windows 域概述
第六章 Windows域管理
第6章Windows域管理很多人对域名、活动目录、DHCP、DNS等术语可能还停留在概念性的阶段,于实际操作却有些陌生,本章有助于改善这一点。
本章主要内容包括:⏹介绍域、活动目录等基础概念;⏹活动目录部署和配置;⏹DHCP部署和配置;⏹组策略涉及以下一些方面:⏹普通Server 2003和域控制器之间的升降级⏹DHCP和DNS的配置使用⏹添加或删除域用户⏹计算机加入域⏹SAM数据库和Syskey⏹组策略应用:对组策略进行编辑、设置,掌握强化系统的安全性的方法。
实验1域管理基础域是(Domain)Windows网络管理的一个基本单位。
域管理涉及域、活动目录(AD)和SAM数据库等概念。
1. 域和工作组首先我们介绍一下工作组(Work Group)的概念。
域和工作组都是局域网环境下的两种不同的网络资源管理模式。
工作组的概念想必大家都很熟悉。
它是我们默认安装完系统以后的最初、也是最常用的一种工作模式。
工作组将局域网中的电脑按功能分组,以便查找和浏览共享资源。
同一个工作组内部或不同工作组成员之间可以通过“网上邻居”实现资源共享。
从“网上邻居”最先看到的是本机所在的工作组的机器。
“工作组”是一个“对等”网结构,就像一个自由加入和退出的俱乐部一样,可以随时自由出入毫无限制,它本身的作用仅仅是提供一个“房间”,以方便查找。
在这种模式下,任何一台电脑只要接入网络,其他机器就都可以访问共享资源,没有server或client的概念。
共享文件即使加有访问密码,也非常容易被破解。
以工作组组成的局域网中,每一台电脑实现“个人自治”,一切设置在本机上进行,包括各种策略,用户登录也是在本机进行的,密码也是放在本机的数据库来验证的。
显然,工作组模式在安全性上存在很大问题。
域的提出,放弃了可以随便出出进进的工作组模式,而采用了“中央集权”式的严格控制。
我们可以说,域既是Windows网络系统的逻辑组织单元,也是Internet的逻辑组织单元。
Windows加入域详细说明
Windows XP篇
首先系统必须是安装版,或是Ghost带更改SSID方式封装出来的系统
如果是Ghost过比如本机存有的镜像恢复后就需要更改机器的SSID 可在软件中有专门更改的软件。
1.系统要加入域之前需要规范系统的机器命名,如BJ-PC001 或BJ-NB001
2.更改计算机名称之后重启电脑接下来就是加入到域里面
3 加入域后用管理员身份进入系统设置用户组权限(域帐号加入本地管理员组等操作)
Windows 7篇
如果是直接安装的Windows7 直接更改机器名称和加入域就可以。
如果是Ghost过的就需要做一下操作从新生成ssid
首先要在点击计算机右键管理本地用户和组中将系统的administrator系统管理员用户开启,注销当前用户到administrator系统管理员账户中运行Easy Sysprep V3软件
1.打开Easy Sysprep V3(专门封装系统的软件)
2.选择注册表优化,服务优化设定设备驱动处理这里请不要点击因为封装后的系统会造成驱动无法安装按下一步继续进行操作
3.按照图中设置部署模式那里选择1无系统部署增强组件下一步
4.最后的封装设置完成会提示是否将网页设置为主页,这里就不要选中点击完成系统会提示开始封装了
5
5.封装过程中请勿关闭电脑和进行其他操作封装完成后会提示从新启动电脑
6.系统部署完毕后需要在计算机右键属性高级设置中将计算机名更改加入域。
8 域
域
OU2
32 Company Logo
OU的委派功能2-1
委派控制管理
管理员可以为适当的用户和组指派一定范围的管理任 务,从而减轻管理员的工作负担
实现步骤
打开【Active Directory用户和计算机】,右击OU|【委 派控制】 按向导提示,添加要委派任务的账户或者组 选择要委派的任务,按向导提示最终完成
BENET公司有5个部门:行政部、人事部、工程部、销售部和财 务部 按部门来管理用户帐户和组 网络管理员委派销售部的某员工可以有权限重置密码 创建5个OU 将域帐户StuY移动到销售部OU中 在每个OU中创建1个域用户帐户和1个全局组 委派域帐户StuY对销售部OU有重设用户密码的权限
