域管理的优点
域管理的优点
1、权限管理比较集中,管理成本大大下降。
1.1:域环境,所有网络资源,包括用户,均是在域控制器上维护,便于集中管理。所有用户只要登入到域,在域内均能进行身份验证,管理人员可以较好的管理计算机资源,管理网络的成本大大降低。
1.2:防止公司员工在客户端乱装软件, 能够增强客户端安全性、减少客户端故障,降低维护成本。
2、安全性加强。
2.1有利于企业的一些保密资料的管理,比如说某个盘某个人可以进,但另一个人就不可以进;哪一个文件只让哪个人看;或者让某些人可以看,但不可以删/改/移等。
2.2可以封掉客户端的USB端口,防止公司机密资料的外泄。
3、使用漫游账户和文件夹重定向技术,个人账户的工作文件及数据等可以存储在服务器上,统一进行备份、管理,用户的数据更加安全、有保障。当客户机故障时,只需使用其他客户机安装相应软件以用户帐号登录即可,用户会发现自己的文件仍然在“原来的位置”(比如,我的文档),没有丢失,从而可以更快地进行故障修复。
卷影副本技术可以让用户自行找回文件以前的版本或者误删除的文件(限保存过的32个版本)。在服务器离线时(故障或其他情况),“脱机文件夹”技术会自动让用户使用文件的本地缓存版本继续工作,并在注销或登录系统时与服务器上的文件同步,保证用户的工作不会被打断。
4、方便用户使用各种资源。可由管理员指派登录脚本映射分布式文件系统根目录,统一管理。用户登录后就可以像使用本地盘符一样,使用网络上的资源,且不需再次输入密码,用户也只需记住一对用户名/密码即可。
并且各种资源的访问、读取、修改权限均可设置,不同的账户可以有不同的访问权限。即使资源位置改变,用户也不需任何操作,只需管理员修改链接指向并设置相关权限即可,用户甚至不会意识到资源位置的改变,不用像从前那样,必须记住哪些资源在哪台服务器上。
5、SMS(System Management Server)能够分发应用程序、系统补丁等,用户可以选择安装,也可以由系统管理员指派自动安装。并能集中管理系统补丁(如Windows Updates),不需每台客户端服务器都下载同样的补丁,从而节省大量网络带宽。
-------------------------------------------------------------------------------------------------------------------
l 资源共享
用户和管理员可以不知道他们所需要的对象的确切名称。但是他们可能知道这个对象的一个或多个属性。他们可以通过查找对象的部分属性在域中得到一个所有已知属性相匹配的对象列表。通过域使得基于一个或者多个对象属性来查找一个对象变得可能。
l 管理
域控制器集中管理用户对网络的访问,如登录、验证、访问目录和共享资源。为了简化管理,所有域中的域控制器都是平等的,你可以在任何域控制器上进行修改,这种更新可以复制到域中所有的其他域控制器上。域的实施通过提供对网络上所有对象的单点管理进一步简化了管理。因为域控制器提供了对网络上所有资源的单点登录,管理远可以登录到一台计算机来管理网络中任何计算机上的管理对象。在NT网络中,当用户一次登陆一个域服务器后,就可以访问该域中已经开放的全部资源,而无需对同一域进行多次登陆。但在需要共享不同域中的服务时,对每个域都必须要登陆一次,否则无法访问未登陆域服务器中的资源或无法获得未登陆域的服务。Windows 2000 Server提供的活动目录正是很好地解决了这个问题,只要用户在某一服务器上设置了活动目录功能后,任何与这个服务器相连的其它域服务器上的资源或服务,都可以被这个服务器管理的用户访问或取得,而不必要再进行其它的设置。
l 可扩展性
在活动目录中,目录通过将目录组织成几个部分存储信息从而允许存储大量的对象。因此,目录可以随着组织的增长而一同扩展,允许用户从一个具有几百个对象的小的安装环境发展成拥有几百万对象的大型安装环境。
l 安全性
域为用户提供了单一的登录过程来访问网络资源,如所有他们具有权限的文件、打印机和应用程序资源。也就是说,用户可以登录到一台计算机来使用网络上另外一台计算机上的资源,只要用户具有对资源的合适权限。域通过对用户权限合适的划分,确定了只有对特定资源有合法权限的用户才能使用该资源,从而保障了资源使用的合法性和安全性。
l 可冗余性
每个域控制器保存和维护目录的一个副本。在域中,你创建的每一个用户帐号都会对应目录的一个记录。当用户登录到域中的计算机时,域控制器将按照目录检查用户名、口令、登录限制以验证用户。当存在多个域控制器时,他们会定期的相互复制目录信息,域控制器间的数据复制,促使用户信息发生改变时(比如用户修改了口令),可以迅速的复制到其他的域控制器上,这样当一台域控制器出现故障时,用户仍然可以通过其他的域控制进行登录,保障了网络的顺利运行。
域控中 管理计算机和用户帐号
域控中管理计算机和用户帐号 管理计算机和用户帐号 在Windows2000中用户可以在活动目录用户和计算机管理工具中实现建立用户帐号、计算机帐号、组、安全策略等项。它可以用于建立或编辑网络中的用户、计算机、组、组织单位、域、域控制器、以及发布网络共享资源。活动目录用户和计算机管理器是安装在域控制器上的目录管理工具,且用户可以在Windows2000 Professional 中安装它的管理工具,以便利用客户机对活动目录进行远程管理。 本章介绍了Active Directory用户和计算机的常用管理工具的使用: 1. 账户、组、组织机构相关的基本概念 2. 用户和计算机账户的配置与管理 3. 组的创建和管理 4. 组织机构的添加与管理 5. 资源的发布和搜索 6. 域和域间信任的管理 7.1 基本概念 活动目录用户和计算机管理器中的帐号标识的是一个物理实体如计算机或用户,计算机和用户的帐号在它们登录到网络或访问域中的资源时提供安全信任。帐号可以用于: 验证计算机或用户的身份 允许访问域中资源 审核用户或计算机帐号的活动 7.1.1 用户帐号 用户帐号能够让用户以授权的身份登录到计算机和域中并访问其中资源。