大多数企业使用的都是域环境,不管是WINDOWS2000\WINDOWS2003,还是WINDOWS2008 R2,需要用域控来管理企业内部的信息资源,域控的好处在于集中管理,对整个企业的资源进行更有效的分配。好比一个王国一样,有城墙保护大家的安全,王国里有一套管理机构,维持王国的正常次序,这就是我们大家使用的域环境。安全和管理是域控的主要职能,为企业内用户提供一个稳定可靠的信息平台,使得大家都能够相互协作,一起干好工作。同时域也是个目录提供商,方便每个域用户查找资源,包括文件共享,打印共享,分发软件,集中管理等等功能。
其实域控并不神秘,实现起来比较容易,我们先构建一个大体框架,对域内的预控职能划分:主域、从域、子域、域根、多域,由不同的角色来管理不同级别的域控。Enterprise Administrator是整个域森林的管理员,下一级是Domain Administrator仅是管理整个域的管理员,最下面是Local Administrator,只负责本地计算机的资源管理。所谓:权力越大,责任越大。做为域管理员的责任重大,不光要保证域安全,对信息更新维护有一套明确的流程。
通常情况下,我们是通过远程桌面去管理域控,使用域管理员去登录,主要做用户维护,建帐号,停用帐号,解锁,重置密码等工作,日常麻烦事不少。为减轻我们的工作,我们可使用系统安装盘内的adminpak.msi在客户端安装,管理员可以在本地客户机上通过一系列的微软管理控制台(MMC)工具对网络内的用户及计算机进行统一管理,以及管理整个域资源。这样我们就不必把时间浪费在远程登录上,集中精力放在管理上。具体使用方法是用域管理员在客户端登陆,安装adminpak.msi,在MMC控制台中筛选常用的功能:AD用户和计算机,将MMC保存下来,然后制作一个”Runas”的批处理文件,即使在别的用户下输入正确的密码后也能正常使用管理工具来管理域控。
对于常用的“AD用户和计算机”功能,我们在每次进行操作时到要记录日志,系统也会自动生成日志,但默认情况下系统会循环使用日志文件,一方面可以更严格的管理,另一方面为以后排错提供依据,我们要会定期备份这个日志文件,作为机房管理的一部分去做。AD用户和计算机为了便于管理,分到不同的OU内,这个OU可以是部门划分,也可以是某个项目,根据企业需要设立,对不同的OU分配不同的用户组,给不同的权限,推一些特色的应用。AD域和信任关系是指被信任方可以访问信任方的资源,可以是双向,也可以是单向,域之间建立信任后,被信任方直接可以登陆信任方的电脑。是敌还是友,全在这当中设置。AD站点服务是对不同站点信息同步的设置,由于站点之间复制信息量大,所以设置在闲时去复制,当然还要考虑是否影响到工作。举个简单例子:假如这个Site的DNS信息,没有传到别的Site,那么它们是无法访问这个DNS信息。
域服务器是个整体,正因为其作用巨大,一方面专人专管,限制IT内部人员的权限,另一方面对信息复制都有要求,“委任控制”可以实现把管理权力分开缩小,这样起到监督和约束作用。管理域服务器任重道远,如何让其可靠运行是需要我们努力思考的!
本文转自 zhaiken 51CTO博客,原文链接:http://blog.51cto.com/zhaiken/305822,如需转载请自行联系原作者
