【文章內(nèi)容簡介】 rectory 服務(wù)是 Windows 平臺的核心組件，它為用戶管理網(wǎng)絡(luò)環(huán)境各個組成要素的標識和關(guān)系提供了一種有力的手段。 活動目錄功能 活動目錄 (Active Directory)主要提供以下功能： (1)基礎(chǔ)網(wǎng)絡(luò)服務(wù)：包括 DNS、 WINS、 DHCP、證書服務(wù)等。 服務(wù)器及客戶端計算機管理：管理服務(wù)器及客戶端計算機賬戶，所有服務(wù)器及客戶端計算機加入域管理并實施組策略。 (2)用戶服務(wù)：管理用戶域賬戶、用戶信息、企業(yè)通訊錄（與電子郵件系統(tǒng)集成）、用戶組管理、用戶身份認證、用戶授權(quán)管理等，按省實施組管理策略。 資源管理：管理打印機、文件共享服務(wù)等網(wǎng)絡(luò)資源。 (3)桌面配置：系統(tǒng)管理員可以集中的配置各種桌面配置策略，如：界面功能的限制、應(yīng)用程序執(zhí)行特征限制、網(wǎng)絡(luò)連接 限制、安全配置限制等。 (4)應(yīng)用系統(tǒng)支撐：支持財務(wù)、人事、電子郵件、企業(yè)信息門戶、辦公自動化、補丁管理、防病毒系統(tǒng)等各種應(yīng)用系統(tǒng)。 活動目錄的優(yōu)點 與 DNS 集成 活動目錄 使用域名系統(tǒng) (DNS)。 DNS 是一種 Inter 標準服務(wù)，它將用戶能夠讀取的計算機名稱（例如 myputer. ）翻譯成計算機能夠讀取的數(shù)字 Inter 協(xié)議 (IP)地址（由英文句號分隔的四組數(shù)字）。這樣，在 TCP/IP 網(wǎng)絡(luò)計算機上運行的進程即可相互識別并進行連接。 (1)靈活的查詢。用 戶和管理員如果要通過對象屬性快速查找網(wǎng)絡(luò)中的對象，可使用“開始”菜單中的“查找”命令、桌面上的“網(wǎng)上鄰居”圖標或者是 Active Directory 用戶和計算機管理單元。例如，您可以按照一個用戶帳戶的姓名、電子郵件名、辦公地點或其他屬性查找該用戶。而且 ,使用全局編錄優(yōu)化了查找信息的操作。 (2)可擴展性。 Active Directory 是可擴展的；也就是說，管理員既可以在架構(gòu)中添加新的對象類別，也可在原有的對象類別中添加新屬性。架構(gòu)包含每個對象類別的定義，以及能夠存儲于目錄中的每個對象類別的屬性。例如， 您可能會為 User 對象添加 Purchase Authority 屬性，然后將每個用戶的購買權(quán)限額保存為用戶帳戶的一部分。 (3)基于策略的管理。 組策略是在初始化時應(yīng)用于計算機或用戶的配置設(shè)置。所有組策略設(shè)置都包含在應(yīng)用于 Active Directory 站點、域或部門的組策略對常州信息職業(yè)技術(shù)學院網(wǎng)絡(luò)與通信工程學院 畢業(yè)設(shè)計論文 3 象 (GPO)中。 GPO 設(shè)置決定了對目錄對象和域資源的訪問權(quán)限、用戶可使用的域資源（如應(yīng)用程序），以及這些域資源針對其用途的配置方式。 (4)可伸縮性。 Active Directory 包括一個或多個域，每個域均有一個或多個域控制器，由此 ，您能夠?qū)δ夸涍M行自由擴展，從而滿足所有網(wǎng)絡(luò)的需求。多個域可合并成一個域目錄樹，多個域目錄樹可合并成一個目錄林。在只有一個域的最簡單的網(wǎng)絡(luò)結(jié)構(gòu)中，該域既是一個目錄樹，又是一個目錄林。 (5)信息復(fù)制。 Active Directory 使用多主機復(fù)制，使您可以更新任何域控制器中的目錄。在一個域中部署多個域控制器還提供了容錯能力和負載平衡功能。因為這些域控制器包含同樣的目錄數(shù)據(jù)，所以，如果域內(nèi)的一個域控制器速度變慢、停止或出現(xiàn)故障，同一域內(nèi)的其他域控制器即可提供必要的目錄訪問功能。 (6)信息安全。在 Windows 2021 操作系統(tǒng)中，用戶身份驗證和訪問控制的管理都與 Active Directory 完全結(jié)合在一起，這是該系統(tǒng)的一項關(guān)鍵性安全功能。Active Directory 將身份驗證集中進行。不僅可以定義對目錄中每個對象的訪問控制，還可定義對每個對象的每個屬性的訪問控制。此外， Active Directory 還為安全策略提供了存儲區(qū)和應(yīng)用范圍。 (7)互操作性。由于 Active Directory 以標準目錄訪問協(xié)議（例如輕型目錄訪問協(xié)議 (LDAP)）為基礎(chǔ)，因此它能夠與其他采用這些協(xié)議的目錄服務(wù) 進行交互操作。有些應(yīng)用程序編程接口 (API)例如 Active Directory 服務(wù)接口 (ADSI)允許開發(fā)者訪問這些協(xié)議。 