用户帐号也可以作为某些软 件的服务帐号。 7.1.2 计算机帐号 每一个运行Windows 2000 和Windows NT 的计算机在加入到域时都需要一个计算机帐号,就象用户帐号一样,被用来验证和审核计算机的登录过程和访问域资源。 7.1.3 组 组是可包含用户、联系人、计算机和其他组的Active Directory 或本机对象。使用组可以: 管理用户和计算机对Active Directory 对象及其属性、网络共享位置、文件、目录、打印机列队等共享 资源的访问。 筛选器组策略设置 创建电子邮件通讯组 有两种类型的组: 安全组 通讯组 安全组用于将用户、计算机和其他组收集到可管理的单位中。为资源(文件共享、打印机等等)指派权限时,管理员应将那些权限指派给安全组而非个别用户。权限可一次分配给这个组,而不是多次分配给单独的用户。使用组而不是单独的用户可简化网络的维护和管理。 通讯组只能用作电子邮件的通讯组。不能用于筛选组策略设置。通讯组无安全功能。 任何时候,组都可以从安全组转换为通讯组,反之亦然,但仅限于域处于本机模式的情况下。域处于
使用域管理的优点
1、方便管理,权限管理比较集中,管理人员可以较好的管理计算机资源。 2、安全性高,有利于企业的一些保密资料的管理,比如一个文件只能让某一个人看,或者指定人员可以看,但不可以删/改/移等。 3、方便对用户操作进行权限设置,可以分发,指派软件等,实现网络内的软件一起安装。 4、很多服务必须建立在域环境中,对管理员来说有好处:统一管理,方便在MS 软件方面集成,如ISA EXCHANGE(邮件服务器)、ISA SERVER(上网的各种设置与管理)等。 5、使用漫游账户和文件夹重定向技术,个人账户的工作文件及数据等可以存储在服务器上,统一进行备份、管理,用户的数据更加安全、有保障。 6、方便用户使用各种资源。 7、SMS(System Management Server)能够分发应用程序、系统补丁等,用户可以选择安装,也可以由系统管理员指派自动安装。并能集中管理系统补丁(如Windows Updates),不需每台客户端服务器都下载同样的补丁,从而节省大量网络带宽。 8、资源共享 用户和管理员可以不知道他们所需要的对象的确切名称,但是他们可能知道这个对象的一个或多个属性,他们可以通过查找对象的部分属性在域中得到一个所有已知属性相匹配的对象列表,通过域使得基于一个或者多个对象属性来查找一个对象变得可能。 9、管理 A、域控制器集中管理用户对网络的访问,如登录、验证、访问目录和共享资源。为了简化管理,所有域中的域控制器都是平等的,你可以在任何域控制器上进行修改,这种更新可以复制到域中所有的其他域控制器上。
B、域的实施通过提供对网络上所有对象的单点管理进一步简化了管理。因为域控制器提供了对网络上所有资源的单点登录,管理远可以登录到一台计算机来管理网络中任何计算机上的管理对象。在NT网络中,当用户一次登陆一个域服务器后,就可以访问该域中已经开放的全部资源,而无需对同一域进行多次登陆。但在需要共享不同域中的服务时,对每个域都必须要登陆一次,否则无法访问未登陆域服务器中的资源或无法获得未登陆域的服务。 10、可扩展性 在活动目录中,目录通过将目录组织成几个部分存储信息从而允许存储大量的对象。因此,目录可以随着组织的增长而一同扩展,允许用户从一个具有几百个对象的小的安装环境发展成拥有几百万对象的大型安装环境。 9、安全性 域为用户提供了单一的登录过程来访问网络资源,如所有他们具有权限的文件、打印机和应用程序资源。也就是说,用户可以登录到一台计算机来使用网络上另外一台计算机上的资源,只要用户具有对资源的合适权限。域通过对用户权限合适的划分,确定了只有对特定资源有合法权限的用户才能使用该资源,从而保障了资源使用的合法性和安全性。 10、可冗余性 每个域控制器保存和维护目录的一个副本。在域中,你创建的每一个用户帐号都会对应目录的一个记录。当用户登录到域中的计算机时,域控制器将按照目录检查用户名、口令、登录限制以验证用户。当存在多个域控制器时,他们会定期的相互复制目录信息,域控制器间的数据复制,促使用户信息发生改变时(比如用户修改了口令),可以迅速的复制到其他的域控制器上,这样当一台域控制器出现故障时,用户仍然可以通过其他的域控制进行登录,保障了网络的顺利运行。 三、公司域的详细规划
公司域管理实施方案
域管理实施方案 一、目的 ●加强公司IT系统及网络系统的有效管控 ●提升公司电脑系统技术支持的服务效率 ●为公司移动办公提供安全支撑平台 前期已经搭建模拟网络测试环境,对域管理的各项技术及有关方案进行了初步测试。在域服务器建立后,将对公司内部电脑系统,实施域管理。 二、域管理的好处 ●用户集中管理,在办公环境,用户需要验证和授权,才能进入公司内部网络 ●加入了域管理的电脑,未经授权,不能安装非办公需要的软件,有效预防由于 私自安装第三方的软件而引起的各种系统、网络和资源占用等方面的问题 ●提升公司电脑系统的维护效率。用户电脑系统补丁和升级(如Windows补丁 升级、杀毒软件升级、其他办公软件升级等),域服务器将统一自动分发、安 装到域内各桌面电脑。节省网络带宽资源,防止重要的系统补丁没有及时安装 引起的安全隐患 ●对公司用户分类管理,根据实际情况,可对不同用户组提供不同的服务(包括 下载、软件安装、系统升级、授权等) ●集中化资源管理,公司各部门的工作文档、软件工具等统一归档在服务器上, 各部门同事根据被授予了访问权限才能查阅 ●域服务器统一管理网络打印机等公共设备,每台桌面电脑不需要安装打印机就 可打印文件资料 ●每个同事登陆和退出公司网络都有详细的跟踪记录,可以监控非法用户的访问 ●根据需要,有效管理相关同事使用公司网络的时间范围
