组是计算机用户帐户的集合,对组进行管理实质是实现对多用户使用网络资源权限的管理,它和组策略不同:组策略全称组策略对象:GPO(Group Policy Object),指微软网络系统下数百个与安全和环境有关的注册表图形化设置与推行,它的实质是实现对网络环境的统一管理。
同一网段的多台计算机通过物理连接构成网络,如果网内没有担任管理角色的计算机,大家“无组织无纪律”,各得其乐,平起平坐,这种网络一般都由9X和不是域控制器的W2K Server构成,叫做对等网;而另一种情况,网内必定有一台W2K Server以上的计算机充当了类似于人事部门的角色,负责对登陆网络的计算机进行复杂的身份识别,这台计算机叫做域控制器(Domain Controller,DC),这样的网叫做局域网(严格意义上),显然,局域网中,DC是公仆,专门为人民服务,是服务器,而非DC的W2K Server操作系统叫成员服务器,其它计算机包括9X、W2K Professional在内泛称客户端。下面就探讨在这两种情况下,网管应该怎样对计算机进行“组”的管理和实施“组”的策略,以实现共享资源的合理化管理。
对等网中的组
1、没有成员服务器的对等网
组的作用仅仅是将不同的电脑人为的列入其中,以利资源共享。以网内全为9X系统为例,某公司可能有上百台电脑,如果都列在“网上邻居”内,恐怕网络邻居也会出现“下一页”的显示,所以就应该建立诸如工程部、财务部之类的组,然后工程部的电脑全都列入工程部工作组中,依此类推,你要访问某个部门的资源,就在“网上邻居”里找到那个部门的工作组名,双击就可以看到该部门的计算机列表了。
在网上邻居→属性→标识→工作组栏中,有一个默认的组名:workgroup(该名不能置空),要加入一个新组,在“工作组”中将workgrorp改写为由不超过15个英文字符或7个汉字构成的组名,如果该组不存在,则等于新建一个工作组,计算机说明可以不写。确定并重启后,再打开“网上邻居”,就可以看到你所在工作组的成员了。一般来说,打开“网上邻居”,首先看到的是你所在工作组的成员。如果要访问其他工作组的成员,则需打开“整个网络”并双击相应工作组的名称。
退出一个组只要将工作组改名即可。不过别人如果将组名换成你改的名字,同样可以访问你的共享资源。所以,只要9X系统安装好,就默认加入了一个名叫“workgroup”的组中,然后可以随时加入网内另一工作组,也可以随时离开任何一个工作组。这里的“工作组”本身仅仅是提供一个“房间”,以方便网上计算机共享资源。
这样的做法,虽然提供了方便,安全性却大打折扣,对访问资源的权限控制仅仅取决于对共享资源所加的密码是“只读”还是“完全”。遗憾的是,鉴于9X本身的漏洞,这种密码非常容易破解,会不会发生问题,只看各位的运气如何。而且无法实现组的嵌套,比如你无法在“管理层”组中加入“人事部”、“财务部”等组。这样的组环境没有策略可言,它只适合对网络安全性要求不高、规模较小的公司或团体、组织临时组建网络使用。
2、由9X和成员服务器构成的对等网
在成员服务器上可以为本机建立单独的组,称为本地组(Local),也只能在成员服务器上建立本地组,并且微软建议在没有加入域的成员服务器上建组,因为不这样做会妨碍对组的集中化管理。相对于9X系统,微软专门针对成员服务器强化了安全性:执行新建本地组操作的登陆用户必须是系统内置的管理员组(administrators)或帐号操作员组(Account Operators)的成员。“内置的组(Built-in)”和下文“活动目录(AD)、森林”等基础概念都不是本文重点,有兴趣的网管朋友可以参考相应资料。
登陆后,在“我的电脑→管理→本地用户和组→组→右击创建组”进行创建本地组的操作。这里的组名称范围在256个字符以内。新组建立后,就可以点击增加按纽,在出现的用户列表中为新组添加合适的用户,所添加的用户,以后若不需要,可在此界面点击删除按纽进行删除操作。
该步骤是我们为本地组执行一种初级策略的第一步:AL:将相应的用户帐号(A-Accounts)添加到某个本地组(L-Local)中;第二步:P:将权限(P-Permissions)授予本地组。这种策略叫ALP策略。
由于没有域的存在,使得ALP策略有一些局限,作为本机的管理员,你的授权只能针对本机,授权时的用户列表也只是本机已有的用户(Users)列表,无法对其它的机子产生效力。所谓网管,当然只是本机的网管,真正的孤家寡人。如果想让成员服务器加入由9X建立的某个组,在“我的电脑→属性→计算机名→更改”中修改工作组名即可。
