工作組和域的優(yōu)缺點(diǎn).doc

公司現(xiàn)狀分析及建議方案在分析公司現(xiàn)狀之前，我們需要對(duì)局域網(wǎng)資源管理的兩種模式:工作組和域的概念，各自的主要特點(diǎn)，各自的優(yōu)缺點(diǎn)來(lái)綜合的了解一下。一、工作組1.工作組的概念：工作組（WorkGroup）網(wǎng)絡(luò)是對(duì)等（peer-to-peer，P2P）網(wǎng)絡(luò)技術(shù)在局域網(wǎng)（P2P網(wǎng)絡(luò)更主要應(yīng)用于廣域網(wǎng)中）中的應(yīng)用，是根據(jù)用戶自定義的分組特點(diǎn)（如不同部門、不同愛(ài)好、不同操作系統(tǒng)類型等）把網(wǎng)絡(luò)中的許多用戶計(jì)算機(jī)分門別類地納入到不同工作組中的。劃分工作組的主要目的主要是為了便于瀏覽、查找，另外還方便于管理員對(duì)用戶計(jì)算機(jī)的管理。2.工作組的主要特點(diǎn)：工作組主機(jī)間是平等的工作組網(wǎng)絡(luò)既然是“對(duì)等網(wǎng)”，從其名稱中的“對(duì)等”兩個(gè)字就可以看出來(lái)，對(duì)等網(wǎng)中的各主機(jī)都是對(duì)等的，地位平等，沒(méi)有管理和被管理之分。在網(wǎng)絡(luò)應(yīng)用中，各主機(jī)既可以當(dāng)作服務(wù)器，為其他主機(jī)提供訪問(wèn)服務(wù)，也可以當(dāng)作客戶機(jī)，訪問(wèn)其他主機(jī)。. 管理和安全邊界為各成員計(jì)算機(jī) 正因工作組網(wǎng)絡(luò)中各主機(jī)是平等，互不干涉的，管理和安全邊界就是工作組中各成員計(jì)算機(jī)，工作組本身不是管理和安全邊界，不能直接針對(duì)工作組來(lái)進(jìn)行管理和安全策略配置。在工作組網(wǎng)絡(luò)中，主機(jī)之間的訪問(wèn)就需要訪問(wèn)方（在此估且稱之為“客戶機(jī)”）使用在被訪問(wèn)方（在此估且稱之為“服務(wù)器”）上配置了的用戶賬戶和密碼，通過(guò)身份驗(yàn)證后才能訪問(wèn)。因?yàn)樵诠ぷ鹘M網(wǎng)絡(luò)中，只有本地賬戶才可以訪問(wèn)自己的主機(jī)，不能輸入本機(jī)以外的任何用戶賬戶來(lái)訪問(wèn)本機(jī)（當(dāng)然，可能有兩臺(tái)或兩臺(tái)以上主機(jī)中有相同用戶名和密碼的用戶賬戶）。在一個(gè)工作組網(wǎng)絡(luò)中可以有多個(gè)工作組在一個(gè)對(duì)稱網(wǎng)中可以有多個(gè)工作組。工作組的劃分可以是任意的，一般是按部門，或者按工作性質(zhì)等來(lái)劃分的。但是要注意的是，工作組不代表安全邊界。也就是說(shuō)，不同工作組之間并沒(méi)有權(quán)限意義上的區(qū)別，只是一種便于訪問(wèn)或管理的方式。它與我們現(xiàn)實(shí)生活中的“組”有些區(qū)別，因?yàn)楝F(xiàn)實(shí)生活中的“組”往往會(huì)有一個(gè)“組長(zhǎng)”，負(fù)責(zé)整個(gè)組的管理。但在工作組中并沒(méi)有一臺(tái)主機(jī)具有管理整個(gè)組的權(quán)限，只是大家“平等共處”而已。不同工作組是可以相互訪問(wèn)的在一個(gè)工作組網(wǎng)絡(luò)中可以有多個(gè)工作組。大家或許會(huì)問(wèn)，不同工作組的主機(jī)之間是否可以相互訪問(wèn)呢？這是肯定的，而且就像沒(méi)有劃分多個(gè)組，在一個(gè)工作組中不同主機(jī)間的訪問(wèn)一樣簡(jiǎn)單，也只是需要正確輸入對(duì)方的用戶賬戶信息即可。