一、什麼是AD域
域”的真正含義指的是服務器控制網絡上的計算機能否加入的計算機組合。
一提到組合,勢必需要嚴格的控制。所以實行嚴格的管理對網絡安全是非常必要的。在對等網模式下,任何一臺電腦只要接入網絡,其他機器就都可以訪問共享資源,如共享上網等。儘管對等網絡上的共享文件可以加訪問密碼,但是非常容易被破解。數據的傳輸是非常不安全的。不過在“域”模式下,至少有一臺服務器負責每一臺聯入網絡的電腦和用戶的驗證工作,相當於一個單位的門衛一樣,稱爲“域控制器”。
域控制器中包含了由這個域的賬戶、密碼、屬於這個域的計算機等信息構成的數據庫。當電腦聯入網絡時,域控制器首先要鑑別這臺電腦是否是屬於這個域的,用戶使用的登錄賬號是否存在、密碼是否正確。如果以上信息有一樣不正確,那麼域控制器就會拒絕這個用戶從這臺電腦登錄。不能登錄,用戶就不能訪問服務器上有權限保護的資源,他只能以對等網用戶的方式訪問Windows共享出來的資源,這樣就在一定程度上保護了網絡上的資源。要把一臺電腦加入域,僅僅使它和服務器在網上鄰居中能夠相互“看”到是遠遠不夠的,必須要由網絡管理員進行相應的設置,把這臺電腦加入到域中。這樣才能實現文件的共享。
二、爲什麼需要AD域
微軟管理計算機可以使用域和工作組兩個模型,默認情況下計算機安裝完操作系統後是隸屬於工作組的。我們從很多書裏可以看到對工作組特點的描述,例如工作組屬於分散管理,適合小型網絡等等。
實例:
假設現在工作組內有兩臺計算機,一臺是服務器,一臺是客戶機。服務器的職能大家都知道,無非是提供資源和分配資源。服務器提供的資源有多種形式,可以是共享文件夾,可以是共享打印機,可以是電子郵箱,也可以是數據庫等等。現在服務器提供一個簡單的共享文件夾作爲服務資源,我們的任務是要把這個共享文件夾的訪問權限授予公司內的員工張三,注意,這個文件夾只有張三一個人可以訪問!那我們就要考慮一下如何才能實現這個任務,一般情況下管理員的思路都是在服務器上爲張三這個用戶創建一個用戶賬號,如果訪問者能回答出張三賬號的用戶名和密碼,我們就認可這個訪問者就是張三。
看完了這個實例之後,很多朋友可能會想,在工作組模式下這個問題解決得很好啊,我們不是成功地實現了預期目標嘛!沒錯,在這個小型網絡中,確實工作組模型沒有暴露出什麼問題。但是我們要把問題擴展一下!現在假設公司不是一臺服務器,而是500臺服務器,這大致是一箇中型公司的規模,那麼我們的麻煩就來了。如果這500臺服務器上都有資源要分配給張三,那會有什麼樣的後果呢?由於工作組的特點是分散管理,那麼意味着每臺服務器都要給張三創建一個用戶賬號!張三這個用戶就必須痛不欲生地記住自己在每個服務器上的用戶名和密碼。而服務器管理員也好不到哪兒去,每個用戶賬號都重新創建500次!如果公司內有1000人呢?我們難以想象這麼管理網絡資源的後果,這一切的根源都是由於工作組的分散管理!現在大家明白爲什麼工作組不適合在大型的網絡環境下工作了吧,工作組這種散漫的管理方式和大型網絡所要求的高效率是背道而馳的。
2.1、權限管理集中、管理成本下降
域環境,所有網絡資源,包括用戶,均是在域控制器上維護,便於集中管理。所有用戶只要登入到域,在域內均能進行身份驗證,管理人員可以較好的管理計算機資源,管理網絡的成本大大降低。防止公司員工在客戶端隨意安裝軟件, 能夠增強客戶端安全性、減少客戶端故障,降低維護成本。通過域管理可以有效的分發和指派軟件、補丁等,實現網絡內的一起安裝,保證網絡內軟件的統一性。限制員工上網環境,禁止訪問非工作以外的其他網站。
2.2、安全性能加強、權限更加分明
有利於公司的一些保密資料的管理,比如說某個盤允許某個人可以讀寫,但另一個人就不可以讀寫;哪一個文件只讓哪個人看;或者讓某些人可以看,但不可以刪/改/移等。可以封掉客戶端的USB端口,防止公司機密資料的外泄。安全性完全與活動目錄集成。
不僅可在目錄中的每個對象上定義訪問控制,而且還可在每個對象的屬性上定義。
活動目錄提供安全策略的存儲和應用範圍。
安全策略可包含帳戶信息:如域範圍內的密碼限制或對特定域資源的訪問權;通過組策略設置下發並執行安全策略。
2.3、賬戶漫遊和文件夾重定向
個人賬戶的工作文件及數據等可以存儲在服務器上,統一進行備份、管理,用戶的數據更加安全、有保障。當客戶機故障時,只需使用其他客戶機安裝相應軟件以用戶帳號登錄即可,用戶會發現自己的文件仍然在“原來的位置”(比如,我的文檔),沒有丟失,從而可以更快地進行故障修復。在服務器離線時(故障或其他情況),“脫機文件夾”技術會自動讓用戶使用文件的本地緩存版本繼續工作,並在註銷或登錄系統時與服務器上的文件同步,保證用戶的工作不會被打斷。
2.4、方便用戶使用各種共享資源
可由管理員指派登錄腳本映射分佈式文件系統根目錄,統一管理。用戶登錄後就可以像使用本地盤符一樣,使用網絡上的資源,且不需再次輸入密碼,用戶也只需記住一對用戶名/密碼即可。各種資源的訪問、讀取、修改權限均可設置,不同的賬戶可以有不同的訪問權限。即使資源位置改變,用戶也不需任何操作,只需管理員修改鏈接指向並設置相關權限即可,用戶甚至不會意識到資源位置的改變,不用像從前那樣,必須記住哪些資源在哪臺服務器上。