在基于域的局域网中实现组
建立组的目的是让管理员利用组将访问共享资源的权限(Permissions)一次性的授予组内的多个相应用户帐号(Accounts),而不必反复执行对用户授权的操作,并且在域内建立的组保存在活动目录中,可供网管在域中的任何地方使用,甚至还可以在多个域中使用。实际上,将权限不通过组而直接分配给用户是没有任何问题的,不过由于单机上建立的用户数量通常较少,所以在每台单机上实施ALP的意义也不是很大,但如果到了一个域的环境中,情况就不一样了。
一个域内可能有成百上千台电脑,拥有海量的用户,而个用户的情况又随时在发生变化:曾经是管理员的用户可能今天就只是一个普通的操作员了;随时有新进和离开公司的用户;用户在部门之间的频繁调动等,而且在一个企业中普遍有多域共存的现象,在这种复杂的背景下,企图单独对每个用户进行授权,是不现实的,这才是针对“组”的策略得以存在的物质基础。在域模式下,一个组最多可以包含5000个成员,如果使用嵌套,就有效地增加了组能拥有的用户数量。因为包含在另一个组中的组,在它的父组中只算一个成员,但这个组本身又可以包含另外5000个用户。这样就大大的减轻了网管的工作负担,提高了工作效率。它和ALP策略在本质上是完全一样的。
1、DC作为“人事主管”的工作原理
域控制器(DC)中包含了由属于这个域的计算机帐号和属于这个域的用户名、密码等信息构成的数据库,当网中另一台电脑登陆网络时,DC首先确定这台电脑是否属于该域,其次确定登陆域时使用的用户名是否存在、密码是否正确。只要有任何一项错误,那么DC就拒绝这个用户名从这台电脑登录到域,用户就只能登陆到本机以对等网的方式访问其它未加入到域的客户端,这样就在一定程度上保护了域内的共享资源。
以下步骤能让9X客户端顺利登陆域并使用DC上建立的组:1、在“网上邻居→属性→配置”中,单击“TCP/IP→属性→DNS配置”选项卡,启用并添加DNS的IP地址;2、在“网上邻居→属性→配置”中,单击“Microsoft 网络用户→属性”,勾选“登陆到Windows NT域”并指定正确的域名(九十年代W2K尚未出世);3、在“网上邻居→属性→访问控制”选项卡中选择“用户级访问控制”并在“获取用户及组的列表”栏中写入本域的域名。
重启后在登陆框中输入正确的域用户名及密码就可登陆到域,当右击资源名称(例如文件夹)并点击“共享”时,系统会弹出域组及用户的列表,就可以为该共享资源指定相应的组或用户并授权了。由于9X不支持活动目录,所以在网上邻居中看不到DC所建立的组。
在域模式下,用户和计算机的管理环境被集成到活动目录,域内所有的组都在DC中创建,具体位置是在“开始→程序→管理工具→活动目录用户和计算机”管理控制台中(MMC),通过右击计算机名并选择“新建→组”执行创建组的操作,让我们先对其中的各个选项有一个大致的了解。
2、组的类型、作用范围及其它基本概念
视作用范围不同,全局组和域本地组名在本域内必须唯一;通用组名在全部域内必须唯一。“WINDOWS 2000以前版本”是让你取15位字符以内的组名,和256位字符以内的组名同时使用,这样在9X环境中看到的是前者,而W2K环境中看到的是后者。
安全组和分发组:W2K操作系统只使用安全组。主要的功能是用来授权,所有的共享资源(文件夹、驱动器、打印机等)都只能在安全组上进行权限的分配;分发组和安全组的区别在于分发组无法被授权,并且基于活动目录的应用程序只能读取分发组,比如微软的邮件服务器(MS Exchange Server)就利用该组作为发送e-mail的用户列表。理论上说,分发组的建立和成员管理不必网管介入,这里不提。
作用范围的名称:域本地组(Domain Local,DL)、全局组(Global,G)、通用组(Universal,U),不难理解,DL对应于前述的非DC服务器所建立的本地组L,指整个域的本地组。这里,不同的组类型决定了不同的授权能力、内部成员、作用范围和嵌套能力。官方对于这些概念的表述颇为艰涩,为方便理解,笔者整理了如下简表,仅供参考:
|
授权能力 |
成员来自 |
作用范围 |
嵌套能力 |
DL |
本域资源 |
全部域 |
本域 |
不能加入任何组 |
G |
全部域资源 |
本域 |
全部域 |
能加入任何组 |
U |
全部域资源 |
全部域 |
全部域 |
能加入除G组外的任何组 |
其中:G组只能加入到本域的G组以及其它域的U组或DL组;强烈建议U组只放置相对固定和稳定的组!