有效支持公司未来移动办公的需求 三、域管理的具体方法 (1)域规划 1、建立AD域,命名为https://www.360docs.net/doc/3a14440343.html, 2、计划建立单域的方式建立域控服务器,活动目录的逻辑结构由域和组织单元(OU)组成。 3、组织单元(OU)是一个用来在域中创建分层管理单位的单元,在域控中将会按照部门划分,暂时分为:总经办,财务部,运营部,销售部,研发部等,以后如有调整,可以适时修改。 4、用户名命名规则,两个字采用全拼,如张三,用户名为zhangsan;三个字及以上采用首字全拼加后面拼音首字母,如冯志强,用户名为fengzq;另可以根据用户自己需要采用英文名命名。 5、为保证域控稳定安装实施,将采用分布式逐个部门进行推广。 (2)DNS的规划实施 1. 首先我们要在DNS服务器上创建出一个区域,区域的名称和域名相同,域内计算机 的DNS记录都创建在这个区域中。 2. 区域创建完成后,建立正向反向查找,确保PC能够加入域。 (3)域管理实施 1.只能域登陆 IT部门会为公司各成员依照命名规则,在服务器上建立用户,账号会在服务器搭建完成后以邮件的形式发送给各位。
域管理的作用和用处
一、安全性能加强、权限更加分明 有利于企业的一些保密资料的管理,比如说某个盘允许某个人可以读写,但另一个人就不可以读写;哪一个文件只让哪个人看;或者让某些人可以看,但不可以删/改/移等。可以封掉客户端的USB端口,防止公司机密资料的外泄。安全性完全与活动目录(ActiveDirectory) 集成。不仅可在目录中的每个对象上定义访问控制,而且还可在每个对象的属性上定义。活动目录(ActiveDirectory)提供安全策略的存储和应用范围。安全策略可包含帐户信息:如域范围内的密码限制或对特定域资源的访问权;通过组策略设置下发并执行安全策略。 三、账户漫游和文件夹重定向 个人账户的工作文件及数据等可以存储在服务器上,统一进行备份、管理,用户的数据更加安全、有保障。当客户机故障时,只需使用其他客户机安装相应软件以用户帐号登录即可,用户会发现自己的文件仍然在“原来的位置”(比如,我的文档),没有丢失,从而可以更快地进行故障修复。在服务器离线时(故障或其他情况),“脱机文件夹”技术会自动让用户使用文件的本地缓存版本继续工作,并在注销或登录系统时与服务器上的文件同步,保证用户的工作不会被打断。 四、方便用户使用各种共享资源 可由管理员指派登录脚本映射分布式文件系统根目录,统一管理。用户登录后就可以像使用本地盘符一样,使用网络上的资源,且不需再次输入密码,用户也只需记住一对用户名/密码即可。各种资源的访问、读取、修改权限均可设置,不同的账户可以有不同的访问权限。即使资源位置改变,用户也不需任何操作,只需管理员修改链接指向并设置相关权限即可,用户甚至不会意识到资源位置的改变,不用像从前那样,必须记住哪些资源在哪台服务器上。 五、SMS系统管理服务(System Management Server) 通过能够分发应用程序、系统补丁等,用户可以选择安装,也可以由系统管理员指派自动安装。并能集中管理系统补丁(如WindowsUpdates),不需每台客户端服务器都下载同样的补丁,从而节省大量网络带宽。
(整理)《域管理》教程一些基础知识.
?域和工作组 域和工作组是针对网络环境中的两种不同的网络资源管理模式。 在一个网络内,可能有成百上千台电脑,如果这些电脑不进行分组,都列在“网上邻居”内,可想而知会有多么乱。为了解决这一问题,Windows 9x/NT/2000就引用了“工作组”这个概念,将不同的电脑一般按功能分别列入不同的组中,如财务部的电脑都列入“财务部”工作组中,人事部的电脑都列入“人事部”工作组中。你要访问某个部门的资源,就在“网上邻居”里找到那个部门的工作组名,双击就可以看到那个部门的电脑了。 在对等网模式(PEER-TO-PEER)下,任何一台电脑只要接入网络,就可以访问共享资源,如共享打印机、文件、ISDN上网等。尽管对等网络上的共享文件可以加访问密码,但是非常容易被破解。在由Windows 9x构成的对等网中,数据是非常不安全的。一般来说,同一个工作组内部成员相互交换信息的频率最高,所以你一进入“网上邻居”,首先看到的是你所在工作组的成员。如果要访问其他工作组的成员,需要双击“整个网络”,就会看到网络上所有的工作组,双击工作组名称,就会看到里面的成员。 你也可以退出某个工作组,只要将工作组名称改动即可。不过这样在网上别人照样可以访问你的共享资源,只不过换了一个工作组而已。你可以随便加入同一网络上的任何工作组,也可以离开一个工作组。“工作组”就像一个自由加入和退出的俱乐部一样,它本身的作用仅仅是提供一个“房间”,以方便网络上计算机共享资源的浏览。 与工作组的“松散会员制”有所不同,“域”是一个相对严格的组织。“域”指的是服务器控制网络上的计算机能否加入的计算机组合。实行严格的管理对网络安全是非常必要的。 在“域”模式下,至少有一台服务器负责每一台联入网络的电脑和用户的验证工作,相当于一个单位的门卫一样,称为“域控制器(Domain Controller,简写为DC)”。“域控制器”中包含了由这个域的账户、密码、属于这个域的计算机等信息构成的数据库。当电脑联入网络时,域控制器首先要鉴别这台电脑是否是属于这个域的,用户使用的登录账号是否存在、密码是否正确。如果以上信息不正确,域控制器就拒绝这个用户从这台电脑登录。不能登录,用户就不能访问服务器上有权限保护的资源,只能以对等网用户的方式访问Windows共享出来
清华大学校园计算机信息网络域名管理办法
