醫(yī)院局域網(wǎng)域管理方案

奚波

摘要：在醫(yī)院局域網(wǎng)絡(luò)管理中，怎樣對(duì)網(wǎng)絡(luò)中的資源進(jìn)行合理的劃分，對(duì)用戶權(quán)限進(jìn)行合理的分配，是一項(xiàng)繁雜而又細(xì)致的重要工作。該文通過具體實(shí)驗(yàn)操作的模式，介紹了如何使用Windows域服務(wù)對(duì)網(wǎng)絡(luò)中的資源和用戶進(jìn)行管理，逐步探索出了一套行之有效的局域網(wǎng)絡(luò)資源管理方案，借此讓更多的網(wǎng)絡(luò)管理人員可以制定出符合自己醫(yī)院的局域網(wǎng)絡(luò)管理方案，以此來規(guī)范醫(yī)院網(wǎng)絡(luò)管理，提高工作效率。

關(guān)鍵詞：Windows域;局域網(wǎng);用戶管理

中圖分類號(hào)：TP393? ? ? ? 文獻(xiàn)標(biāo)識(shí)碼：A

文章編號(hào)：1009-3044（2022）09-0013-04

Windows域是一種計(jì)算機(jī)網(wǎng)絡(luò)的管理形式，其中所有的用戶賬戶、網(wǎng)絡(luò)資源（包括計(jì)算機(jī)、網(wǎng)絡(luò)打印機(jī)、共享文件夾等）和其他安全主體都在網(wǎng)絡(luò)中的一個(gè)或一組域控制器的數(shù)據(jù)庫中進(jìn)行注冊(cè)。在“域”模式下，用戶對(duì)網(wǎng)絡(luò)中的資源的訪問有較嚴(yán)格的管理，在網(wǎng)絡(luò)中至少有一臺(tái)服務(wù)器負(fù)責(zé)每一臺(tái)聯(lián)入網(wǎng)絡(luò)的電腦和用戶的驗(yàn)證工作，這臺(tái)服務(wù)器稱為“域控制器（Domain Controller，簡寫為DC）”。

域控制器中包含了由這個(gè)域的賬戶、密碼、屬于這個(gè)域的計(jì)算機(jī)等信息構(gòu)成的數(shù)據(jù)庫。當(dāng)電腦連入網(wǎng)絡(luò)時(shí)，域控制器首先要鑒別這臺(tái)電腦是否屬于這個(gè)域的，用戶使用的登錄賬號(hào)是否存在、密碼是否正確。如果以上信息有一樣不正確，那么域控制器就會(huì)拒絕這個(gè)用戶從這臺(tái)電腦登錄。不能登錄，用戶就不能訪問服務(wù)器上有權(quán)限保護(hù)的資源，他只能以對(duì)等網(wǎng)用戶的方式訪問Windows共享出來的資源，這樣就在一定程度上保護(hù)了網(wǎng)絡(luò)上的資源。

本方案內(nèi)容分為Windows域服務(wù)安裝、域組織單位管理、域用戶管理和域組策略管理四部分。

1 Windows域服務(wù)安裝

1.1 操作主機(jī)簡介

Windows域中定義了域控制器的五種操作主機(jī)角色（又稱FSMO）：架構(gòu)主機(jī)（Schema Master）、域命名主機(jī)（Domain Naming Master）、相對(duì)標(biāo)識(shí)號(hào)（RID）主機(jī)（RID Master）、主域控制器模擬器（PDCE）、基礎(chǔ)結(jié)構(gòu)主機(jī)（Infrastructure Master）[1]。

