王晓红

(中国飞机强度研究所，陕西 西安 710065)

1.引言

随着信息化建设的深入，各类应用系统的开发、使用，使企业信息系统的功能得以充分发挥，极大地提高了工作效率，企业员工通过局域网办公自动化系统终端即可完成各项工作。但是局域网带来便利的同时，也存在安全上的隐患。鉴于局域网网络中计算机和用户账户的日益增多，应采用域管理手段，不但使网络管理工作变得简单化、条理化，同时也可提升局域网的可用性和安全性。

2.域管理的含义

域是Windows操作系统的逻辑组织单元，在Windows网络操作系统中，域是安全边界，每个域都有自己的安全策略，以限制域的访问管理权限。域管理即通过Windows的活动目录对所辖的域进行管理的模式。

2.1 活动目录（ActiveDirectory）

活动目录（ActiveDirectory）是Windows操作系统的最大优势，它是在Windows Server版上应用的目录服务。它能够存储网络对象大量的相关信息，使管理员和用户能很容易找到这些信息，提供一种逻辑的、有层次的目录信息组织机构。活动目录是网络操作系统对网络资源进行管理的标准方式，为企业信息化的实施打下良好基础。

2.2 组策略

组策略是使用在域中的、为网络用户和计算机制定的、控制程序、网络资源及操作系统行为的主要工具。通过使用组策略可以设置各种软件、计算机和用户的策略，从而达到方便管理计算机，同时提高网络安全性的目的。

3.域管理的优势

3.1 合理分配用户权限

在局域网中遵循最低权限原则，应合理分配用户权限。对普通用户仅分配Domain Users即可，Domain Users组只能运行已安装的程序，并对文件进行基本操作，不能添加、删除设备或应用程序，不能设置共享，不能启动或停止系统服务，不能修改注册表和系统目录，甚至不能修改系统时间和网络配置。这样可以降低域用户对网络系统的影响，加强网络的安全性和易管理性。

3.2 提高系统安全性

计算机的安全策略包括帐户策略、本地策略、密码策略、系统服务、注册表、事件日志等，通过配置组策略，可以控制计算机上的运行程序，强制纠正域用户的一些违规行为，比如，通过设置帐户密码策略可以定期提示域用户修改口令或弱口令、关闭计算机的默认共享，关闭Guest帐户等。

3.3 实现软件自动分发

应用组策略中的软件自动安装功能可以方便地实现多台客户端统一安装应用程序。只有系统管理员才具有访问系统目录的权限，通过软件安装策略，普通客户端仅从系统目录上装载软件。但是，域活动目录中只能安装MSI格式的安装包，其它各式的安装软件可制作或打包成MSI格式后再进行发布。通过这种方式，可强制向客户端下发防病毒软件及补丁程序。

3.4 回收管理员密码，限制本地功能

脚本是使用一种特定的描述性语言，通过编辑脚本并将其应用到开机、关机、登录及注销过程中，可以实现对客户端的管理控制。比如，修改域计算机本地管理员密码，由域管理员自己掌握。管理员根据用户需要开通必要的权限，以降低域用户对计算机系统造成有意或无意的破坏，能有效地控制用户对服务器的访问，从而加强网络和服务器的安全性。

3.5 实现接入控制

域用户接入控制分为三个步骤：用户名的识别与验证、用户口令的识别与验证和用户帐号的缺省限制三道关卡，只要任何一关未过，该用户便不能进入网络。域用户帐号只有域管理员才能建立，用户口令是每个域用户访问网络所必需提供的“证件”，域用户可以修改自己的口令。域接入控制与防病毒系统、WSUS补丁服务器、桌面管理等系统紧密配合，对已通过认证的用户终端进行安全检查，强制用户终端进行防病毒、操作系统补丁等安全策略检查，从而提高了网络的安全性和保密性。

4.结论

通过在局域网实施域管理，将局域网由原来的分散式管理升级到集中式管理模式上，不但提升了网络系统的安全性，而且也降低了网络运行成本。同时，随着信息技术的飞速发展，对域管理的应用也将从广度和深度上不断探索和改进，使我们拥有一个更加安全的网络环境.

[1]戴有炜.Windowsserver 2003 Active Directory配置指南[M].清华大学出版社，2004.

[2]韩最蛟，李伟.网络维护与安全技术教程与实训[M].清华大学出版社，2008.