當(dāng)然如果通信雙方都啟用了默認(rèn)配置的匿名訪問(wèn)，則也可以不用輸入身份驗(yàn)證賬戶信息。原因就是，工作組不是網(wǎng)絡(luò)安全邊界的一個(gè)單位，不能為不同組設(shè)置不同的安全級(jí)別，也不能像域網(wǎng)絡(luò)中為不同域設(shè)置不同的賬戶系統(tǒng)和安全策略。3.工作組的優(yōu)缺點(diǎn)優(yōu)點(diǎn)：安全管理簡(jiǎn)單這可以說(shuō)是工作組網(wǎng)絡(luò)的最大優(yōu)點(diǎn)。因?yàn)樵诠ぷ鹘M網(wǎng)絡(luò)中把網(wǎng)絡(luò)安全邊界下放到最終的用戶端，外部計(jì)算機(jī)的訪問(wèn)必須使用本地計(jì)算機(jī)上合法的用戶賬戶信息，這樣一來(lái)，工作組網(wǎng)絡(luò)的安全管理也就是各用戶計(jì)算機(jī)自己的安全管理。而各用戶計(jì)算機(jī)上的用戶賬戶信息一般來(lái)說(shuō)都非常簡(jiǎn)單，只有少數(shù)幾個(gè)用戶賬戶，只需要對(duì)本機(jī)（不涉及到其他機(jī)上的任何賬戶）上的少數(shù)賬戶進(jìn)行適當(dāng)?shù)陌踩渲眉纯?，所以在安全管理方面，要較域網(wǎng)絡(luò)的安全管理容易些。另外，在工作組中，各成員計(jì)算機(jī)只使用自己計(jì)算機(jī)上的本地組策略，不會(huì)應(yīng)用其他任何組策略，安全策略管理更簡(jiǎn)單。網(wǎng)絡(luò)性能比較高因?yàn)樵诠ぷ鹘M網(wǎng)絡(luò)中，除了基本的網(wǎng)絡(luò)連接和資源共享外，基本上是沒(méi)有任何額外（如各種全局范圍的安全策略和身份認(rèn)證等）的網(wǎng)絡(luò)資源消耗，用戶登錄都是在本機(jī)上進(jìn)行，所以，工作組網(wǎng)絡(luò)的網(wǎng)絡(luò)連接性能要遠(yuǎn)比域網(wǎng)絡(luò)的網(wǎng)絡(luò)連接性能強(qiáng)。這也是許多網(wǎng)友反映加入域網(wǎng)絡(luò)后，登錄和網(wǎng)絡(luò)應(yīng)用比較慢的根源所在。缺點(diǎn)：網(wǎng)絡(luò)管理不方便這可以說(shuō)是工作組網(wǎng)絡(luò)的最大缺點(diǎn)。因?yàn)楣ぷ鹘M網(wǎng)絡(luò)中，網(wǎng)絡(luò)管理和安全邊界下放到最終的用戶端，無(wú)論是用戶賬戶，用戶賬戶權(quán)限、安全策略等都是分散的，而且各用戶計(jì)算機(jī)上的這些配置都可能不同，管理員很難，甚至無(wú)法通過(guò)一臺(tái)機(jī)來(lái)集中管理工作組網(wǎng)絡(luò)中的用戶賬戶系統(tǒng)和安全策略系統(tǒng),給整個(gè)網(wǎng)絡(luò)管理帶來(lái)混亂; 另外對(duì)于管理員管理整個(gè)網(wǎng)絡(luò)也一樣，要實(shí)現(xiàn)對(duì)整個(gè)網(wǎng)絡(luò)中的計(jì)算機(jī)進(jìn)行管理，就必須在各計(jì)算機(jī)上配置有相同賬戶的管理員賬戶（注意，密碼都必須一樣），否則每次第一次訪問(wèn)一臺(tái)計(jì)算機(jī)時(shí)，都提示要求輸入用戶賬戶名和密碼。如果財(cái)貿(mào)系統(tǒng)中有一百臺(tái)，則需要在一百臺(tái)計(jì)算機(jī)創(chuàng)建和配置這個(gè)相同的用戶賬戶信息，如果有一千臺(tái)，則要進(jìn)行一次同樣的工作。其工作量是可想而知的。