浅谈AD域

浅谈AD域
一、什么是AD域
域”的真正含义指的是服务器控制网络上的计算机能否加入的计算机组合。
一提到组合,势必需要严格的控制。所以实行严格的管理对网络安全是非常必要的。在对等网模式下,任何一台电脑只要接入网络,其他机器就都可以访问共享资源,如共享上网等。尽管对等网络上的共享文件可以加访问密码,但是非常容易被破解。数据的传输是非常不安全的。不过在“域”模式下,至少有一台服务器负责每一台联入网络的电脑和用户的验证工作,相当于一个单位的门卫一样,称为“域控制器”。
域控制器中包含了由这个域的账户、密码、属于这个域的计算机等信息构成的数据库。当电脑联入网络时,域控制器首先要鉴别这台电脑是否是属于这个域的,用户使用的登录账号是否存在、密码是否正确。如果以上信息有一样不正确,那么域控制器就会拒绝这个用户从这台电脑登录。不能登录,用户就不能访问服务器上有权限保护的资源,他只能以对等网用户的方式访问Windows共享出来的资源,这样就在一定程度上保护了网络上的资源。要把一台电脑加入域,仅仅使它和服务器在网上邻居中能够相互“看”到是远远不够的,必须要由网络管理员进行相应的设置,把这台电脑加入到域中。这样才能实现文件的共享。

二、为什么需要AD域
微软管理计算机可以使用域和工作组两个模型,默认情况下计算机安装完操作系统后是隶属于工作组的。我们从很多书里可以看到对工作组特点的描述,例如工作组属于分散管理,适合小型网络等等。
实例:
假设现在工作组内有两台计算机,一台是服务器,一台是客户机。服务器的职能大家都知道,无非是提供资源和分配资源。服务器提供的资源有多种形式,可以是共享文件夹,可以是共享打印机,可以是电子邮箱,也可以是数据库等等。现在服务器提供一个简单的共享文件夹作为服务资源,我们的任务是要把这个共享文件夹的访问权限授予公司内的员工张三,注意,这个文件夹只有张三一个人可以访问!那我们就要考虑一下如何才能实现这个任务,一般情况下管理员的思路都是在服务器上为张三这个用户创建一个用户账号,如果访问者能回答出张三账号的用户名和密码,我们就认可这个访问者就是张三。
看完了这个实例之后,很多朋友可能会想,在工作组模式下这个问题解决得很好啊,我们不是成功地实现了预期目标嘛!没错,在这个小型网络中,确实工作组模型没有暴露出什么问题。但是我们要把问题扩展一下!现在假设公司不是一台服务器,而是500台服务器,这大致是一个中型公司的规模,那么我们的麻烦就来了。如果这500台服务器上都有资源要分配给张三,那会有什么样的后果呢?由于工作组的特点是分散管理,那么意味着每台服务器都要给张三创建一个用户账号!张三这个用户就必须痛不欲生地记住自己在每个服务器上的用户名和密码。而服务器管理员也好不到哪儿去,每个用户账号都重新创建500次!如果公司内有1000人呢?我们难以想象这么管理网络资源的后果,这一切的根源都是由于工作组的分散管理!现在大家明白为什么工作组不适合在大型的网络环境下工作了吧,工作组这种散漫的管理方式和大型网络所要求的高效率是背道而驰的。

2.1、权限管理集中、管理成本下降
域环境,所有网络资源,包括用户,均是在域控制器上维护,便于集中管理。所有用户只要登入到域,在域内均能进行身份验证,管理人员可以较好的管理计算机资源,管理网络的成本大大降低。防止公司员工在客户端随意安装软件, 能够增强客户端安全性、减少客户端故障,降低维护成本。通过域管理可以有效的分发和指派软件、补丁等,实现网络内的一起安装,保证网络内软件的统一性。限制员工上网环境,禁止访问非工作以外的其他网站。
2.2、安全性能加强、权限更加分明
有利于公司的一些保密资料的管理,比如说某个盘允许某个人可以读写,但另一个人就不可以读写;哪一个文件只让哪个人看;或者让某些人可以看,但不可以删/改/移等。可以封掉客户端的USB端口,防止公司机密资料的外泄。安全性完全与活动目录集成。
不仅可在目录中的每个对象上定义访问控制,而且还可在每个对象的属性上定义。
活动目录提供安全策略的存储和应用范围。
安全策略可包含帐户信息:如域范围内的密码限制或对特定域资源的访问权;通过组策略设置下发并执行安全策略。
2.3、账户漫游和文件夹重定向
个人账户的工作文件及数据等可以存储在服务器上,统一进行备份、管理,用户的数据更加安全、有保障。当客户机故障时,只需使用其他客户机安装相应软件以用户帐号登录即可,用户会发现自己的文件仍然在“原来的位置”(比如,我的文档),没有丢失,从而可以更快地进行故障修复。在服务器离线时(故障或其他情况),“脱机文件夹”技术会自动让用户使用文件的本地缓存版本继续工作,并在注销或登录系统时与服务器上的文件同步,保证用户的工作不会被打断。
2.4、方便用户使用各种共享资源
可由管理员指派登录脚本映射分布式文件系统根目录,统一管理。用户登录后就可以像使用本地盘符一样,使用网络上的资源,且不需再次输入密码,用户也只需记住一对用户名/密码即可。各种资源的访问、读取、修改权限均可设置,不同的账户可以有不同的访问权限。即使资源位置改变,用户也不需任何操作,只需管理员修改链接指向并设置相关权限即可,用户甚至不会意识到资源位置的改变,不用像从前那样,必须记住哪些资源在哪台服务器上。

原创文章,作者:carmelaweatherly,如若转载,请注明出处:https://blog.ytso.com/183415.html

(0)
上一篇 2021年11月2日
下一篇 2021年11月2日

相关推荐

发表回复

登录后才能评论