域环境的主要特点

合集下载
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

域环境的主要特点如下

◆集中管理

域环境可以实现对象(包括用户和计算机)和安全策略的集中管理和部署,这是域环境的最显著特点。域环境是C/S(客户机/服务器)管理模式在局域网构建中的应用。在域环境中,有专门用来管理或者提供服务的各种服务器,如用于对象、安全策略管理的各级域控制器(DC)。通过DC中的活动目录(AD)和域组策略就可以对整个网络中的用户账户(包括用户权限、权利)、计算机账户和安全管理策略进行统一管理,统一部署。这样一来,域环境中各成员计算机的角色并不是平等的,有管理(各服务器)和被管理(各客户机)之分。这是前面工作组网络所无法实现的。

◆多级账户和安全策略

在域环境中,域账户和安全策略可以有多级,最小的安全策略边界是域中的“组织单位”(OU),最大的安全边界是林;而用户账户可以是子域中的,也可以是父域中的。不同安全级别的配置应用是按照先本地,后域的规则进行的。在域层次中,则是按照精确度由低到高的顺序进行应用的。而最后应用的级别最高。如组策略的应用顺序是:本地组策略→站点组策略→域组策略→子域组策略→组织单位组策略。

因为存在多级账户和安全策略,所以在域环境中存在一个信任关系。也就是一个域可以与同一林中的其他域建立单向或者双向信任关系,不同林之间也可以建立单向或者双向信任关系。这样一来,就可以实现单向或者双向访问的目的。

◆默认信任

在工作组网络中,由于各用户账户都只是对各自计算机本地有效,所以各成员计算机之间根本没有信任关系,要访问就必须先进行身份验证。而在域环境中,域用户账户在整个域环境有效,所以加入了域的计算机都遵守了相同的信任协议,彼此相互信任,只要有域环境中合法的用户账户即可。这也是后面将要介绍的“单点登录”的基础和前提。

◆集中存储

这也是域环境的一大优势和特点。在域环境中的用户文档或者数据可以集在保存在网络中的一台或者多台相应服务器上。用户文档还可以保存在服务器上为每个用户创建的用户主目录中,并且该目录只有用户自己可以访问,包括网络管理员也不能访问(当然网络管理员可以更改访问权限),极大地保障了各用户私有文档的安全性。同时也方便了网络数据的存储,提高警惕了网络数据存储的安全性。这一点在工作组网络中无法实现,因为即使你可以把数据存储在其他用户计算机中,你的文档同样可以被那台机上的用户所浏览、修改,甚至删除。

◆单点登录

在域环境中,采用的是单点登录(Single Sing On,SSO)。在域环境中的所谓“单点登录”就是用户只需要使用域账户登录一次,就可以实现对整个域环境共享资源的访问(当然这是要在授予了访问权限的前提下),而无需在访问不同计算机上共享资源时输入不同的账户信息。这就大大减化了网络资源的访问验证过程。在工作组网络中,因为安全边界就是各用户计算机本身,用户账户都是存储在各用户计算机上,所以无法实现网络中的单点登录。

当然,单点登录不仅应用于域环境用户的登录,它同样广泛应用于其他支持单点登录的应用系统,用户只需要登录一次就可以访问所有相互信任的应用系统。单点登录原理就是网络中的所有成员都信任同一套身份验证系统,可以是用户账户、也可以是用户邮箱名,还可以其他应用系统的帐号。

◆采用DNS解析协议

在域环境中,用户计算机名称和IP地址的解析是通过DNS(Domain Name Services,域名服务)协议来进行的,而不再使用NetBIOS协议。但是对于不支持DNS协议的早期操作

系统(如DOS、Windows 95),仍能提供基于NetBIOS名称解析的。DNS名称是以“.“分隔的,具有层次结构的名称,最大长度为255个字符,比NetBIOS名称允许的长度长了许多。

◆支持漫游配置

在域环境中,每个域用户账户都可以在域环境中任意一台允许本地登录的计算机上登录域环境,只要该计算机与DC在同一个网络中即可。而且用户的桌面环境及其他账户配置不会因在不同计算机上登录而不同,因为域环境支持全局漫游用户配置文件。这样就极大方便了用户的网络访问。(同时可以在服务器上配置限制单个用户帐号只能登录指定的某台电脑)3、域环境的主要优缺点

与任何事务都没有绝对的优点,也没有绝对的缺点一样,域管理模式与工作组管理模式相比,也存在一定的优点与缺点。

⏹管理更方便

因为域环境可以实现在一台服务器上对用户/计算机账户和安全策略的集中管理,对于管理员来说,就可以更方便地管理整个网络的用户账户(包括用户账户权限和权利)和安全策略。而不必分别到各用户计算机上分别配置。这对于网络规模较大的网络来说,优势更加明显。所以说,一般来说,域环境比较适用于较大型的网络,但也不是从性能上来考虑的。

⏹安全性更高

因为域环境的全局用户账户和安全策略都是集中在一台或者少数几台DC上进行配置与管理的,所以相对工作组网络来说,这些配置的安全性就更高,更不容易被人攻击和破解。同样,由于域环境中的用户数据可以偏大中存放在一台或者少数几台服务器上,企业网络数据也就更安全。

⏹网络访问更方便

在前面的主要特点中介绍到,域环境是采用单点登录方式,用户只需要用户域账户登录一次域环境,就可以无限地访问允许访问的所有网络资源,而无需反复输入不同账户信息进行身份验证。

⏹有专门的高性能服务器

因为在域环境中的用户账户、计算机账户、域环境安全策略等都是在DC上进行统一部署和管理的,所以需要有专门的高性能服务器来担当。对于企业说,相当于增加了一笔不小的开支。

⏹安全配置更复杂

因为在域环境中涉及到多级安全策略,各级策略的应用又有一定规则,所以总体来说,安全配置更为复杂,不容易掌握。这对管理员的技能水平要求更高。

⏹网络性能较低

因为在域环境中的用户账户和安全策略都是在网络中的服务器上进行统一部署的,而且域环境中可能存在多级安全策略,所以用户在登录和进行网络访问时的性能不如工作组网络,存在一定的延时,特别是在大的域环境,或者安全策略配置复杂(安全级别太多,采用的安全通信协议太多,安全策略设置启用太多等)、安全策略配置不合理(如存在许多冲突设置项)的域环境中表现尤其突出。

相关文档
最新文档