盡管可以直接通過(guò)復(fù)制用戶配置文件來(lái)實(shí)現(xiàn)，但至少也要復(fù)制一千次啊。網(wǎng)絡(luò)公共應(yīng)用配置比較繁瑣因?yàn)楣ぷ鹘M網(wǎng)絡(luò)中的網(wǎng)絡(luò)訪問(wèn)身份驗(yàn)證是依據(jù)各成員計(jì)算機(jī)的賬戶系統(tǒng)，所以在一些公共網(wǎng)絡(luò)應(yīng)用服務(wù)器中的安全配置就顯得比較復(fù)雜了，要么是網(wǎng)絡(luò)中各計(jì)算機(jī)都啟用默認(rèn)的Guest賬戶（并且全都采用默認(rèn)的空密碼），要么在授權(quán)訪問(wèn)的每臺(tái)計(jì)算機(jī)配置相同的組或者用戶賬戶，否則就無(wú)法進(jìn)行全面授權(quán)。如果啟用Guest賬戶，會(huì)給企業(yè)網(wǎng)絡(luò)帶來(lái)巨大的安全隱患。二、域1.域的概念：域其實(shí)是微軟借鑒了互聯(lián)網(wǎng)中的域名技術(shù)的，是目前企業(yè)局域網(wǎng)中應(yīng)用最為廣泛的一種網(wǎng)絡(luò)管理模式。簡(jiǎn)單地說(shuō)，域是一種基于對(duì)象和安全策略的分布式數(shù)據(jù)庫(kù)系統(tǒng)。之所以說(shuō)是基于對(duì)象和安全策略，那就是因?yàn)橛蚓W(wǎng)絡(luò)的最大特點(diǎn)就是可以實(shí)現(xiàn)用戶、計(jì)算機(jī)等對(duì)象賬戶，以及網(wǎng)絡(luò)安全策略的集中管理和部署。所謂“數(shù)據(jù)庫(kù)”是指域中的信息（如賬戶信息、配置信息等）不是以獨(dú)立文件形式存在，而是以字段信息之類的數(shù)據(jù)形式存在。我們知道，在微軟的域網(wǎng)絡(luò)中最顯著的特點(diǎn)就是引入了“活動(dòng)目錄”（Active Diretory，AD）技術(shù)。而AD本身就是一種目錄數(shù)據(jù)庫(kù)系統(tǒng)。之所以稱之為“活動(dòng)目錄”，那是因這在域網(wǎng)絡(luò)中的目錄是始終呈激活可用，動(dòng)態(tài)更新的狀態(tài)，而不是像普通目錄一樣靜態(tài)地使用。這樣做的目的就是方便系統(tǒng)中各服務(wù)器自身進(jìn)行的，或者用戶操作的查詢、更新、同步等，也提高了各服務(wù)器間數(shù)據(jù)復(fù)制的性能。在活動(dòng)目錄數(shù)據(jù)庫(kù)中包括了三個(gè)表格： Schema表 ：這個(gè)表中包含了所有可在活動(dòng)目錄創(chuàng)建的對(duì)象信息，以及他們之間的相互關(guān)系；包括各種類型對(duì)象的可選及不可選的各種屬性。這個(gè)表是活動(dòng)目錄數(shù)據(jù)庫(kù)中最小的一個(gè)表，但是也是最基礎(chǔ)的一個(gè)表。 Link 表：Link表包含所有屬性的關(guān)聯(lián)，包括活動(dòng)目錄中所有對(duì)象的屬性的值。一個(gè)用戶對(duì)象的所有屬性的類型，包括每個(gè)屬性的值及用戶所屬于的組等信息都屬于這個(gè)表。 Data表： 活動(dòng)目錄中用戶、組、應(yīng)用程序特殊數(shù)據(jù)和其他的數(shù)據(jù)全部保存在Data表中。這是活動(dòng)目錄中存儲(chǔ)信息最多的一個(gè)表，大量的活動(dòng)目錄的資料實(shí)際上還是存儲(chǔ)在這個(gè)表中。 所謂“分布式”就是這種活動(dòng)目錄配置信息數(shù)據(jù)庫(kù)系統(tǒng)中的數(shù)據(jù)可以不是僅來(lái)源或者存儲(chǔ)在一臺(tái)計(jì)算機(jī)上，而且可關(guān)聯(lián)網(wǎng)絡(luò)中許多相關(guān)服務(wù)器（如DC、DNS、DHCP服務(wù)器等）。