而每種操作主機(jī)角色負(fù)擔(dān)不同的工作，具有不同的功能：

（1）架構(gòu)主機(jī)：控制Windows域內(nèi)所有對(duì)象屬性的定義。

（2）域命名主機(jī)：控制域的添加和刪除。

（3）相對(duì)標(biāo)識(shí)號(hào)（RID）主機(jī)：管理域中對(duì)象相對(duì)標(biāo)識(shí)符（RID）池。

（4）主域控制器模擬器：模擬Windows NT PDC。

（5）基礎(chǔ)結(jié)構(gòu)主機(jī)：負(fù)責(zé)對(duì)跨域?qū)ο笠眠M(jìn)行更新。

由于域控制器對(duì)于網(wǎng)絡(luò)管理的重要性，所以在一個(gè)大型的網(wǎng)絡(luò)中不能只安裝一臺(tái)域控制器，而是多個(gè)域控制器同時(shí)管理，這些域控制器分別擔(dān)任以上五種操作主機(jī)角色中的一個(gè)或幾個(gè)，在某一臺(tái)域控制器失效時(shí)，其他域控制器可以接管它的角色。

我院的局域網(wǎng)有三臺(tái)域服務(wù)器，分別是ADSSERVER1～3，其中ADSSERVER1為物理機(jī)，其余兩臺(tái)為虛擬機(jī)。三臺(tái)域服務(wù)器都安裝Windows Server 2008 R2操作系統(tǒng)，域名為：dqyy.local，域功能等級(jí)為最高級(jí)別。

1.2 安裝域控制器服務(wù)

首先要在域控制器上安裝好Windows Server 2008 R2操作系統(tǒng)，三臺(tái)服務(wù)器計(jì)算機(jī)名分別為“ADSSERVER1”“ADSSERVER2”“ADSSERVER3”，IP地址分別為：“100.100.100.201”“100.100.100.204”“100.100.100.99”。安裝好操作系統(tǒng)后開始配置域控服務(wù)，配置過程如下：

1）打開“服務(wù)器管理器”→“添加角色”→“添加Active Directory域服務(wù)”，然后點(diǎn)擊下一步，點(diǎn)擊安裝。

2）安裝結(jié)束之后，點(diǎn)擊鏈接，開始域服務(wù)安裝向?qū)?，或者直接運(yùn)行dcpromo.exe，如圖1所示。

3）開始域服務(wù)安裝向?qū)В绻緳C(jī)是網(wǎng)絡(luò)中的第一臺(tái)域控制器，要選擇“在新林中新建域”，其后添加的域控制器要選擇“向現(xiàn)有域添加域控制器”，域名為：dqyy.local。

4）下一步，設(shè)置林功能級(jí)別為：Windows Server 2008 R2，此級(jí)別為Windows2008系統(tǒng)所支持的最高域等級(jí)。

5）下一步，其他安裝選項(xiàng)，一般新裝的域默認(rèn)安裝DNS服務(wù)器和全局編錄。

6）下一步如圖2，這里會(huì)提示是否繼續(xù)，選擇“是”。

7）下一步選擇域數(shù)據(jù)庫的位置，為了安全起見，請(qǐng)選擇非系統(tǒng)盤，這里選擇默認(rèn)安裝。

8）下一步選擇目錄還原模式的密碼，再下一步開始安裝。安裝完成后重啟。

1.3配置域控制器

1）在桌面上添加一個(gè)控制臺(tái)，將所有域管理所用到的管理單元全部添加進(jìn)來。要添加的管理單元有：“Active Directory架構(gòu)”“Active Directory用戶和計(jì)算機(jī)”“Active Directory域和信任關(guān)系”“Active Directory站點(diǎn)和服務(wù)”“組策略管理”和“DNS”。在添加“Active Directory架構(gòu)”之前要先運(yùn)行命令“regsvr32 C：＼WINDOWS＼system32＼schmmgmt.dll”注冊(cè)動(dòng)態(tài)庫。