用户配置文件类型
本地用户配置文件 漫游用户配置文件 强制用户配置文件 临时用户配置文件
23 Company Logo
用户配置文件2-2
实现漫游用户配置文件
1)为漫游用户创建一个测试配置文件 2)准备一个存放漫游用户配置文件的网络存储路径 3)将测试配置文件复制到网络存储路径 4)设置域用户属性的【配置文件】选项卡
Company
LOGO
创建Windows域
本章目标
创建Windows域,并实现域环境下用户帐户、组 和OU的管理
理解域的概念 理解域控制器的条件 掌握本地域组与全局组的管理 理解OU的概念
2
Company Logo
本章结构
域的概念 DC的条件
创建域
安装AD 将计算机加入域 DNS的作用 创建域帐户 域帐户属性 用户配置文件 用户主文件夹 安全组/通讯组 本地域组/全局组/通用组 OU概念
域结构简介
域结构简介1、域的含义:域是由一群以网络连接在一起的计算机所组成的,它们将计算机内的资源共享给其他人使用。
2、与工作组结构网络区别:域内所有的计算机共享一个集中式的目录数据库,它包括整个域内的用户与安全数据。
而工作组结构的网络,每台计算机的位置平等。
可以相互的共享。
3、域中的计算机类型:A、域控制器:只有WIN2000SERVER才可以做域控制器,域控制器在一个网络中可以有多个。
一台的目录数据库可以自动复制到别一个域服务器的目录数据库中,域可以审核登录用户的用户名和密码。
多台域服务器共同审核用户的登录可以提高效率B、成员服务器:域内的WIN2000服务器如果不是域控制器,就是成员服务器,如果不加入域就独立服务器,成员服务器没有活动目录,不能审核域用户的登录,但它们都自己的本地安全数据库。
以审核本地用户。
C、其他计算机:其他计算机可以用来访问这些计算机的资源。
活动目录定义一个电话本:其中有姓名、电话号、地址等,这些就是目录,我可以很容易从找到所需的数据。
目录服务:就让用户很容易在目录中查找所要的数据。
而在WIN2000中,存储用户、组、打印机等对象相关数据的位置称为目录数据库,负责提供目录服务的组件称为活动目录。
1、适用范围应用范围很广,可以在一台计算机、一个计算机网络,大至数据广域网的组合。
2、名称空间A、名称空间的含义:就是一块划好的区域。
在这个区域内,可以利用某个名字来找到与这个名字有关的信息。
B、WIN2000中的活动目录就是“名称空间”,可以利用对象名称找到相关的数据。
C、WIN2000的名称结构采用了DNS的结构。
3、对象与属性WIN2000中的资源都是以对象的形式存在,而一个对象通过属性来描述其特征。
如用户就是一个对象类别。
用户的姓、名、电话,就是用户的属性。
4、容量与组织单位A、容量与对象相似,也有自己的名称,也有自己的属性,但它不是一个实体,而可以一组对象和其它容量。
B、组织单位,就是一个容量,可以包括其他对象和组织单位。
windows域的权限管理方法
Windows域的权限管理方法1. 概述Windows域是一种由微软推出的网络管理架构,用于集中管理和控制Windows操作系统的计算机、用户和资源。
在一个Windows域中,权限管理是非常重要的一项任务,它能够确保只有授权的用户能够访问和操作特定的资源。
本文将介绍Windows域的权限管理方法,包括用户权限管理、组权限管理和对象权限管理。
2. 用户权限管理用户权限管理是指对Windows域中的用户进行权限控制和管理。
以下是一些常用的用户权限管理方法:2.1. 用户权限分级不同的用户可能需要不同的权限来访问域中的资源。
Windows域提供了一套权限分级机制,可以将用户划分为不同的权限组,例如管理员、普通用户和只读用户等。
管理员拥有最高的权限,可以对域中的所有资源进行管理和操作,而只读用户只能查看资源的内容,无法进行修改。
2.2. 用户角色管理除了权限分级外,Windows域还支持用户角色管理。
用户角色是一组权限集合,可以预先定义好一些常用的角色,并将用户分配给不同的角色。
这样可以简化权限管理,减少管理员的工作量。
当用户加入或退出一个角色时,其权限也会相应地改变。
2.3. 用户密码策略用户密码是保护域中资源的重要措施之一。
Windows域可以设置密码策略,要求用户使用强密码,并定期更换密码。