2.工作組的主要特點(diǎn)：集中管理域可以實(shí)現(xiàn)對(duì)象（包括用戶和計(jì)算機(jī)）和安全策略的集中管理和部署，這是域的最顯著特點(diǎn)。域是C/S（客戶機(jī)/服務(wù)器）管理模式在局域網(wǎng)構(gòu)建中的應(yīng)用。在域中，有專門用來(lái)管理或者提供服務(wù)的各種服務(wù)器，如用于對(duì)象、安全策略管理的各級(jí)域控制器（DC）。通過(guò)DC中的活動(dòng)目錄（AD）和域組策略就可以對(duì)整個(gè)網(wǎng)絡(luò)中的用戶賬戶（包括用戶權(quán)限、權(quán)利）、計(jì)算機(jī)賬戶和安全管理策略進(jìn)行統(tǒng)一管理，統(tǒng)一部署。這樣一來(lái)，域中各成員計(jì)算機(jī)的角色并不是平等的，有管理（各服務(wù)器）和被管理（各客戶機(jī)）之分。這是前面工作組網(wǎng)絡(luò)所無(wú)法實(shí)現(xiàn)的。默認(rèn)信任在工作組網(wǎng)絡(luò)中，由于各用戶賬戶都只是對(duì)各自計(jì)算機(jī)本地有效，所以各成員計(jì)算機(jī)之間根本沒(méi)有信任關(guān)系，要訪問(wèn)就必須先進(jìn)行身份驗(yàn)證。而在域中，域用戶賬戶在整個(gè)域有效，所以加入了域的計(jì)算機(jī)都遵守了相同的信任協(xié)議，彼此相互信任，只要有域網(wǎng)絡(luò)中合法的用戶賬戶即可。這也是后面將要介紹的“單點(diǎn)登錄”的基礎(chǔ)和前提。集中存儲(chǔ)這也是域的一大優(yōu)勢(shì)和特點(diǎn)。在域中的用戶文檔或者數(shù)據(jù)可以集在保存在網(wǎng)絡(luò)中的一臺(tái)或者多臺(tái)相應(yīng)服務(wù)器上。用戶文檔還可以保存在服務(wù)器上為每個(gè)用戶創(chuàng)建的用戶主目錄中，并且該目錄只有用戶自己可以訪問(wèn)，包括網(wǎng)絡(luò)管理員也不能訪問(wèn)（當(dāng)然網(wǎng)絡(luò)管理員可以更改訪問(wèn)權(quán)限），極大地保障了各用戶私有文檔的安全性。同時(shí)也方便了網(wǎng)絡(luò)數(shù)據(jù)的存儲(chǔ)，提高警惕了網(wǎng)絡(luò)數(shù)據(jù)存儲(chǔ)的安全性。這一點(diǎn)在工作組網(wǎng)絡(luò)中無(wú)法實(shí)現(xiàn)，因?yàn)榧词鼓憧梢园褦?shù)據(jù)存儲(chǔ)在其他用戶計(jì)算機(jī)中，你的文檔同樣可以被那臺(tái)機(jī)上的用戶所瀏覽、修改，甚至刪除。單點(diǎn)登錄在域中，采用的是單點(diǎn)登錄（Single Sing On，SSO）。在域中的所謂“單點(diǎn)登錄”就是用戶只需要使用域賬戶登錄一次，就可以實(shí)現(xiàn)對(duì)整個(gè)域網(wǎng)絡(luò)共享資源的訪問(wèn)（當(dāng)然這是要在授予了訪問(wèn)權(quán)限的前提下），而無(wú)需在訪問(wèn)不同計(jì)算機(jī)上共享資源時(shí)輸入不同的賬戶信息。這就大大減化了網(wǎng)絡(luò)資源的訪問(wèn)驗(yàn)證過(guò)程。在工作組網(wǎng)絡(luò)中，因?yàn)榘踩吔缇褪歉饔脩粲?jì)算機(jī)本身，用戶賬戶都是存儲(chǔ)在各用戶計(jì)算機(jī)上，所以無(wú)法實(shí)現(xiàn)網(wǎng)絡(luò)中的單點(diǎn)登錄。