點(diǎn)擊“開始”→“運(yùn)行”→“mmc”，打開一個(gè)空的控制臺(tái)，點(diǎn)擊“文件”→“添加/刪除管理單元”。

在左邊“可用的管理單元”中，找到“Active Directory架構(gòu)”“Active Directory用戶和計(jì)算機(jī)”“Active Directory域和信任關(guān)系”“Active Directory站點(diǎn)和服務(wù)”“組策略管理”“DNS”和“DHCP”，添加到右側(cè)“所選管理單元”，如圖3所示。添加完成后的控制臺(tái)保存名為“域管理”。

2）修改操作主機(jī)。前面說過Active Directory有五種操作主機(jī)角色，要分別運(yùn)行在這三臺(tái)域控制器上。分別右擊“Active Directory架構(gòu)”“Active Directory用戶和計(jì)算機(jī)”→“dqyy.local”“Active Directory域和信任關(guān)系”，在彈出的菜單中可以找到“操作主機(jī)”菜單項(xiàng)。

修改結(jié)果在命令行下運(yùn)行“netdom query fsmo”可以查詢，結(jié)果如圖4所示。

3）修改“全局編錄”服務(wù)。全局編錄（Global Catalog，GC）包含了各個(gè)活動(dòng)目錄中每一個(gè)對(duì)象的最重要的屬性，是域林中所有對(duì)象的集合。一旦全局編錄數(shù)據(jù)庫被損壞，所有用戶的信息就會(huì)丟失，所以全局編錄服務(wù)一定要在多個(gè)域控制器上運(yùn)行。但是要注意的是“全局編錄”不要和“結(jié)構(gòu)主機(jī)”放在同一臺(tái)域控制器上，否則結(jié)構(gòu)主機(jī)無法正常工作。

依次展開“Active Directory站點(diǎn)和服務(wù)”→“Site”→“Default-First-Site-Name”→“Servers”，這里可以看到所有的三臺(tái)域控制器，展開每個(gè)域控制器，下面有一個(gè)“NTDS Settings”，右鍵點(diǎn)擊“屬性”，彈出對(duì)話框，“全局編錄”默認(rèn)處于勾選狀態(tài)。要注意由于ADSSERVER3的操作主機(jī)角色是“結(jié)構(gòu)主機(jī)”，所以ADSSERVER3的“全局編錄”選項(xiàng)要取消勾選。

2 域組織單位管理

組織單元是一種目錄對(duì)象類型，它的作用是將Active Directory中的對(duì)象如用戶、組、計(jì)算機(jī)按照一定的層次組織起來，還可以包括其他的OU，可以把它理解成為Active Directory容器，也可以理解成文件夾。具體信息可以參考系統(tǒng)自帶的幫助信息[2]。

“組織單元”管理在“Active Directory用戶和計(jì)算機(jī)”管理單元中。展開管理單元，如圖5所示。

這里可以看到有系統(tǒng)自帶的容器和組織單元?！癇uiltin”內(nèi)是內(nèi)建安全組，“Computer”是客戶端加入域之后默認(rèn)保存的位置，“Domain Controllers”內(nèi)是所有的域控制器，“Users”內(nèi)是域安全組。

“hiscluster”“vmservers”“信息中心”“普通用戶”四個(gè)組織單元是用戶自己建立的，其中“普通用戶”是用來存放網(wǎng)絡(luò)中所有PC客戶端賬戶信息的。在“普通用戶”O(jiān)U下面，將所有PC客戶端都按照醫(yī)院內(nèi)部科室管理方案進(jìn)行組織。3 域用戶管理

我院的域用戶管理比較簡單，主要有三個(gè)域用戶：Administrator、admin和st07。Administrator是默認(rèn)的域管理員，權(quán)限最大。admin是域管理員組成員，st07是域用戶組成員，同時(shí)admin和st07還是OU“普通用戶”的成員[3]。

用戶admin是管理員在操作OU“普通用戶”中的工作站的時(shí)候可以使用的登錄賬號(hào)，權(quán)限受到一定限制，但比用戶st07大。用戶st07是醫(yī)院普通工作人員在日常工作時(shí)登錄域使用的登錄賬號(hào)，權(quán)限最小。