密码策略可以包括密码长度、密码复杂度要求、密码有效期等。
3. 组权限管理组权限管理是通过将用户分组来管理和分配权限。
以下是一些常用的组权限管理方法:3.1. 域本组和特殊组Windows域中有一些预定义的基本组和特殊组,例如”Administrators”、“Domain Admins”和”Domain Users”等。
这些组都有特定的权限和角色,可以直接使用或进行自定义设置。
通过将用户添加到这些组中,可以一次性地为多个用户分配权限。
3.2. 自定义组除了基本组和特殊组外,Windows域还支持自定义组。
管理员可以根据需要创建自己的组,并为其指定权限和角色。
Windowsserver域下全局组,本地域组,通用组之间的关系详解
Windowsserver域下全局组,本地域组,通⽤组之间的关系详解Windows server 2003域下全局组,本地域组,通⽤组之间的关系详解WINDOWS SERVER 2003组的简介:定义:组(Group)是⽤户帐号的集合。
作⽤:通过向⼀组⽤户分配权限从⽽不必向每个⽤户分配权限,简化管理。
就是为⽤户和嵌套在⾥⾯的组等单元提供对⽹络资源访问的权限。
资料个⼈收集整理,勿做商业⽤途类型:1)安全组,管理员在⽇常⼯作中不必要去为单个⽤户帐号设置⾃⼰独特的访问权限,⽽是将⽤户帐号加⼊到相对应的安全组中。
管理员通过给相对的安全组访问权限就可以了,这样所有加⼊到安全组的⽤户帐号都将有同样的权限。
使⽤安全组⽽不是单个的⽤户帐号可以⽅便,简化⽹络的维护和管理⼯作。
资料个⼈收集整理,勿做商业⽤途2)通讯组,只能⽤在电⼦邮件通讯。
提⽰:在windows server 2000的域中,通讯组的名称是:“分布组”和通讯组功能想似。
注意:⼀般情况下,管理Active Directory使⽤的都是安全组。
安全组和通讯组在有些时候是可以互转的,这要取决于Active Directory中域的模式。
资料个⼈收集整理,勿做商业⽤途组的作⽤域:安全组下可创建3种作通知域组:如下图所⽰。
注意:2K/2003安装之后,域的默认模式为:混合模式。
(安装了windows server 2003域控后,域的模式为“windows 2000混合模式“)则本地域组只能在本域的控制器DC 上使⽤。
若域功能级别转成本机模式(或称为2K纯模式),或是03模式,本地域组才可在全域范围内使⽤。
资料个⼈收集整理,勿做商业⽤途1.本地域组。
(local domain group)Windows 2000 混合模式⽤户范围:任何域中的⽤户帐户和全局组。
森林中任何域中的⽤户帐户,全局组和通⽤组以及本地域中的本地域组。
资料个⼈收集整理,勿做商业⽤途可加⼊的组:不能是任何组成员,只能是本域中的本地域组。
windows域配置及管理PPT学习课件
36
管理容器
• 1、 Builtin:用来存放默认内置组(如Account Operators或Administrators)对象。
–域名的命名采用DNS标准
• 办公网络与Internet集成
–定位DC
• 1)客户机发送DNS查询请求给DNS服务器 • 2)DNS服务器查询匹配的SRV资源记录 • 3)DNS服务器返回相关DC的IP地址列表给客户机 • 4)客户机联系到DC • 5)DC响应客户机的请求
• 域的DNS区域维护
–SRV资源记录可以定位DC
•域
–将网络中多台计算机逻辑上组织到一起,进行 集中管理,这种区别于工作组的逻辑环境叫做 域
–域是组织与存储资源的核心管理单元
活动目录提供了存储网络上对象信息并使网络用 户使用该数据的方法
3
域的基本概念
活动目录
• 活动目录(Active Directory)是Windows Server 2003平台提供的目录服务,在中央数据库 中存放信息,使用户在网络上只拥有一个用户账 号。
• 目录服务是使目录中所有信息和资源发挥 作用的服务,活动目录是一个分布式的目 录服务,信息可以分散在多台不同的计算 机上,保证用户能够快速访问
5
活动目录作用
(1) 信息的安全性大大增强 1、活动目录集中控制用户授权 2、 提供存储和应用程序作用域的安全策
略,提供安全策略的存储和应用范围。 (2) 引入基于策略的管理,使系统的管理更加明