3、堪称经典的AGDLP策略
对于多个相同权限的用户,只需将其添加到组中并给组授权就行了。或许每个网管都有自己独特的方法达到该目的,但微软推荐的AGDLP方案已经被无数成功的实践证明了是一种最有效率的途径。不论单域还是多域,如能充分的运用G组和DL组进行合理的用户添加、嵌套与权限的分配,应付日常管理工作已绰绰有余。
具体方法是:先将用户(Acounts-A)加入全局组G;再将G加入域本地组DL;最后给DL授权(Permissions-P)。
以下以多域环境的实例予以说明:
假定公司建立了两个域:工程部(A)与财务部(B),A中的5个技术人员和B中的3个财务人员都需要访问B中的“Project Budget”文件夹,你可以在B中建一个DL,由于DL的成员可以来自全部域,于是把这8个人都加入其中,并把“Project Budget”的访问权授予DL。但DL是在B域,所以管理权也在B域,如果A中的5个人变成7个人,那只能由A域的admin通知B域的Admin,由B-Admi执行修改,如果有更多频繁的和未知的变动呢?这是没有采用策略的情况;
我们启用该策略。在A和B中分别建立全局组(G),然后在B域中建立一个DL,把这两个G都加入B域中的DL中,然后把“Project Budget”的访问权授予DL。这时候A和B的Admin自如的管理自己的G组,只要把那5个人和3个人加入各自的G中,以后的任何修改由自己完成就行了。
大功告成。这就是AGDLP……
且慢!刚才介绍的U组到哪里去了?
DC安装时默认U组不可用,其选项为灰色,这时该DC的域处于混合模式(MIX),表示当前域内可能还有基于WIN-NT操作系统的域控制器在使用,如果域内已没有基于WIN-NT操作系统的域,并且森林内有多域共存时就可将DC转换到本机模式(Native),U组才能使用。这样做是为了保持操作系统版本的兼容性,须知,即使是在有了WINDOWS 2003的今天,全世界还有很多大中型企业的网络平稳地运行在WIN-NT的平台上。
当U组可用时,已建的G组和DL组可以有条件的转换为U组,根据上述规则,G组转换为U组的前提是该G组不是另一个G组的成员;与此相反,把DL组转换成U组的前提是该DL组内没有另一个DL组作为它的成员。
U组既然通用,为什么必须放置相对稳定和固定的组呢?把用户都加入到U组,不用G和DL组不行吗?
多域环境中(称为森林),为保持各个域之间的用户信息共享,U组和它的全部成员都被写入了一个名为全局目录 (Global Caltalog,GC)的数据库中,保存于森林内第一台DC之中,该GC会在森林内各个域的DC之间进行复制,虽然G组和DL组也被写入了GC,但只有组名,没有成员。由此可见,如果把所有成员都加入U组的话,会使得GC在森林内进行域间复制时的网络流量剧增,造成网速下降;而通过建立适当的G组和DL组,并且在U组内避免直接添加用户,就能够显著减小GC容量的大小,从而降低GC复制时带来的网络流量。
有了U组的策略,称为AGUDLP策略,可不要小看了一个U组,通过它四两拨千斤,就使AGDLP的应用能力升级到可以应付大型跨国公司的域用户权限管理的境界,轻松的解决了任意复杂的多域环境中域内用户和资源的分配、管理问题,限于篇辐,不再举例说明。请网管朋友们自已去体会其中的微妙所在。最后用一句话作一个小结:
虽然可以对每个用户A单独授权,但优秀的系统管理员通常是将用户A添加到G组,必要时才将G组添加到U组,再将G组或U组添加到DL组,最后对DL组授权(P)。
这就是AGDLP策略。
表面上,它只是一种技术,在将网络权限分配的机动性、灵活性最大化的同时,使其复杂性最小化,但实质上,它除了是ALP策略的扩展以外,更是微软一脉相承的管理思想的体现: DL本身不能加入到任何组,只能用来分配资源权限,称为资源组;G组和U组用来添加那些有相同资源需求的用户帐户组,称为帐户组。早在NT域模式下要分别建立帐户域和资源域的时候,这种天才的管理思想就已经初见端倪了。
个人认为,这才是AGDLP策略的精髓。敬请广大网管朋友指正。
posted on 2005-11-16 16:39
曲洋 阅读(402)
评论(1) 编辑 收藏 所属分类:
曾经发表过的技术文章