清华大学校园计算机信息网络 域名管理办法 1998年8月 第一章总则 第1条为规范清华大学校园计算机信息网络的域名使用和管理,保障清华大学校园计算机信息网络的正常运行和健康发展,更好地为清华大学校园计算机信息网络的广大用户服务,维护有关各方的正当权益,根据《清华大学校园计算机信息网络管理办法》和《清华大学校园计算机信息网络网络信息服务管理办法》特制定本办法。 第2条所有清华大学校园计算机信息网络域名的申请单位和个人、使用单位和个人以及所有其它相关人员和清华大学所属各相关单位,必须遵守本办法。 第3条清华大学校园计算机信息网络顶级域的域名为https://www.360docs.net/doc/3a14440343.html,。 第二章域名管理 第4条清华大学校园计算机信息网络的域名实行分级管理制。 顶级域由清华大学信息网络工程研究中心(以下简称网络中心)会同清华大学校长办公室(以下简称校办)共同管理。 各个二级及二级以下子域由其申请单位负责管理。 第5条二级及二级以下各级域名的具体规划、设置、申请、使用、注销、服务、管理等有关的管理办法及规章制度由各域名服务单位根据具体情况参照本办法自行制定,但其内容不得违反本办法的有关条款。 第6条上级域的管理单位有权对其各下级子域的运行和管理情况进行监督和检查。对其中所存在的问题,有权责令相应的管理单位予以改正。 第7条上级域的管理单位如认为必要,可直接对其下级子域进行管理。此时,被管理的下级子域的申请单位不对此管理的结果负责。
第8条各单位可委托其它单位代为管理其所申请的子域。 本条第1款中的受托单位对委托单位负责,委托单位对受托单位的相关管理结果负责。 第9条各单位若委托其它单位代管本单位所申请的域名或域名服务器,或借用其它单位的主机做为本单位的域名服务器,应予先明确双方的责任、权利与义务,并签订书面协议。 第三章申请及注册 第10条满足下列所有条件的单位,可以在清华大学校园计算机信息网络顶级域(以下简称顶级域)下为本单位申请清华大学校园计算机信息网络二级域(以下简称二级域)域名: 1.清华大学直属单位,包括: 1)校机关各处和校直属各部、室、中心及各党派、人民团体的校级机关 2)校直属各学院、系和各馆、社 3)清华大学所属的各国家级、部级和校直属各院、中心、所、部、室 4)各附属单位、校属各集团、工厂、公司、企业 5)其它以清华大学名义进行对外联系的正式机构 2.至少有1台固定的、每日连续24小时通过网络提供域名解析服务的域名服务器 3.域名服务器必须使用由有关管理员正式为其分配的固定的网络地址连网 4.此域中至少包含1台计算机每日连续24小时通过网络对外提供除域名以外的其它公共信息服务 5.有固定的且具有相应能力的在职职工担任所申请的域名服务的管理员 6.有相应的技术人员负责所申请域及其域名服务器的管理和维护工作 7.有关于域名服务器及域名申请和注册的管理制度 第11条申请二级域域名的单位,必须填写《清华大学校园计算机信息网络域名服务申请表》(以下简称《域名服务申请表》)。此表从如下网址处下载: https://www.360docs.net/doc/3a14440343.html,/nic/application 第12条域名拼写中的大、小写字母等价。二级域域名的拼写方案最终由清华大学校长办公室(以下简称校办)按统一规范确定。 第13条《域名服务申请表》填写完毕后,须将有关域名服务的管理办法及规章制度作为附件,由申请单位一并送交清华大学信息网络工程研究中心(以下简称网络中心)进
windows域的好处
域帐户的好处 经过一段时间磨合及把域用户加到本地管理员后。感觉域帐户真是越用越好用了,尤其是我在刚进入公司时第一项任务便是研究TFS、SharePoint、SQL Server 如何配置及管理,域帐户的用处一次次让我产生不小的震撼,有时是思想上的颠覆,我真的被他折服了。如果没有域帐户这些工作可真是不知道要麻烦多少。使用一段时间后发现我所感受及用到的: 1. 域帐户可以在任意一台已经加入域的电脑上登录。 2. 将域用户组加入到SQL Server 登录里,域用户组内所有人员便都可以使用域用户登录数据库,继承相关权限。 3. 域用户登录Team Foundation Server、SharePoint 等都不用输入用户名密码,可自动识别。 4. 域用户密码是放在服务器上的,可以集中设置权限策略,不易被破解,比放在本地更安全。 5. AD,可以查到所有人所在部门、职位、手机、分机等。 6. 可以对域用户及域用户组设置邮箱,对组发邮件会发给组内所有人员。 一次次震撼的结果就是:我想研究下他到底还有哪些好处!于是乎,就发现了以下文章(简单修改及美化): 域控制器的优点 一、权限管理集中、管理成本下降 权限管理集中
1. 域环境,所有网络资源,包括用户,均是在域控制器上维护,便于集中管理。所有用户只要登入到域,在域内均能进行身份验证,管理人员可以较好的管理计算机资源,管理网络的成本大大降低。 2. 防止公司员工在客户端随意安装软件, 能够增强客户端安全性、减少客户端故障,降低维护成本。 3. 通过域管理可以有效的分发和指派软件、补丁等,实现网络内的一起安装,保证网络内软件的统一性。 4. 配合ISA 的话就可以根据用户来确定可不可以上网。不然只能根据IP。 二、安全性能加强、权限更加分明 1.安全性能加强、有利于企业的一些保密资料的管理,比如说某个盘允许某个人可以读写,但另一个人就不可以读写;哪一个文件只让哪个人看;或者让某些人可以看,但不可以删/改/移等。 2. 可以封掉客户端的USB 端口,防止公司机密资料的外泄。 3. 安全性完全与活动目录(Active Directory) 集成。不仅可在目录中的每个对象上定义访问控制,而且还可在每个对象的属性上定义。活动目录(Active Directory)提供安全策:略的存储和应用范围。安全策略可包含帐户信息:如域范围内的密码限制或对特定域资源的访问权;通过组策略设置下发并执行安全策略。 三、账户漫游和文件夹重定向 1.个人账户的工作文件及数据等可以存储在服务器上,统一进行备份、管理,用户的数据更加安全、有保障。当客户机故障时,只
AD实施:域管理手册
深圳市海格物流股份有限公司 操作主机与AD DB 管理 深圳市索信达实业有限公司 文档编号: SXD-HGWL-20150901-01 版本: VERSION1.6 编写: 索信达运维服务部 最后修订: 2015年09月22日
