个帐户和用户帐户一样,也有密码保护的。可是大家要问了,我没有输入过什么密码啊,是的,你确实没有输入,计算机帐户的密码不叫密码,在域中称为登录票据,它是由2000的DC(域控制器)上的KDC服务来颁发和维护的。为了保证系统的安全,KDC服务每30天会自动更新一次所有的票据,并把上次使用的票据记录下来。周而复始。也就是说服务器始终保存着2个票据,其有效时间是60天,60天后,上次使用的票据就会被系统丢弃。如果你的GHOST备份里带有的票据是60天的,那么该计算机将不能被KDC服务验证,从而系统将禁止在这个计算机上的任何访问请求(包括登录),解决的方法呢,简单的方法使将计算机脱离域并重新加入,KDC服务会重新设置这一票据。或者使用2000资源包里的NETDOM命令强制重新设置安全票据。因此在有域的环境下,请尽量不要在计算机加入域后使用GHOST备份系统分区,如果作了,请在恢复时确认备份是在60天内作的,如果超出,就最好联系你的系统管理员,你可以需要管理员重新设置计算机安全票据,否则你将不能登录域环境。
域控制器
不过在“域”模式下,至少有一台服务器负责每一台联入网络的电脑和用户的验证工作,相当于一个单位的门卫一样,称为“域控制器(Domain Controller,简写为DC)”。
域控制器中包含了由这个域的账户、密码、属于这个域的计算机等信息构成的数据库。当电脑联入网络时,域控制器首先要鉴别这台电脑是否是属于这个域的,用户使用的登录账号是否存在、密码是否正确。如果以上信息有一样不正确,那么域控制器就会拒绝这个用户从这台电脑登录。不能登录,用户就不能访问服务器上有权限保护的资源,他只能以对等网用户的方式访问Windows共享出来的资源,这样就在一定程度上保护了网络上的资源。
要把一台电脑加入域,仅仅使它和服务器在网上邻居中能够相互“看”到是远远不够的,必须要由网络管理员进行相应的设置,把这台电脑加入到域中。这样才能实现文件的共享。集中统一,便于管理。
网络用语
Domain:网络用语
Internet地址的主要子部分,位于最后一个圆点之后。在美国标准的域如下所示:
域 意义
.com Commercial(商业组织)
.edu Educational(教育机构)
.gov Government(政府部门)
.mil Military(军事部门)
.org Non-Profit organization(非盈利组织)
.net Network(主要网络支持中心)
在美国之外,最高层域通常是国家域,例如.cn 代表中国(china)等等。
Matlab 中的语言“域”
AD域的好处多多,可以充分管理,计算机,用户,联系人,组织单位的一些想象数据等!ADManager Plus可以同时管理AD域、Exchange、O365、谷歌套件、NTFS等,正常情况下需要一个个的去进行管理,有了ADMP就可以进行统一的管理。
如何批量导入域用户_ADManager Plus在AD域管理方面具有哪些优势?
为了更好的规范员工在网络中的行为,目前大部分公司都在利用AD域来管理员工。但在AD域管理过程中,IT管理员经常会遇见一些难以处理的问题。例如:域用户的批量创建;权限的分配;域用户密码的批量重置;用户近期登录状态的掌握;不活跃用户的管理;离职人员的账户的锁定,文件服务器的管理等。针对这些域管理中遇到的困难,ADManager Plus给出了很好的解决办法。
ADManager Plus对AD域管理员的日常工作具有重要的辅助作用,对于AD域的管理更加专业。其内置多种报表,通过这些报表管理员可以全面的掌握域内用户状态,根据用户状态对其进行相应处理。ADManager Plus还能对用户权限进行精细分配,当遇到特殊情况时还能对用户进行相关权限的委派,待用户完成委派工作时及时对权限进行回收,避免因为权限回收不及时导致权限混乱问题。当然对于管理员来说,最棘手的问题还是域内批量事件的处理。ADManager Plus同样具有域内用户批量处理功能,包括:域内用户批量的创建删除,信息修改,密码重置等。对IT管理员的日常工作具有很大的帮助。
ADManager Plus重新定义了AD域管理,以往AD域管理完全依赖IT管理员,当管理员工单堆积时,很难尽快解决域内用户的所有问题,对用户正常工作产生很大的影响,管理效率低,管理成本高。ADManager Plus则完全改变了IT管理员的工作模式,通过ADManager Plus,管理员只需通过简单的操作界面,即可对繁琐的事件进行合理的处置,高效便捷的解决了AD域管理中所遇到的所有问题。
您的工作是否正面临诸多AD域管理问题?是否考虑利用ADManager Plus来管理您的AD域呢?
网页链接
内容全部来源于网络收集,如有侵权,请联系网站删除:QQ:24596024