李颖，白鹏

（陕西重型汽车有限公司，陕西 西安 710200）

前言

域控是为解决企业分布式终端设备集中化管理应用的关键技术，如企业局域网、园区网设备等。早期NOVELL 的技术是它核心思想和协议来源，并在此基础上进行技术发展和演进。利用AD 域技术对企业生产、管理、研发等机构和部门进行域控管理，可以有效地加强企业IT 系统及网络系统的管控，提高企业信息化技术服务效率，为异地办公提供技术支撑，实现权限可控状态下的技术文档和资源共享。

1 AD 域控管理功能及优势

信息化程度的加深导致企业信息化资源成规模扩大，传统分布式系统工作模式已不能满足企业管理过程中各类信息对象管理需要。AD 域集中化管控，满足企业信息化过程中信息管控、异地协同办公、技术资源受控利用等需求，实现企业信息化管理水平的提升。

1.1 集中化的身份验证

在企业用户管理中，用户的审核验证以及访问控制工作简单、重复，跟容易出错。AD 域目录集中进行用户管理、服务器访问控制权限管理，并加强基于角色的安全性。

由于AD 数据库的存在，可以在域控制器上集中管理分散的研究院设计用户工作图站，实现设计用户在任何域终端节点进行漫游。如SMS 等其他产品也根据需求与这个统一身份认证体系集成，应用类的门户和其他业务系统也可完成上述集成。此外，由于开放LDAP 协议，第三方产品也可以集成到这个统一的身份验证体系中来。

1.2 资源集中化检索利用

集中统一的身份认证体系、集成DFS、控制管理网络共享资源等能力，使得通过AD 域有能力将分散在网络上的资源进行集中检索和权限管控。利用AD 的这一特性，理论上说，管理员可以建立一个完全分布式的文件存储系统，将各类网络存储，研究院专用文件服务器，设计人员图站上的分散存储集中起来管理和应用。

1.3 策略控制与权限集中化管理

AD 域的审核验证机制保证了用户身份验证、用户权限控制管理的集中化管理。可分法GPO 技术的引入，使集中管控分散在Windows 终端上的组策略成为现实。注册表开关及脚本控制客户端操作系统特性的重要工具就是组策略，组策略的集中管控满足了管理员对全部Windows 网络中研发人员图站的大规模管理和控制。

1.4 AD 域提升终端系统管理效率

分布式计算机架构管理维护工作繁重，时间消耗较大，运维管理重复工作较多。造成人力物力资源浪费，用户规模较大时，常因故障得不到及时解决导致设计用户抱怨。通过在单一的位置管理用户、组和网络资源、进行补丁或软件发放或管理域终端桌面系统，能够有效减少重复工作量，减少运维人员，达到企业降成本目标。

图1 典型AD 域树林结构图

2 制造型企业面临的现状和问题

随着近年我国制造业蓬勃发展，大中型制造企业生产、运营及研发业务繁多，人员规模较大，并且还有试制试验部门、各类项目组、外地设有研发分支部门。信息化设备千台以上、常用业务系统几十个，信息安全及数据安全形势严峻，资源共享利用要求较高。对计算机采用非集中化管理，软硬件故障高，无法保障终端桌面运行环境的统一，造成PLM、MES、邮件等业务系统、UG、CATIA、AUTOCAD 等设计工具故障及问题多，影响日常工作。

3 管理策略研究

为满足企业运营和信息化管理需求，建设企业域站点，完善AD 域管理，提高域控系统的安全性、可控性、可管理性、可靠性和可用性。本文以制造型企业域控建设为例，重点探讨在企业采用“分级管理，权限细分；分布部署，集中管理”的思想，基于AD 活动目录的基础架构建立域控分级管理体系。

4 总体规划

在进行域控规划过程中，主要以企业生产、运营或产品研发单位为主体，以业务为导向，项目组、异地产品研发机构等为分支机构进行总体考虑，明确域边界及需要的管控策略，逐步完成研发部门域控管理。

4.1 AD 域和DNS 规划

因为AD 作为整个IT 架构的基础，不会轻易调整，域命名和DNS 的规划需放在首要地位，建议考虑五年的需求，避免因修改造成人力物力损失，例如：站点域名yfys.com。

部署AD，首先完成DNS 服务器规划设计及部署，结合域控制器的要求进行配置。其具体条件如下：

4.1.1 DNS 服务器支持服务定位（SRV）资源记录

4.1.2 满足DNS 动态更新协议要求

支持到Windows Server 2016。

4.1.3 在集成AD 域中

区域数据存储在AD 域中，传送复制拓扑中避免管理单独一个DNS 区域。

4.1.4 管理员对计算机名称更新进行精确管控

杜绝非法计算机在DNS 服务器取得在用名称。

4.2 确定AD 域逻辑结构

4.2.1 域森林定义

企业级域森林是下属各部门域的集合。域或者森林的实施部署取决于企业的管理需要。独立的域或森林环境较易管理与部署，域间建立单双向信任关系，自动建立信任配置。

大型制造型企业下属公司、部门等较多，一般由多域或多个森林构成，每个森林或域均可设置管理员。森林或域通过构建信任关系，可设定不同的权限范围。森林的架构策略一般不建议更改。如果更改架构会影响到森林中的全部域。如果对统一的AD 公共架构策略不能达成共识，一个森林中必须有一个架构策略，而不是多个。