目录 第一章管理域中的操作主机角色 (3) (一)操作主机介绍 (3) (二)角色迁移 (4) (三)角色抢夺 (5) 第二章管理活动目录数据库 (7) (一)活动目录数据库介绍 (7) (二)活动目录数据库的移动 (8) (三)活动目录数据库的压缩 (10) (四)活动目录数据库的备份和还原 (12) (五)活动目录回收站 (12)
第一章管理域中的操作主机角色 (一)操作主机介绍 Active Directory 支持域中所有域控制器之间的目录数据存储的多主机复制,因此域中的所有域控制器实质上都是对等的。但是,某些更改不适合使用多主机复制执行,因此对于每一个此类更改,都有一个称为“操作主机”的域控制器接收此类更改的请求。操作主机可以保证一致性并消除AD DS数据库中出现冲突的项目的可能性。 AD DS中的五个操作主机角色分别是:架构主机(Schema Master)、域命名主机(Domain Naming Master)、RID主机(RID Master)、PDC仿真器(PDC Emulator)、基础结构主机(Infrastructure Master) 架构主机和域命名主机是林范围角色,即每个林只有一台架构主机和一台域命名主机。RID主机、PDC仿真器、基础结构主机是域范围角色,这3种操作主机角色在林中的每个域中分别只有一个。当在林中安装AD DS并创建第一台域控制器时,它会拥有所有5个角色,类似地,在向林中添加域时,每个新域中的第一台域控制器也会获得每域的操作主机角色。 架构主机(Schema Master) 宿主架构主机角色的域控制器负责对林的架构进行更新和修改,其他域控制器则只包含架构的只读副本。要更新或修改林的架构,您必须具备访问架构主机的权限。如果做出架构改变后,架构更新就会复制到林中的所有其他域控制器。在整个林中,架构主机是唯一的,只能有一个架构主机。 域命名主机(Domain Naming Master) 域命名主机主要用于为林中添加或删除域时使用,负责确保域名的唯一性。如果域命名主机不可用,则无法向林中添加域或从林中删除域。在整个林中,架构主机是唯一的,只能有一个架构主机。 RID主机(RID Master) RID 主机将相对标识符(RID) 分配给域中每个不同的域控制器,每个域只有一个RID 操作主机角色,用于管理RID池,从而在整个域范围内创建的新的安全主体,如:用户、组和计算机。每个安全主体都有一个唯一SID。RID主机用于保证域控制器生产的SID是唯一的。RID主机把一些相对标识符(RID)(称为RID池)颁发给域中的每台域控制器。当任何
域管理的优势
域管理的优势 公司采用域管理的好处: 1.方便管理,权限管理相对比较集中,可以较好的管理计算机资源. 2.安全性高,有利于企业内的一些重要的资料和文件的管理。(例如:一个文件只可以让 某一个人看;或者指定人员看,但不能删除\修改\移动等操作。或者机密文件只可以在领导之间传阅等). 3.方便对员工的操作进行权限设置。也可以分发指派软件等,实现网络内的软件统一安装。 4.很多服务都是都是必须建立在域环境中的,对与管理员来说,方便统一管理,集成。 5.个人账户在工作文件夹的数据可以存储在服务器上统一进行备份,管理.企业员工的数 据更有安全性,有很高的保障性. 6.方便域内用户使用各种资源.(例如:软件,驱动程序,文档,照片,音视频,技术资料等). 7.域管理内能够分集中发应用程序、系统补丁。域内用户可以选择性安装,或由系统管理 员指派自动安装,并能集中管理操作系统及软件补丁.不需每台客户端服务器都下载同样的补丁(例如windows update),从而节约大量网络带宽. 资源共享:方便域内用户使用各种资源.用户登录后就可以像使用本地盘符一样,使用服务器上和网络上的资源,且不需再次输入密码,用户也只需记住一对用户名和密码即可.并且各种资源的访问\读取\修改的权限均可设置,不同的账户可以有不同的访问权限。即使资源位置改变,用户也不需任何操作,只需管理员修改链接指向并设置相关权限即可,甚至不会意识到资源位置的改变.不用像从前那样,必须记住哪些资源在哪台服务器上。 8.管理方面, 8.1域控制器集中管理域内用户对网络的访问,如登录\验证\访问目录\共享资源。为了 简化管理,所有域中的域控制器都是平等的,可以再任何控制器上进行修改. 8.2域的实施通过提供对网络上所有对象的单点管理进一步简化了管理,因为域控制器 提供了对网络上所有资源的单点登录,可以登录到一台计算机来管理网络中任何计算机上的管理对象。 9.可扩展性:在活动目录中,目录通过将目录组织成几个部分,存储信息从而允许存储大量 的对象。因为,目录可以随着组织的增长而一同扩展,允许用户从一个具有几百个对象的小的安装环境发展成拥有几百万对象的大型安装环境。 10.安全性,域用户提供了单一的登录过程来访问网络资源,如所有它们具有的权限的文件、
AD域服务器管理制度
集团AD域服务器管理规范 一、基本规范 1.1、目的 为了加强域服务器、网络系统安全,保障系统、数据的安全运行特制定本制度。本制度适用于对公司域服务器、网络系统的运行维护和管理。 1.2 、范围 1.本网络系统由计算机硬件设备、软件及客户机的网络系统配置组成。 2.软件包括:服务器操作系统、数据库及应用软件、有关专业的网络应用软件等。 3.域控服务器网络系统配置包括在网络上的名称,IP地址分配,用户登录名称、用户密码、DNS地址设 置及Internet的配置等。 4.软件是指操作系统(如 Windows server 2008等)系统软件。也包括防病毒这样的应用软件。 1.3. 职责 1.信息管理部门为域服务器安全运行的部门,负责域服务器系统的日常维护和管理。 2.负责系统软件的调研、采购、安装、升级、保管工作; 3.负责操作系统软件有效版本的管理。 4.信息管理人员负责域控制服务器的安全运行和数据备份;internet对外接口安全以及计算机系统防病 毒管理;各种软件的用户密码及权限管理;协助其他职能部门进行数据备份和数据归档。 5.信息管理人员执行企业保密制度,严守企业商业机密; 6.其他员工执行服务器安装管理制度,遵守企业保密制度。 7.服务器系统管理员的密码必须由信息管理部门相关人员掌握。 1.4.管理 1.系统管理员每日定时对域控服务器进行日常巡视,并填写《网络运行日志》。