當(dāng)然，單點(diǎn)登錄不僅應(yīng)用于域網(wǎng)絡(luò)用戶的登錄，它同樣廣泛應(yīng)用于其他支持單點(diǎn)登錄的應(yīng)用系統(tǒng)，用戶只需要登錄一次就可以訪問(wèn)所有相互信任的應(yīng)用系統(tǒng)。單點(diǎn)登錄原理就是網(wǎng)絡(luò)中的所有成員都信任同一套身份驗(yàn)證系統(tǒng)，可以是用戶賬戶、也可以是用戶郵箱名，還可以其他應(yīng)用系統(tǒng)的帳號(hào)。 支持漫游配置在域中，每個(gè)域用戶賬戶都可以在域中任意一臺(tái)允許本地登錄的計(jì)算機(jī)上登錄域，只要該計(jì)算機(jī)與DC在同一個(gè)網(wǎng)絡(luò)中即可。而且用戶的桌面環(huán)境及其他賬戶配置不會(huì)因在不同計(jì)算機(jī)上登錄而不同，因?yàn)橛蛑С秩致斡脩襞渲梦募?。這樣就極大方便了用戶的網(wǎng)絡(luò)訪問(wèn)。3域的優(yōu)缺點(diǎn)優(yōu)點(diǎn)：1 管理更方便因?yàn)橛蚩梢詫?shí)現(xiàn)在一臺(tái)服務(wù)器上對(duì)用戶/計(jì)算機(jī)賬戶和安全策略的集中管理，對(duì)于管理員來(lái)說(shuō)，就可以更方便地管理整個(gè)網(wǎng)絡(luò)的用戶賬戶（包括用戶賬戶權(quán)限和權(quán)利）和安全策略。而不必分別到各用戶計(jì)算機(jī)上分別配置。2 安全性更高因?yàn)橛虻娜钟脩糍~戶和安全策略都是集中在一臺(tái)或者少數(shù)幾臺(tái)DC上進(jìn)行配置與管理的，所以相對(duì)工作組網(wǎng)絡(luò)來(lái)說(shuō)，這些配置的安全性就更高，更不容易被人攻擊和破解。同樣，由于域中的用戶數(shù)據(jù)可以偏大中存放在一臺(tái)或者少數(shù)幾臺(tái)服務(wù)器上，企業(yè)網(wǎng)絡(luò)數(shù)據(jù)也就更安全。3 網(wǎng)絡(luò)訪問(wèn)更方便在前面的主要特點(diǎn)中介紹到，域是采用單點(diǎn)登錄方式，用戶只需要用戶域賬戶登錄一次域，就可以無(wú)限地訪問(wèn)允許訪問(wèn)的所有網(wǎng)絡(luò)資源，而無(wú)需反復(fù)輸入不同賬戶信息進(jìn)行身份驗(yàn)證。缺點(diǎn)：1 有專門的高性能服務(wù)器因?yàn)樵谟蛑械挠脩糍~戶、計(jì)算機(jī)賬戶、域安全策略等都是在DC上進(jìn)行統(tǒng)一部署和管理的，所以需要有專門的高性能服務(wù)器來(lái)?yè)?dān)當(dāng)。對(duì)于企業(yè)說(shuō)，相當(dāng)于增加了一筆不小的開(kāi)支。2 安全配置更復(fù)雜因?yàn)樵谟蛑猩婕暗蕉嗉?jí)安全策略，各級(jí)策略的應(yīng)用又有一定規(guī)則，所以總體來(lái)說(shuō)，安全配置更為復(fù)雜，不容易掌握。這對(duì)管理員的技能水平要求更高。在我們了解了以上兩者的概念，主要特點(diǎn)，優(yōu)缺點(diǎn)后，主要區(qū)別我們來(lái)總結(jié)下：首先創(chuàng)建方式不同，工作組可以由任何一個(gè)計(jì)算機(jī)的主人來(lái)創(chuàng)建，他在工作組輸入新名稱，重新啟動(dòng)一下就創(chuàng)建了一個(gè)新組，每一個(gè)電腦都可以創(chuàng)建一個(gè)組。而域只能由服務(wù)器來(lái)創(chuàng)建，其他的計(jì)算機(jī)只能加入這個(gè)域。