域中添加刪除用戶，首先在“Active Directory用戶和計(jì)算機(jī)”中定位到用戶所屬的OU，點(diǎn)擊右鍵，“新建”→“用戶”，輸入用戶的相關(guān)信息即可。這里是否勾選“密碼永不過期”，視需要決定。如圖6所示。

4 域組策略管理

域管理很重要的一個(gè)部分就是域組策略配置。域組策略（Group Policy）是Microsoft Windows系統(tǒng)管理員為用戶和計(jì)算機(jī)定義并控制程序、網(wǎng)絡(luò)資源及操作系統(tǒng)行為的主要工具。通過使用域組策略可以設(shè)置各種軟件、計(jì)算機(jī)和用戶策略，策略配置得好可以大大增加局域網(wǎng)的安全性。按照不同的組織單位分別配置不同的域策略[4]。

組策略分為兩大部分：計(jì)算機(jī)配置和用戶配置。每一個(gè)部分都有自己的獨(dú)立性，因?yàn)樗麄兣渲玫膶?duì)象類型不同。計(jì)算機(jī)賬戶部分控制計(jì)算機(jī)賬戶，同樣用戶配置部分控制用戶賬戶。其中有部分配置在計(jì)算機(jī)部分擁有在用戶部分也有同樣的配置，他們是不會(huì)跨越執(zhí)行的。假設(shè)某個(gè)配置選項(xiàng)希望計(jì)算機(jī)賬戶啟用、用戶賬戶也啟用，那么就必須在計(jì)算機(jī)配置和用戶配置部分都進(jìn)行設(shè)置。總之計(jì)算機(jī)配置下的設(shè)置僅對(duì)計(jì)算機(jī)對(duì)象生效，用戶配置下的設(shè)置僅對(duì)用戶對(duì)象生效。

展開“組策略管理”管理單元，就可以看到這里也有“組織單元”，如圖7所示，這也就是說可以新建若干個(gè)組策略，然后將這些組策略分配給不同的組織單位，這樣就可以分別控制每個(gè)組織單元中的用戶和工作站。

展開“組策略對(duì)象”，這里保存的是域中所有的組策略對(duì)像，默認(rèn)有“Default Domain Controllers Policy”“Default Domain Policy”兩個(gè)組策略對(duì)象?！癉efault Domain Controllers Policy”是默認(rèn)應(yīng)用到所有域控制器的組策略，展開OU“Domain Controllers”就可以看到“Default Domain Controllers Policy”已經(jīng)啟用鏈接?！癉efault Domain Policy”是默認(rèn)應(yīng)用到所有OU的組策略。

1）新建組策略對(duì)象

右擊“組策略對(duì)象”→“新建”，打開“新建GPO”，重命名后確定。組策略對(duì)象中就會(huì)出現(xiàn)剛才新建的組策略對(duì)象，右鍵點(diǎn)擊新建的組策略對(duì)象，點(diǎn)擊“編輯”，就可以對(duì)它進(jìn)行編輯了，這里的編輯方法與用戶本機(jī)的組策略編輯方法類似，本文不再贅述。

2）自定義組策略對(duì)象的作用

圖8是使用的組策略對(duì)象列表：

下面介紹一下其中幾個(gè)組策略對(duì)象的作用：

①ST07組策略對(duì)象。供用戶st07使用的組策略對(duì)象對(duì)st07的權(quán)限和用st07用戶登錄的工作站都做了一定的限制，例如：IE瀏覽器的主頁修改為醫(yī)院內(nèi)網(wǎng)主頁、限制用戶對(duì)桌面壁紙的修改、指定桌面和開始菜單的顯示項(xiàng)目等?？梢渣c(diǎn)擊組策略對(duì)象，再在右邊的窗口中點(diǎn)擊“設(shè)置”標(biāo)簽頁，查看一個(gè)組策略對(duì)象到底做了哪些設(shè)置，如圖9所示。