2.对于系统和网络出现的异常现象信息管理部应及时组织相关人员进行分析,制定处理方案,采取积极 措施,并如实将异常现象记录在《网络运行日志》。针对当时没有解决的问题或重要的问题应将问题描述、分析原因、处理方案、处理结果、预防措施等内容记录在《网络问题处理跟踪表》上。部门负责人要跟踪检查处理结果。 3.定时维护域控服务器,及时组织清理磁盘,保证服务器有充足空间,网络系统能够正常运行。 4.制定域控服务器的防病毒措施,及时下载最新的防病毒补丁,防止服务器受病毒的侵害。 5.公司新IT员工(或外包人员)需使用域控服务器须向部门主管提出申请,经批准后由信息部门负责分 配帐号。 1.5、使用 1.帐号注销:所有IT员工(或外包人员)在使用或维护完域控服务器后,应正常将帐号注销退出。 2.IT人员不得盗用其他人的身份登陆服务器或进入应用系统,确因工作需要需征得本人的同意。 3.系统管理员应保管好自己的密码,并三个月更换一次密码,以保证安全。 4.有权限网络用户不得随意更改域控服务器的名称、IP地址、DNS设置。因特殊原因的确需更改时,应 由计算机管理人员统一调整,并及时修改。 5.对于网络用户传播、复制、制造计算机病毒或采用黑客技术而致使域控服务器瘫痪造成重大损失的情 况,将给予严肃处理。 1.6 域控服务器软件的管理 1.信息管理人员负责软件的安装。 2.信息管理部门保存和使用软件的复制盘片,也可根据需要从档案借出原始盘片,复制相关资料留存使 用。 3.信息管理人员应及时检查系统更新平台的相关补丁程序的下载,并与原系统进行配套管理和使用。 4.信息管理员负责将软件商信息记录在《软件信息表》,就软件技术问题与软件商联系,并负责软件的 升级,升级程序执行。 1.7、系统保密制度
域的功能作用
一工作组与域的区别 现公司所有电脑采用工作组的管理模式,域管理与工作组管理的主要区别在于: 1、工作组网实现的是分散的管理模式,每一台计算机都是独自自主的,用户账户和权限信息保存在本机中,同时借助工作组来共享信息,共享信息的权限设置由每台计算机控制。在网上邻居中能够看到的工作组机的列表叫浏览列表是通过广播查询浏览主控服务器,由浏览主控服务器提供的。 而域网实现的是主/从管理模式,通过一台域控制器来集中管理域内用户帐号和权限,帐号信息保存在域控制器内,共享信息分散在每台计算机中,但是访问权限由控制器统一管理。这就是两者最大的不同。 2、在“域”模式下,资源的访问有较严格的管理,至少有一台服务器负责每一台联入网络的电脑和用户的验证工作,相当于一个单位的门卫一样,称为“域控制器(Domain Controller,简写为DC)”。 3、域控制器中包含了由这个域的账户、密码、属于这个域的计算机等信息构成的数据库。当电脑联入网络时,域控制器首先要鉴别这台电脑是否是属于这个域的,用户使用的登录账号是否存在、密码是否正确。如果以上信息有一样不正确,那么域控制器就会拒绝这个用户从这台电脑登录。不能登录,用户就不能访问服务器上有权限保护的资源,他只能以对等网用户的方式访问Windows共享出来的资源,这样就在一定程度上保护了网络上的资源。而工作组只是进行本地电脑的信息与安全的认证。 二公司采用域管理的好处 1、方便管理,权限管理比较集中,管理人员可以较好的管理计算机资源。 2、安全性高,有利于企业的一些保密资料的管理,比如一个文件只能让某一个人看,或者指定人员可以看,但不可以删/改/移等。 3、方便对用户操作进行权限设置,可以分发,指派软件等,实现网络内的软件一起安装。 4、很多服务必须建立在域环境中,对管理员来说有好处:统一管理,方便在MS 软件方面集成,如ISA EXCHANGE(邮件服务器)、ISA SERVER(上网的各种设置与管理)等。 5、使用漫游账户和文件夹重定向技术,个人账户的工作文件及数据等可以存储在服务器上,统一进行备份、管理,用户的数据更加安全、有保障。 6、方便用户使用各种资源。 7、SMS(System Management Server)能够分发应用程序、系统补丁等,用户可以选择安装,也可以由系统管理员指派自动安装。并能集中管理系统补丁(如Windows Updates),不需每台客户端服务器都下载同样的补丁,从而节省大量网络带宽。 8、资源共享
集团网络管理方案
公司内部网络管理方法 一、总则 1、目的 一个公司的网络管理我们不但要做到防止外部黑客以及病毒的侵袭,还要做到管理好公司内部人员的越权操作,所谓是“无规矩不成方圆”。为加强公司内部网络的管理工作,确保公司内部网络安全高效运行,特制定本管理方法。 2、适用范围 本公司内部计算机网络事宜均适用本管理方法。 3、网络管理员职责 网络管理员的职责如下: A、协助网络主管制定网络建设及网络发展规划,确定网络安全及资源共享策略。 B、负责公用网络实体,如服务器、交换机、集线器、防火墙、网关、配线架、网线、接插件等的维护和管理。 C、负责服务器和系统软件的安装、维护、调整及更新。 D、负责网络账号管理、资源分配、数据安全和系统安全。 E、监视网络运行,调整网络参数,调度网络资源,保持网络安全、稳定、畅通。
F、负责系统备份和网络数据备份;负责各部门电子数据资料的整理和归档。 G、保管网络管理记录、网络运行记录、网络检修记录等网络资料。 H、每年对本公司网络的效能和各电脑性能进行评价,提出网络结构、网络技术和网络管理的改进措施。 I、对联网计算机,计算机管理员应定期升级杀毒软件。 二、网络管理规定 计算机管理人员有权对公司网络运行情况进行监察和控制,并有权对公司网络上的信息进行检查和备案,任何人引入和发出的信息、邮件,都有可能被备份审查。证据:防火墙的后台管理软件,查看日志。 1、安全管理规定 A、未经网管或公司领导批准,任何人不得改变网络拓扑结构,网络设备布置,服务器、路由器配置和网络参数。 B、任何人不得进入未经许可的计算机系统更改系统信息和用户数据。 C、公司局域网上任何人不得利用计算机技术侵占用户合法利益,不得制作、复制和传播妨害公司稳定的有关信息。 D、各部门定期对本部门计算机系统和相关业务数据进行备份以防发生故障时进行恢复。
