【文章內容簡介】 rectory 服務是 Windows 平臺的核心組件，它為用戶管理網絡環(huán)境各個組成要素的標識和關系提供了一種有力的手段。 活動目錄功能 活動目錄 (Active Directory)主要提供以下功能： (1)基礎網絡服務：包括 DNS、 WINS、 DHCP、證書服務等。 服務器及客戶端計算機管理：管理服務器及客戶端計算機賬戶，所有服務器及客戶端計算機加入域管理并實施組策略。 (2)用戶服務：管理用戶域賬戶、用戶信息、企業(yè)通訊錄（與電子郵件系統(tǒng)集成）、用戶組管理、用戶身份認證、用戶授權管理等，按省實施組管理策略。 資源管理：管理打印機、文件共享服務等網絡資源。 (3)桌面配置：系統(tǒng)管理員可以集中的配置各種桌面配置策略，如：界面功能的限制、應用程序執(zhí)行特征限制、網絡連接 限制、安全配置限制等。 (4)應用系統(tǒng)支撐：支持財務、人事、電子郵件、企業(yè)信息門戶、辦公自動化、補丁管理、防病毒系統(tǒng)等各種應用系統(tǒng)。 活動目錄的優(yōu)點 與 DNS 集成 活動目錄 使用域名系統(tǒng) (DNS)。 DNS 是一種 Inter 標準服務，它將用戶能夠讀取的計算機名稱（例如 myputer. ）翻譯成計算機能夠讀取的數字 Inter 協(xié)議 (IP)地址（由英文句號分隔的四組數字）。這樣，在 TCP/IP 網絡計算機上運行的進程即可相互識別并進行連接。 (1)靈活的查詢。用 戶和管理員如果要通過對象屬性快速查找網絡中的對象，可使用“開始”菜單中的“查找”命令、桌面上的“網上鄰居”圖標或者是 Active Directory 用戶和計算機管理單元。例如，您可以按照一個用戶帳戶的姓名、電子郵件名、辦公地點或其他屬性查找該用戶。而且 ,使用全局編錄優(yōu)化了查找信息的操作。 (2)可擴展性。 Active Directory 是可擴展的；也就是說，管理員既可以在架構中添加新的對象類別，也可在原有的對象類別中添加新屬性。架構包含每個對象類別的定義，以及能夠存儲于目錄中的每個對象類別的屬性。例如， 您可能會為 User 對象添加 Purchase Authority 屬性，然后將每個用戶的購買權限額保存為用戶帳戶的一部分。 (3)基于策略的管理。 組策略是在初始化時應用于計算機或用戶的配置設置。所有組策略設置都包含在應用于 Active Directory 站點、域或部門的組策略對常州信息職業(yè)技術學院網絡與通信工程學院 畢業(yè)設計論文 3 象 (GPO)中。 GPO 設置決定了對目錄對象和域資源的訪問權限、用戶可使用的域資源（如應用程序），以及這些域資源針對其用途的配置方式。 (4)可伸縮性。 Active Directory 包括一個或多個域，每個域均有一個或多個域控制器，由此 ，您能夠對目錄進行自由擴展，從而滿足所有網絡的需求。多個域可合并成一個域目錄樹，多個域目錄樹可合并成一個目錄林。在只有一個域的最簡單的網絡結構中，該域既是一個目錄樹，又是一個目錄林。 (5)信息復制。 Active Directory 使用多主機復制，使您可以更新任何域控制器中的目錄。在一個域中部署多個域控制器還提供了容錯能力和負載平衡功能。因為這些域控制器包含同樣的目錄數據，所以，如果域內的一個域控制器速度變慢、停止或出現故障，同一域內的其他域控制器即可提供必要的目錄訪問功能。 (6)信息安全。在 Windows 2021 操作系統(tǒng)中，用戶身份驗證和訪問控制的管理都與 Active Directory 完全結合在一起，這是該系統(tǒng)的一項關鍵性安全功能。Active Directory 將身份驗證集中進行。不僅可以定義對目錄中每個對象的訪問控制，還可定義對每個對象的每個屬性的訪問控制。此外， Active Directory 還為安全策略提供了存儲區(qū)和應用范圍。 (7)互操作性。由于 Active Directory 以標準目錄訪問協(xié)議（例如輕型目錄訪問協(xié)議 (LDAP)）為基礎，因此它能夠與其他采用這些協(xié)議的目錄服務 進行交互操作。