。
域控制器
(Windows 2000/
(Windows Server 2003 )
Server 2003)
域控制器 (Windows NT 4.0)
域控制知识点
域控制知识点一、什么是域控制?域控制(Domain Controller)是指在Windows操作系统中,用于管理和控制网络上所有计算机和用户访问权限的服务器。
它是构建在Windows Server操作系统之上的一种服务,可以实现集中管理和控制网络上所有的用户账户、计算机账户、组策略以及其他网络资源。
域控制通过域的概念来组织和管理网络资源,将网络中的计算机和用户组织成为一个逻辑上的集合,便于统一管理和控制。
二、域控制的重要性域控制在企业网络中扮演着重要的角色,它具有以下几个方面的重要性:1. 集中管理和控制域控制允许管理员集中管理和控制整个企业网络中的用户账户、计算机账户、组策略等资源。
管理员可以通过域控制器对用户和计算机进行统一的身份验证和访问控制,以确保网络安全和合规性。
2. 协同工作和资源共享域控制器可以提供共享资源的管理和访问控制,使得企业内部的用户可以方便地共享文件、打印机等资源,方便协同工作和提高工作效率。
3. 用户身份验证和访问控制域控制器可以实现对用户身份的统一认证和访问控制。
用户只需要在域中的一台计算机上登录,就可以访问整个域中授权的资源,避免了在每台计算机上都要单独登录的麻烦。
4. 组织和架构管理通过域控制,网络管理员可以按照企业的组织结构或者其他需求进行资源的组织和架构管理。
可以将用户和计算机组织成为不同的OU(组织单位),并对每个OU应用不同的策略和权限。
三、域控制的核心概念1. 域(Domain)域是指在Windows操作系统中,由一组计算机和用户组成的逻辑组合。
域的概念将网络中的计算机和用户组织起来,并定义了它们之间的关系和隶属关系。
2. 域控制器(Domain Controller)域控制器是域中的一台服务器,负责管理和控制整个域中的用户、计算机和其他资源。
域控制器通过域数据库来存储和管理域中的各种信息。
3. 用户账户(User Account)用户账户用于标识域中的用户,并保存用户的身份信息和访问权限。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
为什么要组建局域网呢?就是要实现资源的共享,既然资源要共享,资源就不会太少。
如何管理这些在不同机器上的资源呢?域和工作组就是在这样的环境中产生的两种不同的网络资源管理模式。
那么究竟什么是域,什么是工作组呢?它们的区别又是什么呢?域------公司域控制器------公司制度(更形象的是公司大门的门禁系统)计算机------每个人工作组 -------没有门禁系统的公司“自由”的工作组工作组(Work Group)就是将不同的电脑按功能分别列入不同的组中,以方便管理。
比如在一个网络内,可能有成百上千台工作电脑,如果这些电脑不进行分组,都列在“网上邻居”内,可想而知会有多么乱(恐怕网络邻居也会显示“下一页”吧)。
为了解决这一问题,Windows 9x/NT/2000才引用了“工作组”这个概念,比如一所高校,会分为诸如数学系、中文系之类的,然后数学系的电脑全都列入数学系的工作组中,中文系的电脑全部都列入到中文系的工作组中……如果你要访问某个系别的资源,就在“网上邻居”里找到那个系的工作组名,双击就可以看到那个系别的电脑了。
那么怎么样才能加入到工作组中呢?其实方法很简单,只需要右击Windows桌面上的“网上邻居”,在弹出的菜单出选择“属性”,点击“标识”,在“计算机名”一栏中添入你想好的名字,在“工作组”一栏中添入你想加入的工作组名称。
如果你输入的工作组名称是一个不存在的工作组,那么就相当于新建一个工作组,当然也只有你自己的电脑在里面。
不过要注意,计算机名和工作组的长度都不能超过15个英文字符,可以输入汉字,但是也不能超过7个汉字。
“计算机说明”是附加信息,不填也可以,但是最好填上一些这台电脑主人的信息,如“数学系主机”等。
单击“确定”按钮后,Windows 98提示需要重新启动,按要求重新启动之后,再进入“网上邻居”,就可以看到你所在工作组的成员了。