集团公司计算机系统管理制度
集团公司计算机系统管理制度 为进一步规范公司内部管理,提高工作效率,树立良好的企业形象,使公司管理规范化、程序化、迅速快捷,特制定集团公司计算机系统管理制度,请各单位、部门参照执行。 一、管理原则和部门 1.公司按集中与分散相结合原则,配备电脑系统。 2.计算机系统建设应综合考虑成本、费用、效率、效果、先进性、适用性,选择最优技术经济方案。 3.科技开发部为计算机系统的管理责任部门,负责集团公司计算机系统软硬件的规划、指导、实施、运行和维护等各种工作。 二、计算机系统选取及采购 1.公司根据国家有关法规,对计算机主机系统(不包括周边设备)的运行周期暂定为7年。2.因工作需要更新、新增计算机、硬件设备以及软件系统的(包括周边设备,如打印机、绘图仪、扫描仪等),均应由部门提出申请,填写申请表(见附表)后,报科技开发部审核,经集团公司分管领导批准,由科技开发部统一购买或处理。独立核算子公司也应在科技开发部的参与和指导下购买或处理。 3.系统采购过程中,做好硬件的验机工作和软件测试工作,确保电脑系统的可行性。 三、计算机系统的使用和管理 1.科技开发部有权采用各种技术手段对计算机系统的运行进行监管。 2.为保证设备正常运转,未经允许不得改动或移动供电、网络和计算机设备,不得私自拆装计算机及外部设备。 3.外来人员不得随意使用公司的计算机及外部设备。 4.不得在公司的计算机系统上自行安装和开发编制各类软件。确因工作需要的,应先提出申请,并会同科技开发部确定具体方案,经分管领导批准后,由科技开发部统一协调落实,进行自行编制或购买。 5.凡由科技开发部提供的各类软件,在工作中如需进行调整、修改或升级,应及时与科技开发部联系,由科技开发部协调实施,不得自行修改源程序。 四、日常维护
浅析域管理优点1
公司采用域管理的好处 1、方便管理,权限管理比较集中,管理人员可以较好的管理计算机资源。 2、安全性高,有利于企业的一些保密资料的管理,比如一个文件只能让某一个人看,或者指定人员可以看,但不可以删/改/移等。 3、方便对用户操作进行权限设置,可以分发,指派软件等,实现网络内的软件一起安装。 4、很多服务必须建立在域环境中,对管理员来说有好处:统一管理,方便在MS 软件方面集成,如ISA EXCHANGE(邮件服务器)、ISA SERVER(上网的各种设置与管理)等。 5、使用漫游账户和文件夹重定向技术,个人账户的工作文件及数据等可以存储在服务器上,统一进行备份、管理,用户的数据更加安全、有保障。 6、方便用户使用各种资源。 7、SMS(System Management Server)能够分发应用程序、系统补丁等,用户可以选择安装,也可以由系统管理员指派自动安装。并能集中管理系统补丁(如Windows Updates),不需每台客户端服务器都下载同样的补丁,从而节省大量网络带宽。 8、资源共享 用户和管理员可以不知道他们所需要的对象的确切名称,但是他们可能知道这个对象的一个或多个属性,他们可以通过查找对象的部分属性在域中得到一个所有已知属性相匹配的对象列表,通过域使得基于一个或者多个对象属性来查找一个对象变得可能。 9、管理 A、域控制器集中管理用户对网络的访问,如登录、验证、访问目录和共享资源。为了简化 管理,所有域中的域控制器都是平等的,你可以在任何域控制器上进行修改,这种更新可以复制到域中所有的其他域控制器上。 B、域的实施通过提供对网络上所有对象的单点管理进一步简化了管理。因为域控制器提供 了对网络上所有资源的单点登录,管理远可以登录到一台计算机来管理网络中任何计算机上的管理对象。在NT网络中,当用户一次登陆一个域服务器后,就可以访问该域中已经开放的全部资源,而无需对同一域进行多次登陆。但在需要共享不同域中的服务时,对每个域都必须要登陆一次,否则无法访问未登陆域服务器中的资源或无法获得未登陆域的服务。 10、可扩展性 在活动目录中,目录通过将目录组织成几个部分存储信息从而允许存储大量的对象。因此,
公司域服务管理设计方案
富盛伟公司域管理设计方案 随着公司的发展,办公网络扩大,办公计算机不断的增加,对于规范员工上网和正确的使用计算机,集中管理网络资源,以及网络安全就显的尤为重要,针对公司网络的现状提出了域管理方案。 域控服务器概念:将网络中多台计算机逻辑上组织到一起,进行集中管理的逻辑环境就叫做域, 域管理特点: 1集中管理 域控制器集中管理用户对网络的访问,如登录、验证、访问目录和共享资源,域采用的是活动目录的技术,目录是存储有关网络上对象信息的层次结构,就好比一个图书管的图书目录,通过它可以方便管理各种网络资源。 2便捷的网络资源访问 活动目录允许用户一次登录网络可以访问网络中所有该用户有权限访问的资源,并且用户访问资源时不用知道资源所在的物理位置,活动目录允许快速,方便地查询网络资源。 3可扩展性 在活动目录中,目录通过将目录组织成几个部分存储信息从而允许存储大量的对象。因此,目录可以随着组织的增长而一同扩展,允许用户从一个具有几百个对象的小的安装环境发展成拥有几百万对象的大型安装环境 4安全性 域为用户提供了单一的登录过程来访问网络资源,如所有他们具有权限的文件、打印机和应用程序资源。也就是说,用户可以登录到一台计算机来使用网络上另外一台计算机上的资源,只要用户具有对资源的合适权限。 域通过对用户权限合适的划分,确定了只有对特定资源有合法权限的用户才能使用该资源,从而保障了资源使用的合法性和安全性 公司域控具体实施方案 域控的规划https://www.360docs.net/doc/3a14440343.html,域 1.域控制器兼做DNS服务器 2.给每个员工创建一个用户帐户 3.给每个部门创建一个全局组 4.建立文件备份服务