如企业因项目工作及异地产品研发协同工作需要，设置3 个域站点以及国外研发中心一个，YFYS 主根节点负责管理本部研发业务单位，YFTS 节点负责主要产品平台项目组,YFCS 节点负责海外研发中心的管理，YFKS 节点负责本部管理部门管理。三个域节点双向信任，组成一个域森林关系，同时对每个管理部门下发不同管理安全策略，以达到管理目的。

图2

4.2.2 制定域规划

进行企业级域结构规划时，要遵循“简单，高效”的设计原则，增加一些功能结构有可能对未来扩展有帮助，但简单结构的原则更需要坚持，总体结构简单更易于进行运维管理等工作。每个森林下不建议仅有一个域，如果这样做将会带来更多的管理开销，从而花费更多的人力物力，造成成本上升，因此，我们加入到森林里的域都要有益且尽量简化结构。

4.3 确定AD 物理结构

由于企业异地办公的需求，应该考虑使用多站点拓扑来规划物理结构。在域控建设过程中，考虑异地办公问题，通过电信专线或VPN 方式连接，采用三个站点拓扑结构完成系统建设。在系统建设中应注意以下几点：

企业内部以太网环境要求1000Mbps 以上，视为高速网络，通常建立单站点。

互联网环境、WAN 连接一般速度较低，视为低速网络。链路连接质量不如企业内网，适用于多站点连接。在多站点模式下，站点间的链接通过WAN 或互联网进行通信访问，AD 域终端则更多的是进行站点内的DC 间互访。

4.4 域OU 结构规划

组织单元（OU）是一个容器，主要在域中建立有组织结构的管理单位，是存储活动目录信息的容器。LDAP（轻量目录访问协议）寻址ADDS 一般是通过OU 来进行。系统管理员在域中创建OU 结构时，需要清楚“域边界”，明确域边界及今后策略覆盖范围。从业务需要划分管理模型的结构，而不是简单按照公司组织架构来创建OU 结构。进行OU 规划有以下建议：

OU 的存在，实现域中创建带有分层结构的目录树。在OU 的定义过程中，嵌套以二层为优，过多会使域运维过于复杂且效率很低，嵌套不建议超过四层。

针对域目录对象访问，可以采用OU 委派管理控制。

为了达到对用户终端环境的集中管控，同时对桌面进行策略或脚本控制，对此，我们建议在OU 上采用组策略控制。策略分两类，安全策略和用户策略，前者进行域级别实施，后者在OU 上实施。

在域管理过程中，例如企业研发部门，对产品开发项目组OU 规划设定在研发单位下属一级部门，以便对项目组管理进行特定策略下发管控，对于研发单位下属一级单位部署在同一OU。为提高效率，方便管理，OU 嵌套为两级。日常应用中，OU 结构不属于普通用户浏览使用资源。

图3 OU 结构

图4

5 域控管理策略应用

域控管理策略由OU 支持策略、站点组策略、本地组策略等策略构成，其中组策略中仅与安全设置有关的策略大致有160 多种，涉及注册表的策略有470 多种。在域控管理过程中，通过开发配置不同的策略，实现域安全、客户端环境管控、文件服务器权限配置、用户访问权限控制、账户管理。并且通过域树策略配置，满足不同部门，不同地域域站点信任及数据互访的需求。

图5 组策略类型

5.1 策略应用规则

5.1.1 策略继承与阻止

下级容器可以继承或阻止应用其上级容器的GPO 设置。

5.1.2 策略累加与冲突

多个GPO 设置在不冲突的情况下累加如冲突后应用生效。

5.1.3 策略强制生效

下级容器强制执行其上级容器的GPO 设置。

5.2 域控管理策略应用

域控管理策略应用较为丰富，以一般制造企业实施为例，简要介绍策略实际应用。

5.2.1 重定向策略

配置及发布重定向策略，就是把设计端重要的文件夹或数据存储位置转移到域控制器上或者其他服务器主机，实现对数据统一备份与管理。在实际使用过程中，我们对如应用程序数据（个人账户配置数据）、域客户端桌面、个人文档区等数据进行重定向。

表1

5.2.2 用户存储区配额策略

针对服务器存储空间依据用户进行空间配额限制，并进行相关存储访问控制权限配置，实现文件服务器存储动态管控的目标。

5.2.3 账户控制策略

5.2.3.1 域用户密码，通过密码策略（Password policies）可以使域客户端强制执行域密码规则，依据安全规定，密码长度6 位，格式为数字+字母形式，针对全域进行强制部署。

5.2.3.2 帐户锁定策略，根据安全防护要求，我们在部署域控账户时，特别制定账户锁定次数限制，用户密码输错5次，将被锁定，直到管理员进行解锁。

6 结论

随着信息技术的发展以及企业信息化程度的加深，如何有效管理企业众多信息化设备，并使之助力企业研发工作已成为研发管理者共同关注话题。基于微软AD 域模式，域控管理是规模化企业在产品开发过程很重要的一种IT 管理技术手段。通过其可以有效实现企业资源共享利用，实现企业信息化资源有序合理管控，达到企业节约增效的目的。