域管理方案建议

域管理的方案与应用

一：计算机域的一些基本概念：

域是一个有安全边界的计算机集合，在同一个域中的计算机彼此之间已经建立了信任关系，在域内访问其他机器，不再需要被访问机器的许可了。为什么是这样的呢？因为在加入域的时候，管理员为每个计算机在域中建立了一个计算机帐户，这个帐户和用户帐户一样，也有密码保护的。可是大家要问了，我没有输入过什么密码啊，是的，你确实没有输入，计算机帐户的密码不叫密码，在域中称为登录票据，它是由域控制器上的KDC服务来颁发和维护的。是由域服务器来统一设置用户跟密码的.

其实上我们可以把域和工作组联系起来理解,在工作组上你一切的设置在本机上进行包括各种策略，用户登录也是登录在本机的，密码是放在本机的数据库来验证的。而如果你的计算机加入域的话，各种策略是域控制器统一设定，用户名和密码也是放到域控制器去验证，也就是说你的账号密码可以在同一域的任何一台计算机登录。

不过在“域”模式下，至少有一台服务器负责每一台联入网络的电脑和用户的验证工作，相当于一个单位的门卫一样，称为“域控制器”。域控制器中包含了由这个域的账户、密码、属于这个域的计算机等信息构成的数据库。当电脑联入网络时，域控制器首先要鉴别这台电脑是否是属于这个域的，用户使用的登录账号是否存在、密码是否正确。如果以上信息有一样不正确，那么域控制器就会拒绝这个用户从这台电脑登录。不能登录，用户就不能访问服务器上有权限保护的资源，他只能以对等网用户的方式访问Windows共享出来的资源，这样就在一定程度上保护了网络上的资源。

要把一台电脑加入域，仅仅使它和服务器在网上邻居中能够相互“看”到是远远不够的，必须要由网络管理员进行相应的设置，把这台电脑加入到域中。这样才能实现文件的共享。集中统一，便于管理。

二：网络施行域管理的优点

1、客户机加入域、账户以域用户登录，通过组策略设置计算机、用户策略能够增强客户端安全性、减少客户端故障，降低维护成本。

2、使用漫游账户和文件夹重定向技术，个人账户的工作文件及数据等可以存储在服务器上，统一进行备份、管理，用户的数据更加安全、有保障。当客户机故障时，只需使用其他客户机安装相应软件以用户帐号登录即可，用户会发现自己的文件仍然在“原来的位置”（比如，我的文档），没有丢失，从而可以更快地进行故障修复。

3.安全性高。有利于企业的一些保密资料的管理,比如说哪一个文件只让哪个人看,或者让某些人可以看,但不可以删/改/移等

三：XXXX施行域管理的步骤以及需要准备的事项

1：首先将所有的计算机重新命名，以拼音或者英文命名，使用中文容易导致网络某些功能失效。

2：需要准备一台域服务器，对下面域用户进行管理用的。域服务器建议购买HP、浪潮品牌的，不建议使用联想、IBM等其他牌子。

3：准备一套网络杀毒软件，每次只需要域服务器上的杀毒服务端更新病毒库即可。建议软件：赛门铁克·瑞星网络杀毒。

4：内部邮件分发系统，建议购买正版的邮件系统。只允许客户端将邮件发往内部，而无法直接发送至外部网络，经由管理人员审核以后。才可以发送。

5：将所有机器的光驱拆卸下来，防止客户端机器擅自更改系统，破解系统密码，任意拷贝东西。

6：将USB口使用封条封住，任何人禁止使用USB输入输出设备，防止内部资料流出。

7：禁止将外来计算机与内部网络连接，既个人计算机禁止带入企业使用，以及与网络连接。最大程度防止资料被恶意拷贝，以及中毒。禁止个人使用USB设备拷贝文件。

建议服务器配置：四核CPU、4G内存、千兆网卡、2T~~10T之间大小的硬盘（需要做磁盘阵列）、不间断电源（一千伏安、30分钟以上）WINDOWS 2003 建议网络环境：网络交换机为千兆交换机（最次主交换为千兆交换机），否则网络登录会比较慢。

建议网络杀毒软件：赛门铁克标准50用户版以上。