相对而言,所处在同一个工作组内部成员相互交换信息的频率最高,所以你一进入“网上邻居”,首先看到的是你所在工作组的成员。
如果要访问其他工作组的成员,需要双击“整个网络”,然后你才会看到网络上其他的工作组,双击其他工作组的名称,这样你才可以看到里面的成员,与之实现资源交换。
除此之外,你也可以退出某个工作组,方法也很简单,只要将工作组名称改变一下即可。
不过这样在网上别人照样可以访问你的共享资源,只不过换了一个工作组而已。
也就是说,你可以随便加入同一网络上的任何工作组,也可以随时离开一个工作组。
“工作组”就像一个自由加入和退出的俱乐部一样。
它本身的作用仅仅是提供一个“房间”,以方便网上计算机共享资源的浏览。
域的管理和设置打个比方,如果说工作组是“免费的旅店”那么域(Domain)就是“星级的宾馆”;工作组可以随便出出进进,而域则需要严格控制。
“域”的真正含义指的是服务器控制网络上的计算机能否加入的计算机组合。
一提到组合,势必需要严格的控制。
所以实行严格的管理对网络安全是非常必要的。
在对等网模式下,任何一台电脑只要接入网络,其他机器就都可以访问共享资源,如共享上网等。
尽管对等网络上的共享文件可以加访问密码,但是非常容易被破解。
在由Windows 9x构成的对等网中,数据的传输是非常不安全的。
不过在“域”模式下,至少有一台服务器负责每一台联入网络的电脑和用户的验证工作,相当于一个单位的门卫一样,称为“域控制器(Domain Controller,简写为DC)”。
域控制器中包含了由这个域的账户、密码、属于这个域的计算机等信息构成的数据库。
当电脑联入网络时,域控制器首先要鉴别这台电脑是否是属于这个域的,用户使用的登录账号是否存在、密码是否正确。
如果以上信息有一样不正确,那么域控制器就会拒绝这个用户从这台电脑登录。
不能登录,用户就不能访问服务器上有权限保护的资源,他只能以对等网用户的方式访问Windows共享出来的资源,这样就在一定程度上保护了网络上的资源。
要把一台电脑加入域,仅仅使它和服务器在网上邻居中能够相互“看”到是远远不够的,必须要由网络管理员进行相应的设置,把这台电脑加入到域中。
这样才能实现文件的共享。
1.服务器端设置以系统管理员身份在已经设置好Active Directory(活动目录)的Windows 2000 Server上登录,选择“开始”菜单中“程序”选项中的“管理工具”,然后再选择“Active Directory用户和计算机”,之后在程序界面中右击“Computers”,在弹出的菜单中单击“新建”,然后选择“计算机”,之后填入想要加入域的计算机名即可。
要加入域的计算机名最好为英文,中文计算机名可能会引起一些问题。
2.客户端设置首先要确认计算机名称是否正确,然后在桌面“网上邻居”上右击鼠标,点击“属性”出现网络属性设置窗口,确认“主网络登录”为“Microsoft网络用户”。
选中窗口上方的“Microsoft网络用户”(如果没有此项,说明没有安装,点击“添加”安装“Microsoft网络用户”选项)。
点击“属性”按钮,出现“Microsoft网络用户属性”对话框,选中“登录到Windows NT域”复选框,在“Windows NT域”中输入要登录的域名即可。
这时,如果是Windows 98操作系统的话,系统会提示需要重新启动计算机,重新启动计算机之后,会出现一个登录对话框。
在输入正确的域用户账号、密码以及登录域之后,就可以使用Windows 2000 Server域中的资源了。
请注意,这里的域用户账号和密码,必须是网络管理员为用户建的那个账号和密码,而不是由本机用户自己创建的账号和密码。
如果没有将计算机加入到域中,或者登录的域名、用户名、密码有一项不正确,都会出现错误信息对多用户管理缺乏层次某市某供电局,有员工200人左右和12个业务或支撑部门。
为了满足公司未来发展和日常运营管理的安全需求,公司决定重新部署企业网络。
公司计划部署一个由200台计算机组成的局域网,用于完成企业数据通信和资源共享。
公司已有一个局域网,运行200台计算机,服务器操作系统是Windows Server 2003,客户端的操作系统是Windows XP,工作在工作组模式下,员工一人一机办公。
公司从ISP 申请100M专线,采用代理方式上网。
