AD 域控技術(shù)在制造型企業(yè)的應(yīng)用

李穎，白鵬

（陜西重型汽車有限公司，陜西 西安 710200）

前言

域控是為解決企業(yè)分布式終端設(shè)備集中化管理應(yīng)用的關(guān)鍵技術(shù)，如企業(yè)局域網(wǎng)、園區(qū)網(wǎng)設(shè)備等。早期NOVELL 的技術(shù)是它核心思想和協(xié)議來源，并在此基礎(chǔ)上進(jìn)行技術(shù)發(fā)展和演進(jìn)。利用AD 域技術(shù)對(duì)企業(yè)生產(chǎn)、管理、研發(fā)等機(jī)構(gòu)和部門進(jìn)行域控管理，可以有效地加強(qiáng)企業(yè)IT 系統(tǒng)及網(wǎng)絡(luò)系統(tǒng)的管控，提高企業(yè)信息化技術(shù)服務(wù)效率，為異地辦公提供技術(shù)支撐，實(shí)現(xiàn)權(quán)限可控狀態(tài)下的技術(shù)文檔和資源共享。

1 AD 域控管理功能及優(yōu)勢(shì)

信息化程度的加深導(dǎo)致企業(yè)信息化資源成規(guī)模擴(kuò)大，傳統(tǒng)分布式系統(tǒng)工作模式已不能滿足企業(yè)管理過程中各類信息對(duì)象管理需要。AD 域集中化管控，滿足企業(yè)信息化過程中信息管控、異地協(xié)同辦公、技術(shù)資源受控利用等需求，實(shí)現(xiàn)企業(yè)信息化管理水平的提升。

1.1 集中化的身份驗(yàn)證

在企業(yè)用戶管理中，用戶的審核驗(yàn)證以及訪問控制工作簡(jiǎn)單、重復(fù)，跟容易出錯(cuò)。AD 域目錄集中進(jìn)行用戶管理、服務(wù)器訪問控制權(quán)限管理，并加強(qiáng)基于角色的安全性。

由于AD 數(shù)據(jù)庫的存在，可以在域控制器上集中管理分散的研究院設(shè)計(jì)用戶工作圖站，實(shí)現(xiàn)設(shè)計(jì)用戶在任何域終端節(jié)點(diǎn)進(jìn)行漫游。如SMS 等其他產(chǎn)品也根據(jù)需求與這個(gè)統(tǒng)一身份認(rèn)證體系集成，應(yīng)用類的門戶和其他業(yè)務(wù)系統(tǒng)也可完成上述集成。此外，由于開放LDAP 協(xié)議，第三方產(chǎn)品也可以集成到這個(gè)統(tǒng)一的身份驗(yàn)證體系中來。

1.2 資源集中化檢索利用

集中統(tǒng)一的身份認(rèn)證體系、集成DFS、控制管理網(wǎng)絡(luò)共享資源等能力，使得通過AD 域有能力將分散在網(wǎng)絡(luò)上的資源進(jìn)行集中檢索和權(quán)限管控。利用AD 的這一特性，理論上說，管理員可以建立一個(gè)完全分布式的文件存儲(chǔ)系統(tǒng)，將各類網(wǎng)絡(luò)存儲(chǔ)，研究院專用文件服務(wù)器，設(shè)計(jì)人員圖站上的分散存儲(chǔ)集中起來管理和應(yīng)用。

1.3 策略控制與權(quán)限集中化管理

AD 域的審核驗(yàn)證機(jī)制保證了用戶身份驗(yàn)證、用戶權(quán)限控制管理的集中化管理?？煞址℅PO 技術(shù)的引入，使集中管控分散在Windows 終端上的組策略成為現(xiàn)實(shí)。注冊(cè)表開關(guān)及腳本控制客戶端操作系統(tǒng)特性的重要工具就是組策略，組策略的集中管控滿足了管理員對(duì)全部Windows 網(wǎng)絡(luò)中研發(fā)人員圖站的大規(guī)模管理和控制。

1.4 AD 域提升終端系統(tǒng)管理效率

分布式計(jì)算機(jī)架構(gòu)管理維護(hù)工作繁重，時(shí)間消耗較大，運(yùn)維管理重復(fù)工作較多。造成人力物力資源浪費(fèi)，用戶規(guī)模較大時(shí)，常因故障得不到及時(shí)解決導(dǎo)致設(shè)計(jì)用戶抱怨。通過在單一的位置管理用戶、組和網(wǎng)絡(luò)資源、進(jìn)行補(bǔ)丁或軟件發(fā)放或管理域終端桌面系統(tǒng)，能夠有效減少重復(fù)工作量，減少運(yùn)維人員，達(dá)到企業(yè)降成本目標(biāo)。