有些應用程序編程接口 (API)例如 Active Directory 服務接口 (ADSI)允許開發(fā)者訪問這些協(xié)議。 組策略概況 組策略的功能 “ 組策略 ” 其實與 “ 組 ” 并沒有關系，它是一組策略的集合。組策略加強了管理員通過活動目錄數據庫在站點、域、或組織單位中配置用戶和計算機的能力，在 Windows Server 2021 中，通過應用組策略，管理員可以很方便地管理 Active Directory 中的計算機和用戶的工作環(huán)境，例如，用戶桌面環(huán)境、計算機啟動 /關機與用 戶登陸 /注銷時所執(zhí)行的腳本文件、軟件安裝、安全設置等。 管理員一般會設置多種配置集合，包括桌面配置和安全配置。譬如，可以為特定用戶或用戶組定制可用的程序、桌面上的內容，以及 “ 開始 ” 菜單選項等，也可以在整個計算機范圍內創(chuàng)建特殊的桌面配置。簡而言之，組策略是 Windows中的一套系統(tǒng)更改和配置管理工具的集合。 其實簡單地說，組策略設置就是在修改注冊表中的配置。當然，組策略使用了更完善的管理組織方法，可以對各種對象中的設置進行管理和配置，遠比手工修改注冊表方便、靈活，功能也更加強大。 組策略內包含計算機配置與用戶配置兩部分，其中計算機配置只對計算機環(huán)境有影響，而用戶配置只對使用者工作環(huán)境有影響。管理員可用過如下兩個途徑配置和應用組策略： :在單一計算機上配置，用戶所作的配置只會應用到本地計算機，用戶配置被本機所有用戶所應用。 GPO(Group Policy Objec，組策略對象 ):在域控制器上針對站點，域或 OU 來配置組策略，其中域策略內的配置應用到所有域內計算機和用戶上， OU對應到該 OU 內，如果本機沖突則以域或 OU 組策略的配置優(yōu)先，本機無效。 常州信息職業(yè)技術學院網絡與通信工程學院 畢業(yè)設計論文 4 組策略實現的目標 對域設置組策略影響整個域的工作環(huán)境，對 OU 設置組策略影響本 OU 下的工作環(huán)境；降低布置用戶和計算機環(huán)境的總費用，因為只需要設置一次，相應的用戶或計算機即可全部使用規(guī)定的設置，減少用戶 不 正確配置環(huán)境的可能性；推行公司使用計算機規(guī)范，包括桌面環(huán)境規(guī)范以及安全策略等內容。例如：軟件分發(fā)；軟件限制；安全設置（如密碼策略、管理模板下相關設置等）；基于注冊表的設置（管理模板）； IE 維護；脫機文件夾；漫游配置文件和文件夾重定向；計算機和用戶腳本。 常州信息職業(yè)技術學院網絡與通信工程學院 畢業(yè)設計論文 5 第 3 章 企業(yè)面臨的問題與需求 企業(yè)面臨的現狀 現有某小型公司的整個網絡設計拓撲圖。整個公司主要分為員工宿舍樓、工作區(qū)、生產部門以及體育館四個部分。本次網絡設計主要設備有核心交換機一臺，DNS、 Email、 FTP 服務器共一臺（集各種功能與一體），硬件防火墻一臺，中型交換機 5 臺，小型交換機 18 臺，域控制器一臺， PC 若干。具體網絡規(guī)劃為員工宿舍樓一個 VLAN，生產部門一個 VLAN，領導辦公室一個 VLAN，工作區(qū)每個部門分別劃分一個 VLAN。本次網絡管理主要針對工作區(qū)，其他部門在網絡規(guī)劃之中 。工作區(qū)每個部門一個 VLAN，主要目的是為了增加各部門資料的安全性，為了讓每個部門的成員至可以訪問本部門的網絡資源。 在公司不同的部門對軟件和一些材料的需求各不相同，為了更好的管理與區(qū)分我就需要按需定制，如：哪些用戶可使用的軟件有哪些，對哪些文檔具有哪些權限，和一些上網行為的規(guī)范。 圖 31 企業(yè)網絡拓撲設計圖 企業(yè)應用需求分析 域環(huán)境下，所有的網絡資源，包括用戶，都是在域控制器上維護，便于集中管理，所有用戶只要登錄到域 ,在域內均能進行身份驗證，管理人員可以較好的管理計算機資源，管理網絡的成 本大大降低防止公司員工在客戶端上亂裝軟件，能夠增強客戶端安全性，減少客戶端故障，降低維護成本。 常州信息職業(yè)技術學院網絡與通信工程學院 畢業(yè)設計論文 6 此小型公司域名為 ，核心機房內架設有主域控制器（主 DNS 服務器