②st07登錄注銷策略。這個(gè)組策略對(duì)象設(shè)置的就是用戶st07的登錄/注銷腳本。依次展開“st07登錄注銷策略”—“用戶配置”→“策略”→“windows設(shè)置”—“腳本（登錄/注銷）”，雙擊右側(cè)的“登錄”，彈出登錄腳本對(duì)話框，點(diǎn)擊“添加”，然后瀏覽文件，彈出瀏覽文件對(duì)話框，如圖10所示。

要注意顯示的文件夾位置，如果仔細(xì)查看，它的位置是“＼＼dqyy.local＼SysVol＼dqyy.local＼Policies＼{13280DDA-07A5-4F75-BC84-00309F14D1B3}＼User＼Scripts＼Logon”，是一個(gè)共享文件夾，默認(rèn)的登錄腳本都是在這個(gè)文件夾中，整個(gè)域網(wǎng)絡(luò)都可以訪問。在這里新建一個(gè)cmd腳本文件，命名為“st07登錄腳本.cmd”，這個(gè)腳本是用戶st07登錄OU“普通用戶”內(nèi)的PC客戶端時(shí)所執(zhí)行的登錄腳本，內(nèi)容如下：

;對(duì)時(shí)

net time ＼＼100.100.100.99 /set /yes

;更換背景

bcdedit /timeout 2

;從待機(jī)狀態(tài)恢復(fù)后，不用輸入密碼

POWERCFG /GLOBALPOWERFLAG off /OPTION RESUMEPASSWORD

powercfg /setactive 家用/辦公桌

powercfg /change 家用/辦公桌 /monitor-timeout-ac 5

powercfg /change 家用/辦公桌 /disk-timeout-ac 30

;啟用防火墻

netsh firewall set opmode enable

netsh advfirewall set allprofile state on

;啟用防火墻規(guī)則

netsh firewall set service ALL enable subnet

netsh firewall set allowedprogram program="C：＼Program Files＼uvnc bvba＼UltraVNC＼winvnc.exe" name="winvnc.exe" mode=enable profile=current

netsh firewall set allowedprogram program="C：＼Program Files＼Tencent＼RTXC＼RTX.exe" name="RTX" mode=enable profile=current

netsh firewall set allowedprogram program="C：＼Foxmail 7.2＼Foxmail.exe" name="Foxmail.exe" mode=enable profile=current

netsh firewall set allowedprogram program="C：＼Program Files＼Symantec＼pcAnywhere＼awhost32.exe" name="pcAnywhere Host" mode=enable profile=current

netsh firewall set portopening tcp 5800 vnc5800 enable profile=current

netsh firewall set portopening tcp 5900 vnc5900 enable profile=current

sc config MpsSvc start= auto

;禁用U盤

sc config usbstor start= disabled

devcon disable *DEV_818B*

同樣的還可以添加注銷腳本，雙擊右側(cè)的“注銷”即可添加“st07注銷腳本.cmd”。

③文件夾重定向組策略對(duì)象。這個(gè)組策略對(duì)象的作用是將某些系統(tǒng)文件夾如“桌面文件夾”或“文檔文件夾”從默認(rèn)的系統(tǒng)分區(qū)移動(dòng)到用戶指定的位置。之所以要使用這樣一個(gè)功能，是因?yàn)橛行┯脩魰?huì)把文件直接保存在客戶端的桌面上，而默認(rèn)的客戶端桌面文件夾在系統(tǒng)分區(qū)，一旦系統(tǒng)分區(qū)損壞或重裝系統(tǒng)，桌面文件夾的內(nèi)容就會(huì)丟失，如果用戶忘記把文件移動(dòng)到其他分區(qū)，就會(huì)造成損失。使用了這個(gè)組策略對(duì)象之后，“文檔文件夾”會(huì)轉(zhuǎn)移到“D：＼My Documents”，而“桌面文件夾”會(huì)轉(zhuǎn)移到“D：＼My Documents＼桌面”。