圖1 典型AD 域樹林結(jié)構(gòu)圖

2 制造型企業(yè)面臨的現(xiàn)狀和問題

隨著近年我國制造業(yè)蓬勃發(fā)展，大中型制造企業(yè)生產(chǎn)、運(yùn)營及研發(fā)業(yè)務(wù)繁多，人員規(guī)模較大，并且還有試制試驗(yàn)部門、各類項(xiàng)目組、外地設(shè)有研發(fā)分支部門。信息化設(shè)備千臺(tái)以上、常用業(yè)務(wù)系統(tǒng)幾十個(gè)，信息安全及數(shù)據(jù)安全形勢(shì)嚴(yán)峻，資源共享利用要求較高。對(duì)計(jì)算機(jī)采用非集中化管理，軟硬件故障高，無法保障終端桌面運(yùn)行環(huán)境的統(tǒng)一，造成PLM、MES、郵件等業(yè)務(wù)系統(tǒng)、UG、CATIA、AUTOCAD 等設(shè)計(jì)工具故障及問題多，影響日常工作。

3 管理策略研究

為滿足企業(yè)運(yùn)營和信息化管理需求，建設(shè)企業(yè)域站點(diǎn)，完善AD 域管理，提高域控系統(tǒng)的安全性、可控性、可管理性、可靠性和可用性。本文以制造型企業(yè)域控建設(shè)為例，重點(diǎn)探討在企業(yè)采用“分級(jí)管理，權(quán)限細(xì)分；分布部署，集中管理”的思想，基于AD 活動(dòng)目錄的基礎(chǔ)架構(gòu)建立域控分級(jí)管理體系。

4 總體規(guī)劃

在進(jìn)行域控規(guī)劃過程中，主要以企業(yè)生產(chǎn)、運(yùn)營或產(chǎn)品研發(fā)單位為主體，以業(yè)務(wù)為導(dǎo)向，項(xiàng)目組、異地產(chǎn)品研發(fā)機(jī)構(gòu)等為分支機(jī)構(gòu)進(jìn)行總體考慮，明確域邊界及需要的管控策略，逐步完成研發(fā)部門域控管理。

4.1 AD 域和DNS 規(guī)劃

因?yàn)锳D 作為整個(gè)IT 架構(gòu)的基礎(chǔ)，不會(huì)輕易調(diào)整，域命名和DNS 的規(guī)劃需放在首要地位，建議考慮五年的需求，避免因修改造成人力物力損失，例如：站點(diǎn)域名yfys.com。

部署AD，首先完成DNS 服務(wù)器規(guī)劃設(shè)計(jì)及部署，結(jié)合域控制器的要求進(jìn)行配置。其具體條件如下：

4.1.1 DNS 服務(wù)器支持服務(wù)定位（SRV）資源記錄

4.1.2 滿足DNS 動(dòng)態(tài)更新協(xié)議要求

支持到Windows Server 2016。

4.1.3 在集成AD 域中

區(qū)域數(shù)據(jù)存儲(chǔ)在AD 域中，傳送復(fù)制拓?fù)渲斜苊夤芾韱为?dú)一個(gè)DNS 區(qū)域。

4.1.4 管理員對(duì)計(jì)算機(jī)名稱更新進(jìn)行精確管控

杜絕非法計(jì)算機(jī)在DNS 服務(wù)器取得在用名稱。

4.2 確定AD 域邏輯結(jié)構(gòu)

4.2.1 域森林定義

企業(yè)級(jí)域森林是下屬各部門域的集合。域或者森林的實(shí)施部署取決于企業(yè)的管理需要。獨(dú)立的域或森林環(huán)境較易管理與部署，域間建立單雙向信任關(guān)系，自動(dòng)建立信任配置。

大型制造型企業(yè)下屬公司、部門等較多，一般由多域或多個(gè)森林構(gòu)成，每個(gè)森林或域均可設(shè)置管理員。森林或域通過構(gòu)建信任關(guān)系，可設(shè)定不同的權(quán)限范圍。森林的架構(gòu)策略一般不建議更改。如果更改架構(gòu)會(huì)影響到森林中的全部域。如果對(duì)統(tǒng)一的AD 公共架構(gòu)策略不能達(dá)成共識(shí)，一個(gè)森林中必須有一個(gè)架構(gòu)策略，而不是多個(gè)。