組策略概況 組策略的功能 “ 組策略 ” 其實與 “ 組 ” 并沒有關(guān)系，它是一組策略的集合。組策略加強了管理員通過活動目錄數(shù)據(jù)庫在站點、域、或組織單位中配置用戶和計算機的能力，在 Windows Server 2021 中，通過應(yīng)用組策略，管理員可以很方便地管理 Active Directory 中的計算機和用戶的工作環(huán)境，例如，用戶桌面環(huán)境、計算機啟動 /關(guān)機與用 戶登陸 /注銷時所執(zhí)行的腳本文件、軟件安裝、安全設(shè)置等。 管理員一般會設(shè)置多種配置集合，包括桌面配置和安全配置。譬如，可以為特定用戶或用戶組定制可用的程序、桌面上的內(nèi)容，以及 “ 開始 ” 菜單選項等，也可以在整個計算機范圍內(nèi)創(chuàng)建特殊的桌面配置。簡而言之，組策略是 Windows中的一套系統(tǒng)更改和配置管理工具的集合。 其實簡單地說，組策略設(shè)置就是在修改注冊表中的配置。當然，組策略使用了更完善的管理組織方法，可以對各種對象中的設(shè)置進行管理和配置，遠比手工修改注冊表方便、靈活，功能也更加強大。 組策略內(nèi)包含計算機配置與用戶配置兩部分，其中計算機配置只對計算機環(huán)境有影響，而用戶配置只對使用者工作環(huán)境有影響。管理員可用過如下兩個途徑配置和應(yīng)用組策略： :在單一計算機上配置，用戶所作的配置只會應(yīng)用到本地計算機，用戶配置被本機所有用戶所應(yīng)用。 GPO(Group Policy Objec，組策略對象 ):在域控制器上針對站點，域或 OU 來配置組策略，其中域策略內(nèi)的配置應(yīng)用到所有域內(nèi)計算機和用戶上， OU對應(yīng)到該 OU 內(nèi)，如果本機沖突則以域或 OU 組策略的配置優(yōu)先，本機無效。 常州信息職業(yè)技術(shù)學院網(wǎng)絡(luò)與通信工程學院 畢業(yè)設(shè)計論文 4 組策略實現(xiàn)的目標 對域設(shè)置組策略影響整個域的工作環(huán)境，對 OU 設(shè)置組策略影響本 OU 下的工作環(huán)境；降低布置用戶和計算機環(huán)境的總費用，因為只需要設(shè)置一次，相應(yīng)的用戶或計算機即可全部使用規(guī)定的設(shè)置，減少用戶 不 正確配置環(huán)境的可能性；推行公司使用計算機規(guī)范，包括桌面環(huán)境規(guī)范以及安全策略等內(nèi)容。例如：軟件分發(fā)；軟件限制；安全設(shè)置（如密碼策略、管理模板下相關(guān)設(shè)置等）；基于注冊表的設(shè)置（管理模板）； IE 維護；脫機文件夾；漫游配置文件和文件夾重定向；計算機和用戶腳本。 常州信息職業(yè)技術(shù)學院網(wǎng)絡(luò)與通信工程學院 畢業(yè)設(shè)計論文 5 第 3 章 企業(yè)面臨的問題與需求 企業(yè)面臨的現(xiàn)狀 現(xiàn)有某小型公司的整個網(wǎng)絡(luò)設(shè)計拓撲圖。整個公司主要分為員工宿舍樓、工作區(qū)、生產(chǎn)部門以及體育館四個部分。本次網(wǎng)絡(luò)設(shè)計主要設(shè)備有核心交換機一臺，DNS、 Email、 FTP 服務(wù)器共一臺（集各種功能與一體），硬件防火墻一臺，中型交換機 5 臺，小型交換機 18 臺，域控制器一臺， PC 若干。具體網(wǎng)絡(luò)規(guī)劃為員工宿舍樓一個 VLAN，生產(chǎn)部門一個 VLAN，領(lǐng)導(dǎo)辦公室一個 VLAN，工作區(qū)每個部門分別劃分一個 VLAN。本次網(wǎng)絡(luò)管理主要針對工作區(qū)，其他部門在網(wǎng)絡(luò)規(guī)劃之中 。工作區(qū)每個部門一個 VLAN，主要目的是為了增加各部門資料的安全性，為了讓每個部門的成員至可以訪問本部門的網(wǎng)絡(luò)資源。 在公司不同的部門對軟件和一些材料的需求各不相同，為了更好的管理與區(qū)分我就需要按需定制，如：哪些用戶可使用的軟件有哪些，對哪些文檔具有哪些權(quán)限，和一些上網(wǎng)行為的規(guī)范。 圖 31 企業(yè)網(wǎng)絡(luò)拓撲設(shè)計圖 企業(yè)應(yīng)用需求分析 域環(huán)境下，所有的網(wǎng)絡(luò)資源，包括用戶，都是在域控制器上維護，便于集中管理，所有用戶只要登錄到域 ,在域內(nèi)均能進行身份驗證，管理人員可以較好的管理計算機資源，管理網(wǎng)絡(luò)的成 本大大降低防止公司員工在客戶端上亂裝軟件，能夠增強客戶端安全性，減少客戶端故障，降低維護成本。 常州信息職業(yè)技術(shù)學院網(wǎng)絡(luò)與通信工程學院 畢業(yè)設(shè)計論文 6 此小型公司域名為 ，核心機房內(nèi)架設(shè)有主域控制器（主 DNS 服務(wù)器