摘 要 本文主要應用AD域的概念實現跨地域的集團的域控服務,并用powershell編寫腳本以批量導入各子公司,以及相應的員工(用戶)。最后,編寫web應用小程序,以使每個用戶可以修改自己在集團域控制器中的賬戶密碼。
關鍵詞 AD;活動目錄;域控;域管理
中圖分類號:F276 文獻標識碼:A 文章編號:1671-7597(2015)02-0088-01
在我們的日常生活中經常會用到目錄(Directory)類型的數據及服務。例如:電話目錄:姓名,在每個姓名下有其電話、地址等信息;計算機中的文件目錄:記錄著子目錄,文件及文件大小等信息。這樣可以很方便地順著某個節點往下找到所需要的信息。如果用計算機實現這種目錄形式的查詢服務,就稱其為目錄服務。
AD(Active Directory)就是以目錄形式劃分的區域存儲計算機賬戶,打印機、共享文件夾等。Active Directory域的服務范圍可以是一臺計算機,也可以是一個局域網(LAN),也可以是整個廣域網(WAN)的結合,包含此范圍的所有對象:文件、打印機、應用程序、服務器、域控制器及用戶賬戶等等。
我公司(中船重工物資貿易集團有限公司)總部設在北京,在上海、沈陽、廣州、武漢、西安、天津等地有若干子公司。目前有ERP、OA等應用服務。每個子公司都有一個局域網,并通過VPN與總部連接。構成了一個類似目錄結構的組織架構。下面對AD域控管理在我公司的應用情況談點體會和看法。
1 AD域在我公司應用概況
由于我公司各子公司分散在不同區域。整個集團的賬戶需要根據不同的應用建立:通過VPN登錄總部內網需要建立一套登錄賬戶,登入總部OA又需要一套登錄賬戶,登入公司郵箱又是一套賬戶,新增一位員工需要新增多處的賬戶。對于個人來說密碼也需要設置在多個應用之中,使得認證的賬戶產生了冗余,不利于管理也給用戶帶來了不便。
在客戶端應用中需要為每個賬戶安裝應用程序。對于資源的共享只能控制在可以和不可以,不能限制某些用戶只能讀某文件而不能寫等更加細化的訪問控制。對于用戶的管理也帶來了不便,例如:哪些機器不能使用U盤,哪些不能上網等等都需要對個別的計算機上一一設置。總之,總部不能按需求管理到個別計算機。
為加強管理,我公司在總部建立了AD(Active Directory)域控服務,并使AD域名與公網網站域名相同,便于用戶使用,用戶只需使用一個相同的域名就可以連接到公司網絡。在公共的網站上用戶使用的SMTP地址和UPN名是同一個域名。同時將VPN的認證用戶以及OA的用戶都綁定到這個AD域上,包括企業郵箱。這樣,用戶只需管理一個密碼,管理人員也只要維護AD域的用戶。
由于各子公司的IT人員缺乏,目前我們將各子公司作為集團AD域的一個部門來處理,先解決VPN、OA等認證問題,隨著時間的推移,隨時可以將所有的計算機登錄域,享受軟件的發布,共享空間等等,并且可以按照子公司或部門設置策略加強管理。靈活應用。
2 具體實現
1)建立域服務:在AD DS域中,域控制器會將自己所扮演的角色注冊到DNS服務器內,以便讓其它計算機通過這臺DNS服務器找到這臺域控制器。因此必須有一臺DNS服務器:
通過【開始->運行->輸入dcpromo->單擊確定】按照提示安裝。
2)數據導入。
建立完域后,需要將各個部門以及部門下面的人員的信息導入到域中。首先在服務器上打開《Active Directory 用戶和計算機》,然后,在csemc.com上右擊->新建->組織單位。輸入csemc。我們后面所有的部門及人員都建立在這個下面。
部門導入后結果如下:
可以在powerShell執行導入腳本直接導入部門及用戶。用戶導入后結果如下:
因為已導入的是初始密碼,所以用戶要能夠隨時修改他自己的密碼。為此用Asp.net 編制的一段程序用以修改密碼。
3 結束語
目前大部分的軟件都支持AD域,例如:我們用的OA支持AD域可以簡化OA建立用戶、組等工作量。只需要按照AD域的組織來設置權限。
不僅如此,建立域控可以對每臺或者某一組織下的所有計算機,以及用戶設置各種權限,某些加密計算機不能使用U盤,不能上網等等管理功能。還可以為每一員工(用戶)分配磁盤空間,其它人不能訪問以及部門或公司的共享目錄。這樣可以真正做到移動辦公,自己的數據存入自己的空間,只要有網絡到哪兒都能訪問而且安全。統一發布office軟件,每一登入域的用戶都可以自動安裝使用。總之,應用廣泛,而且極為方便。
參考文獻
[1]戴有煒.Windows.Server.2008.R2.Active.Directory.配置指南2011.1.
[2]Christian Nagel,Bill Evjen,Jay Glynn 《Professional C# 4 and .NET 4》.
作者簡介
狄伯豪(1956-),男,高級工程師,目前在中船重工物資貿易集團有限公司信息管理辦公室從事集團信息化工作,ERP實施,系統管理與維護,數據庫服務及管理,1982年畢業于哈爾濱工程大學自動控制系,業余時間曾參加計算機軟件方面的系統培訓。