依次展開“文件夾重定向組策略對(duì)象”→“用戶配置”→“策略”→“windows設(shè)置”—“文件夾重定向”，“文件夾重定向”下面有十多個(gè)系統(tǒng)文件夾的位置，這里只修改“桌面”和“文檔”。

右擊“桌面（文檔）”→“屬性”，彈出桌面（文檔）屬性對(duì)話框。按照?qǐng)D示設(shè)置屬性即可。

（3）啟用組策略對(duì)象

建立好組策略對(duì)象，就要把它指定給某一個(gè)OU，并分配好權(quán)限，這個(gè)組策略對(duì)象才能夠發(fā)揮作用。在這里主要是給OU“普通用戶”分配組策略對(duì)象，右擊“普通用戶”，點(diǎn)擊“鏈接現(xiàn)有GPO”，在彈出的選擇框中選擇要鏈接的組策略對(duì)象，點(diǎn)擊確定，即可鏈接組策略對(duì)象。鏈接完成之后，還要對(duì)這個(gè)組策略對(duì)象的權(quán)限進(jìn)行設(shè)置。點(diǎn)擊組策略對(duì)象，在右側(cè)的窗體就會(huì)顯示這個(gè)組策略對(duì)象的“作用域”，查看權(quán)限設(shè)置是否正確，按照權(quán)限要求進(jìn)行修改，如圖11所示。

在委派權(quán)限的時(shí)候，一定要注意添加“Authenticated Users”組和“st07”用戶，并且要點(diǎn)擊“高級(jí)”，勾選“讀取”和“應(yīng)用組策略”，這樣才能夠在st07用戶登錄到工作站時(shí)發(fā)揮作用。如圖12所示。

（4）PC客戶端應(yīng)用組策略

PC客戶端在登錄域時(shí)，就會(huì)根據(jù)登錄用戶和此PC客戶端在域中OU的位置應(yīng)用對(duì)應(yīng)的組策略。在PC客戶端可以使用gpresult.exe命令來查詢組策略在本客戶端的應(yīng)用情況，比如用戶st07在PC客戶端“測(cè)試005”上登錄，打開命令行窗口，輸入“gpresult /r”，顯示的結(jié)果就是組策略在本客戶端的應(yīng)用情況。

如果發(fā)現(xiàn)組策略應(yīng)用不全的情況，可以輸入“gpupdate /force”命令，強(qiáng)制更新應(yīng)用組策略。

5 總結(jié)

以上所述的這套局域網(wǎng)域管理方案在我院實(shí)際工作中得到了很好的使用效果，大大減輕了網(wǎng)絡(luò)計(jì)算機(jī)管理工作的強(qiáng)度，并在此基礎(chǔ)上實(shí)現(xiàn)了對(duì)網(wǎng)絡(luò)中的資源進(jìn)行合理的劃分，對(duì)用戶權(quán)限進(jìn)行合理的分配。

參考文獻(xiàn)：

[1] 恒逸資訊，趙驚人.Windows Server 2008系統(tǒng)管理員實(shí)用全書[M].北京：電子工業(yè)出版社，2010.

[2] 郭建偉.Windows Server 2016 AD賬戶管理機(jī)制[J].網(wǎng)絡(luò)安全和信息化，2021（5）：108-110.

[3] 狄伯豪.AD域控管理在集團(tuán)性企業(yè)的應(yīng)用[J].硅谷，2015，8（2）：88，85.

[4] 趙新平.應(yīng)用Windows Server AD域提升內(nèi)網(wǎng)管理水平[J].赤峰學(xué)院學(xué)報(bào)（自然科學(xué)版），2013，29（23）：22-23.

【通聯(lián)編輯：代影】