如企業(yè)因項(xiàng)目工作及異地產(chǎn)品研發(fā)協(xié)同工作需要，設(shè)置3 個(gè)域站點(diǎn)以及國外研發(fā)中心一個(gè)，YFYS 主根節(jié)點(diǎn)負(fù)責(zé)管理本部研發(fā)業(yè)務(wù)單位，YFTS 節(jié)點(diǎn)負(fù)責(zé)主要產(chǎn)品平臺(tái)項(xiàng)目組,YFCS 節(jié)點(diǎn)負(fù)責(zé)海外研發(fā)中心的管理，YFKS 節(jié)點(diǎn)負(fù)責(zé)本部管理部門管理。三個(gè)域節(jié)點(diǎn)雙向信任，組成一個(gè)域森林關(guān)系，同時(shí)對(duì)每個(gè)管理部門下發(fā)不同管理安全策略，以達(dá)到管理目的。

圖2

4.2.2 制定域規(guī)劃

進(jìn)行企業(yè)級(jí)域結(jié)構(gòu)規(guī)劃時(shí)，要遵循“簡(jiǎn)單，高效”的設(shè)計(jì)原則，增加一些功能結(jié)構(gòu)有可能對(duì)未來擴(kuò)展有幫助，但簡(jiǎn)單結(jié)構(gòu)的原則更需要堅(jiān)持，總體結(jié)構(gòu)簡(jiǎn)單更易于進(jìn)行運(yùn)維管理等工作。每個(gè)森林下不建議僅有一個(gè)域，如果這樣做將會(huì)帶來更多的管理開銷，從而花費(fèi)更多的人力物力，造成成本上升，因此，我們加入到森林里的域都要有益且盡量簡(jiǎn)化結(jié)構(gòu)。

4.3 確定AD 物理結(jié)構(gòu)

由于企業(yè)異地辦公的需求，應(yīng)該考慮使用多站點(diǎn)拓?fù)鋪硪?guī)劃物理結(jié)構(gòu)。在域控建設(shè)過程中，考慮異地辦公問題，通過電信專線或VPN 方式連接，采用三個(gè)站點(diǎn)拓?fù)浣Y(jié)構(gòu)完成系統(tǒng)建設(shè)。在系統(tǒng)建設(shè)中應(yīng)注意以下幾點(diǎn)：

企業(yè)內(nèi)部以太網(wǎng)環(huán)境要求1000Mbps 以上，視為高速網(wǎng)絡(luò)，通常建立單站點(diǎn)。

互聯(lián)網(wǎng)環(huán)境、WAN 連接一般速度較低，視為低速網(wǎng)絡(luò)。鏈路連接質(zhì)量不如企業(yè)內(nèi)網(wǎng)，適用于多站點(diǎn)連接。在多站點(diǎn)模式下，站點(diǎn)間的鏈接通過WAN 或互聯(lián)網(wǎng)進(jìn)行通信訪問，AD 域終端則更多的是進(jìn)行站點(diǎn)內(nèi)的DC 間互訪。

4.4 域OU 結(jié)構(gòu)規(guī)劃

組織單元（OU）是一個(gè)容器，主要在域中建立有組織結(jié)構(gòu)的管理單位，是存儲(chǔ)活動(dòng)目錄信息的容器。LDAP（輕量目錄訪問協(xié)議）尋址ADDS 一般是通過OU 來進(jìn)行。系統(tǒng)管理員在域中創(chuàng)建OU 結(jié)構(gòu)時(shí)，需要清楚“域邊界”，明確域邊界及今后策略覆蓋范圍。從業(yè)務(wù)需要?jiǎng)澐止芾砟Ｐ偷慕Y(jié)構(gòu)，而不是簡(jiǎn)單按照公司組織架構(gòu)來創(chuàng)建OU 結(jié)構(gòu)。進(jìn)行OU 規(guī)劃有以下建議：

OU 的存在，實(shí)現(xiàn)域中創(chuàng)建帶有分層結(jié)構(gòu)的目錄樹。在OU 的定義過程中，嵌套以二層為優(yōu)，過多會(huì)使域運(yùn)維過于復(fù)雜且效率很低，嵌套不建議超過四層。

針對(duì)域目錄對(duì)象訪問，可以采用OU 委派管理控制。

為了達(dá)到對(duì)用戶終端環(huán)境的集中管控，同時(shí)對(duì)桌面進(jìn)行策略或腳本控制，對(duì)此，我們建議在OU 上采用組策略控制。策略分兩類，安全策略和用戶策略，前者進(jìn)行域級(jí)別實(shí)施，后者在OU 上實(shí)施。