域的组织架构 按部门划分OU 创建用户账户和组 在各部门的OU中分别为该部门员工创建用户账户,账户名为员工姓名的拼音为每个部门创建全局组 将同部门的员工账户分别加入各部门的全局组 域控搭建,需要设备普通计算机一台,配置不能太低,要稳定 系统:windows server 2003企业版。 域控搭建步骤: 1. 安装windows server 2003 操作系统. 2. 安装相应软件体及建立域控制器.并安装需要的网络服务. 3. 测试域服务器的使用性能及安全服务. 4. 建立单位,分配用户名及密码. 5. 各部门电脑加入到域控制器,开始使用域管理. 后期维护: 1.每月更新用户,检测域服务器的网络安全. 2.每三个月更新一次公司所有电脑密码. 3.每月定期备份数据库文件. 4.待域管理进入稳定期,再设置文件服务器.所有重要性文件备份存放于服务器 内,或刻录光盘.以免个人电脑硬盘损坏而丢失. 5.不定期的检查用户电脑使用状况.公司电脑尽可能少存放与工作无关之文件. 文有明 2010年6月4日
域管理方案建议
域管理的方案与应用 一:计算机域的一些基本概念: 域是一个有安全边界的计算机集合,在同一个域中的计算机彼此之间已经建立了信任关系,在域内访问其他机器,不再需要被访问机器的许可了。为什么是这样的呢?因为在加入域的时候,管理员为每个计算机在域中建立了一个计算机帐户,这个帐户和用户帐户一样,也有密码保护的。可是大家要问了,我没有输入过什么密码啊,是的,你确实没有输入,计算机帐户的密码不叫密码,在域中称为登录票据,它是由域控制器上的KDC服务来颁发和维护的。是由域服务器来统一设置用户跟密码的. 其实上我们可以把域和工作组联系起来理解,在工作组上你一切的设置在本机上进行包括各种策略,用户登录也是登录在本机的,密码是放在本机的数据库来验证的。而如果你的计算机加入域的话,各种策略是域控制器统一设定,用户名和密码也是放到域控制器去验证,也就是说你的账号密码可以在同一域的任何一台计算机登录。 不过在“域”模式下,至少有一台服务器负责每一台联入网络的电脑和用户的验证工作,相当于一个单位的门卫一样,称为“域控制器”。域控制器中包含了由这个域的账户、密码、属于这个域的计算机等信息构成的数据库。当电脑联入网络时,域控制器首先要鉴别这台电脑是否是属于这个域的,用户使用的登录账号是否存在、密码是否正确。如果以上信息有一样不正确,那么域控制器就会拒绝这个用户从这台电脑登录。不能登录,用户就不能访问服务器上有权限保护的资源,他只能以对等网用户的方式访问Windows共享出来的资源,这样就在一定程度上保护了网络上的资源。 要把一台电脑加入域,仅仅使它和服务器在网上邻居中能够相互“看”到是远远不够的,必须要由网络管理员进行相应的设置,把这台电脑加入到域中。这样才能实现文件的共享。集中统一,便于管理。 二:网络施行域管理的优点 1、客户机加入域、账户以域用户登录,通过组策略设置计算机、用户策略能够增强客户端安全性、减少客户端故障,降低维护成本。 2、使用漫游账户和文件夹重定向技术,个人账户的工作文件及数据等可以存储在服务器上,统一进行备份、管理,用户的数据更加安全、有保障。当客户机故障时,只需使用其他客户机安装相应软件以用户帐号登录即可,用户会发现自己的文件仍然在“原来的位置”(比如,我的文档),没有丢失,从而可以更快地进行故障修复。 3.安全性高。有利于企业的一些保密资料的管理,比如说哪一个文件只让哪个人看,或者让某些人可以看,但不可以删/改/移等 三:XXXX施行域管理的步骤以及需要准备的事项 1:首先将所有的计算机重新命名,以拼音或者英文命名,使用中文容易导致网络某些功能失效。 2:需要准备一台域服务器,对下面域用户进行管理用的。域服务器建议购买HP、浪潮品牌的,不建议使用联想、IBM等其他牌子。 3:准备一套网络杀毒软件,每次只需要域服务器上的杀毒服务端更新病毒库即可。建议软件:赛门铁克·瑞星网络杀毒。
服务器域管理详解手册2
为什么我们需要域?Active Directory系列之一 为什么需要域? 对很多刚开始钻研微软技术的朋友来说,域是一个让他们感到很头疼的对象。域的重要性毋庸置疑,微软的重量级服务产品基本上都需要域的支持,很多公司招聘工程师的要求中也都明确要求应聘者熟悉或精通Active Directory。但域对初学者来说显得复杂了一些,众多的技术术语,例如Active Directory,站点,组策略,复制拓扑,操作主机角色,全局编录….很多初学者容易陷入这些技术细节而缺少了对全局的把握。从今天开始,我们将推出Active Directory系列博文,希望对广大学习AD的朋友有所帮助。 今天我们谈论的第一个问题就是为什么需要域这个管理模型?众所周知,微软管理计算机可以使用域和工作组两个模型,默认情况下计算机安装完操作系统后是隶属于工作组的。我们从很多书里可以看到对工作组特点的描述,例如工作组属于分散管理,适合小型网络等等。我们这时要考虑一个问题,为什么工作组就不适合中大型网络呢,难道每台计算机分散管理不好吗?下面我们通过一个例子来讨论这个问题。 假设现在工作组内有两台计算机,一台是服务器Florence,一台是客户机Perth。服务器的职能大家都知道,无非是提供资源和分配资源。服务器提供的资源有多种形式,可以是共享文件夹,可以是共享打印机,可以是电子邮箱,也可以是数据库等等。现在服务器Florence 提供一个简单的共享文件夹作为服务资源,我们的任务是要把这个共享文件夹的访问权限授予公司内的员工张建国,注意,这个文件夹只有张建国一个人可以访问!那我们就要考虑一下如何才能实现这个任务,一般情况下管理员的思路都是在服务器上为张建国这个用户创建一个用户账号,如果访问者能回答出张建国账号的用户名和密码,我们就认可这个访问者就是张建国。基于这个朴素的管理思路,我们来在服务器上进行具体的实施操作。 首先,如下图所示,我们在服务器上为张建国创建了用户账号。