如下圖：其次是安全機(jī)制不同，在域中有可以登錄該域的帳號(hào)，這些由域管理員來(lái)建立。在工作組中不存在組帳號(hào)，只有本機(jī)上的帳號(hào)和密碼。看看下圖：再次登錄方式不同，在工作組方式下，計(jì)算機(jī)啟動(dòng)后自動(dòng)就在工作組中。登錄域是要提交域用戶名和密碼，一旦登錄，便被賦予相應(yīng)的權(quán)限。結(jié)合SUNTECH公司的目前的現(xiàn)狀：局域網(wǎng)采用的是工作組的管理方式，由于工作組的特點(diǎn)是分散管理，導(dǎo)致一系列的問(wèn)題：1.在安全策略上，用戶下載與工作無(wú)關(guān)緊要的軟件安裝，造成計(jì)算機(jī)性能下降；2.私自更改計(jì)算機(jī)的安全配置，導(dǎo)致計(jì)算機(jī)不能正常工作；3.計(jì)算機(jī)名修改，導(dǎo)致局域網(wǎng)內(nèi)的計(jì)算機(jī)很難找到它。4.在局域網(wǎng)方面訪問(wèn)，用戶要不厭其煩的記住對(duì)方的賬號(hào)密碼，每天登陸每次都要輸入，然后才能訪問(wèn)。5.有的用戶用360軟件關(guān)閉了guest帳戶，或者不小心設(shè)置了密碼，導(dǎo)致本門的其他人員無(wú)法訪問(wèn)；6.在安全機(jī)制方面太低，公司有關(guān)保密數(shù)據(jù)方面存在很大的安全隱患。7.計(jì)算機(jī)名沒(méi)統(tǒng)一，不規(guī)范，各式各樣五花八門的都有，導(dǎo)致用戶難以記憶，不利于工作的順利進(jìn)行，浪費(fèi)不必要的時(shí)間去尋找相關(guān)的資源。8.資源共享方面權(quán)限設(shè)置太低，相關(guān)數(shù)據(jù)的安全，保密太差，非相關(guān)人員容易竊取機(jī)密文檔，對(duì)公司的整體利潤(rùn)造成相當(dāng)大的威脅。9.當(dāng)然還有其他諸多問(wèn)題。從公司的發(fā)展前景來(lái)考慮，采用域環(huán)境的主要好處：1、權(quán)限管理比較集中，管理成本大大下降。2.域環(huán)境，所有網(wǎng)絡(luò)資源，包括用戶，均是在域控制器上維護(hù)，便于集中管理。所有用戶只要登入到域，在域內(nèi)均能進(jìn)行身份驗(yàn)證，管理人員可以較好的管理計(jì)算機(jī)資源，管理網(wǎng)絡(luò)的成本大大降低。3. 防止公司員工在客戶端亂裝軟件, 能夠增強(qiáng)客戶端安全性、減少客戶端故障，降低維護(hù)成本。4. 安全性加強(qiáng)。有利于企業(yè)的一些保密資料的管理,比如說(shuō)某個(gè)盤某個(gè)人可以進(jìn)，但另一個(gè)人就不可以進(jìn)；哪一個(gè)文件只讓哪個(gè)人看；或者讓某些人可以看,但不可以刪/改/移等。5. 方便用戶使用各種資源?？捎晒芾韱T指派登錄腳本映射分布式文件系統(tǒng)根目錄，統(tǒng)一管理。用戶登錄后就可以像使用本地盤符一樣，使用網(wǎng)絡(luò)上的資源，且不需再次輸入密碼，用戶也只需記住一對(duì)用戶名/密碼即可。并且各種資源的訪問(wèn)、讀取、修改權(quán)限均可設(shè)置，不同的賬戶可以有不同的訪問(wèn)權(quán)限。即使資源位置改變，用戶也不需任何操作，只需管理員修改鏈接指向并設(shè)置相關(guān)權(quán)限即可，用戶甚至不會(huì)意識(shí)到資源位置的改變，不用像從前那樣，必須記住哪些資源在哪臺(tái)服務(wù)器上。6. SMS（System Management Server）能夠分發(fā)應(yīng)用程序、系統(tǒng)補(bǔ)丁等，用戶可以選擇安裝，也可以由系統(tǒng)管理員指派自動(dòng)安