由于计算机比较多,管理上缺乏层次,公司希望能够利用Windows域环境管理所有网络资源,提高办公效率,加强内部网络安全,规范计算机使用。
按单域规划办公网络要组建Windows办公网络,首先要规划IP地址,然后再根据域环境决定是采用单域还是多域结构,最后考虑账户、文件和打印服务等内容。
规划IP地址本项目中IP地址采用192 . 168 . 0 . 0/24网段。
计算机默认网关为192 . 168 . 0 . 1~192 . 168 . 0 . 10之间的IP,客户机占用192 . 168 . 0 . 11以上的IP。
规划域根据网络规模、集中管理与结构简单原则,公司决定采用单域结构,域名为angerfire . cn。
与多域结构相比,它能实现网络资源集中管理并保障管理上的简单性和低成本。
在域内按照部门名称划分组织单位(OU),分别是运行科、保护科、变配电科、巡检科、人力资源科、招标办公室、对标办公室、财务办公室、工程部、抢险办公室、工会和局长办公室(见表1),用于存储和管理各部门的用户资源。
整个域结构与公司管理结构相匹配,可以实现网络资源的层次管理。
域控制器作为整个域的核心服务器,完成对公司所有员工的账户管理和安全策略的实施。
规划用户账户和组在各部门的OU中分别为该部门员工创建唯一的域用户账户,并要求域用户账户在首次登录时更改密码。
密码最小长度为8位,并且符合复杂性要求。
为每个部门创建全局组,并将同部门的员工账户分别加入各部门的全局组。
规划文件服务器通过一台专用文件服务器存储公共文件以及员工的工作文档。
文件服务器的C盘容量为10GB(安装操作系统和软件),D盘容量大于100GB,并采用NTFS文件系统。
在D盘的一个名为software的文件夹中存放公共文件,如常用软件、规章制度等。
另一个名为share的文件夹存放部门和员工的工作文档。
在D:\share下为每个部门建立文件夹,部门文件夹下创建每个员工的文件夹,并为每个用户配置共享权限和NTFS权限,保障文件只被授权的用户访问(见表2)。
权限的配置应遵循AGDLP规则,避免直接为用户授权,除非该文件夹只有一个员工访问。
在文件服务器上,普通员工最大使用空间为100MB,部门经理的最大使用空间为1000MB,总经理的最大使用空间不受限制。
在文件上传类型方面,只允许上传文件后缀为.doc、.xls、.ppt、.wps、.txt、.rar 的文件。
对重要的文件夹要制定备份策略,可以采用常规备份加差异备份的策略,按任务计划自动执行。
规划打印系统根据公司需求,需要采购4台打印设备(HP Laserjet 1020)。
4台设备分别安装在打印服务器printsrv1、printsrv2、printsrv3、printsrv4 上,printsrv1供局长办公室和财务办公室使用,printsrv2和printsrv3供招标办公室、工程部和工会使用,printsrv4供对标办公室、抢险办公室和人力资源科使用。
局长、科长和普通员工的优先级分别规划为90、50和1。
同时还要规划逻辑打印机权限。
规划上网方式公司租用一条100M专线上网。
采用代理服务器软件使局域网接入Internet。
防火墙/代理服务器软件使用微软应用级防火墙ISA2006。
代理服务器的专用连接IP为192 . 168 . 0 . 1,公共连接与100MB专线连通,IP地址从ISP那里动态获得,启用的代理协议是HTTP,使用域策略完成客户端的统一配置,实现共享上网,启用防火墙策略对用户上网行为进行监控并阻绝一切不适用的网络通信。
启示:遵从法则更重要目前信息化项目层出不穷,内部网络的安全规划是重中之重。
我们通常习惯性地认为安全就要靠防火墙和杀毒软件。
殊不知,这些都是解决表面问题的手段。
一个真正意义上的安全网络,首先需要安全强壮的网络拓扑结构,其次是基于强壮骨架之上的服务。
而应用层的解决方法其实就在我们所熟知的Windows域中。
在基于域环境的计算机管理手段中,策略是强行管理企业内部网络的钢铁法则。
域环境之所以强大,之所以安全,也正是由于域的管理模式是基于法则的。
社会安定需要健全的法律来支持。
而Windows域环境正是以法则的方式对域中的计算机和账户等资源进行集中管理的。