在域管理過程中，例如企業(yè)研發(fā)部門，對(duì)產(chǎn)品開發(fā)項(xiàng)目組OU 規(guī)劃設(shè)定在研發(fā)單位下屬一級(jí)部門，以便對(duì)項(xiàng)目組管理進(jìn)行特定策略下發(fā)管控，對(duì)于研發(fā)單位下屬一級(jí)單位部署在同一OU。為提高效率，方便管理，OU 嵌套為兩級(jí)。日常應(yīng)用中，OU 結(jié)構(gòu)不屬于普通用戶瀏覽使用資源。

圖3 OU 結(jié)構(gòu)

圖4

5 域控管理策略應(yīng)用

域控管理策略由OU 支持策略、站點(diǎn)組策略、本地組策略等策略構(gòu)成，其中組策略中僅與安全設(shè)置有關(guān)的策略大致有160 多種，涉及注冊(cè)表的策略有470 多種。在域控管理過程中，通過開發(fā)配置不同的策略，實(shí)現(xiàn)域安全、客戶端環(huán)境管控、文件服務(wù)器權(quán)限配置、用戶訪問權(quán)限控制、賬戶管理。并且通過域樹策略配置，滿足不同部門，不同地域域站點(diǎn)信任及數(shù)據(jù)互訪的需求。

圖5 組策略類型

5.1 策略應(yīng)用規(guī)則

5.1.1 策略繼承與阻止

下級(jí)容器可以繼承或阻止應(yīng)用其上級(jí)容器的GPO 設(shè)置。

5.1.2 策略累加與沖突

多個(gè)GPO 設(shè)置在不沖突的情況下累加如沖突后應(yīng)用生效。

5.1.3 策略強(qiáng)制生效

下級(jí)容器強(qiáng)制執(zhí)行其上級(jí)容器的GPO 設(shè)置。

5.2 域控管理策略應(yīng)用

域控管理策略應(yīng)用較為豐富，以一般制造企業(yè)實(shí)施為例，簡(jiǎn)要介紹策略實(shí)際應(yīng)用。

5.2.1 重定向策略

配置及發(fā)布重定向策略，就是把設(shè)計(jì)端重要的文件夾或數(shù)據(jù)存儲(chǔ)位置轉(zhuǎn)移到域控制器上或者其他服務(wù)器主機(jī)，實(shí)現(xiàn)對(duì)數(shù)據(jù)統(tǒng)一備份與管理。在實(shí)際使用過程中，我們對(duì)如應(yīng)用程序數(shù)據(jù)（個(gè)人賬戶配置數(shù)據(jù)）、域客戶端桌面、個(gè)人文檔區(qū)等數(shù)據(jù)進(jìn)行重定向。

表1

5.2.2 用戶存儲(chǔ)區(qū)配額策略

針對(duì)服務(wù)器存儲(chǔ)空間依據(jù)用戶進(jìn)行空間配額限制，并進(jìn)行相關(guān)存儲(chǔ)訪問控制權(quán)限配置，實(shí)現(xiàn)文件服務(wù)器存儲(chǔ)動(dòng)態(tài)管控的目標(biāo)。

5.2.3 賬戶控制策略

5.2.3.1 域用戶密碼，通過密碼策略（Password policies）可以使域客戶端強(qiáng)制執(zhí)行域密碼規(guī)則，依據(jù)安全規(guī)定，密碼長度6 位，格式為數(shù)字+字母形式，針對(duì)全域進(jìn)行強(qiáng)制部署。

5.2.3.2 帳戶鎖定策略，根據(jù)安全防護(hù)要求，我們?cè)诓渴鹩蚩刭~戶時(shí)，特別制定賬戶鎖定次數(shù)限制，用戶密碼輸錯(cuò)5次，將被鎖定，直到管理員進(jìn)行解鎖。

6 結(jié)論

隨著信息技術(shù)的發(fā)展以及企業(yè)信息化程度的加深，如何有效管理企業(yè)眾多信息化設(shè)備，并使之助力企業(yè)研發(fā)工作已成為研發(fā)管理者共同關(guān)注話題?；谖④汚D 域模式，域控管理是規(guī)?；髽I(yè)在產(chǎn)品開發(fā)過程很重要的一種IT 管理技術(shù)手段。通過其可以有效實(shí)現(xiàn)企業(yè)資源共享利用，實(shí)現(xiàn)企業(yè)信息化資源有序合理管控，達(dá)到企業(yè)節(jié)約增效的目的。