醫(yī)院局域網(wǎng)域管理方案

1、 醫(yī)院局域網(wǎng)域管理方案 奚波Summary：在醫(yī)院局域網(wǎng)絡(luò)管理中，怎樣對網(wǎng)絡(luò)中的資源進(jìn)行合理的劃分，對用戶權(quán)限進(jìn)行合理的分配，是一項繁雜而又細(xì)致的重要工作。該文通過具體實驗操作的模式，介紹了如何使用Windows域服務(wù)對網(wǎng)絡(luò)中的資源和用戶進(jìn)行管理，逐步探索出了一套行之有效的局域網(wǎng)絡(luò)資源管理方案，借此讓更多的網(wǎng)絡(luò)管理人員可以制定出符合自己醫(yī)院的局域網(wǎng)絡(luò)管理方案，以此來規(guī)范醫(yī)院網(wǎng)絡(luò)管理，提高工作效率。Key：Windows域;局域網(wǎng);用戶管理：TP393 ：A：1009-3044（2022）09-0013-04Windows域是一種計算機網(wǎng)絡(luò)的管理形式，其中所有的用戶賬戶、網(wǎng)絡(luò)資源（包括計算機、網(wǎng)

2、絡(luò)打印機、共享文件夾等）和其他安全主體都在網(wǎng)絡(luò)中的一個或一組域控制器的數(shù)據(jù)庫中進(jìn)行注冊。在“域”模式下，用戶對網(wǎng)絡(luò)中的資源的訪問有較嚴(yán)格的管理，在網(wǎng)絡(luò)中至少有一臺服務(wù)器負(fù)責(zé)每一臺聯(lián)入網(wǎng)絡(luò)的電腦和用戶的驗證工作，這臺服務(wù)器稱為“域控制器（Domain Controller，簡寫為DC）”。域控制器中包含了由這個域的賬戶、密碼、屬于這個域的計算機等信息構(gòu)成的數(shù)據(jù)庫。當(dāng)電腦連入網(wǎng)絡(luò)時，域控制器首先要鑒別這臺電腦是否屬于這個域的，用戶使用的登錄賬號是否存在、密碼是否正確。如果以上信息有一樣不正確，那么域控制器就會拒絕這個用戶從這臺電腦登錄。不能登錄，用戶就不能訪問服務(wù)器上有權(quán)限保護(hù)的資源，他只能以對等

3、網(wǎng)用戶的方式訪問Windows共享出來的資源，這樣就在一定程度上保護(hù)了網(wǎng)絡(luò)上的資源。本方案內(nèi)容分為Windows域服務(wù)安裝、域組織單位管理、域用戶管理和域組策略管理四部分。1 Windows域服務(wù)安裝1.1 操作主機簡介Windows域中定義了域控制器的五種操作主機角色（又稱FSMO）：架構(gòu)主機（Schema Master）、域命名主機（Domain Naming Master）、相對標(biāo)識號（RID）主機（RID Master）、主域控制器模擬器（PDCE）、基礎(chǔ)結(jié)構(gòu)主機（Infrastructure Master）1。而每種操作主機角色負(fù)擔(dān)不同的工作，具有不同的功能：（1）架構(gòu)主機：控制Wi

4、ndows域內(nèi)所有對象屬性的定義。（2）域命名主機：控制域的添加和刪除。（3）相對標(biāo)識號（RID）主機：管理域中對象相對標(biāo)識符（RID）池。（4）主域控制器模擬器：模擬Windows NT PDC。（5）基礎(chǔ)結(jié)構(gòu)主機：負(fù)責(zé)對跨域?qū)ο笠眠M(jìn)行更新。由于域控制器對于網(wǎng)絡(luò)管理的重要性，所以在一個大型的網(wǎng)絡(luò)中不能只安裝一臺域控制器，而是多個域控制器同時管理，這些域控制器分別擔(dān)任以上五種操作主機角色中的一個或幾個，在某一臺域控制器失效時，其他域控制器可以接管它的角色。我院的局域網(wǎng)有三臺域服務(wù)器，分別是ADSSERVER13，其中ADSSERVER1為物理機，其余兩臺為虛擬機。三臺域服務(wù)器都安裝Windo

5、ws Server 2008 R2操作系統(tǒng)，域名為：dqyy.local，域功能等級為最高級別。1.2 安裝域控制器服務(wù)首先要在域控制器上安裝好Windows Server 2008 R2操作系統(tǒng)，三臺服務(wù)器計算機名分別為“ADSSERVER1”“ADSSERVER2”“ADSSERVER3”，IP地址分別為：“100.100.100.201”“100.100.100.204”“100.100.100.99”。安裝好操作系統(tǒng)后開始配置域控服務(wù)，配置過程如下：1）打開“服務(wù)器管理器”“添加角色”“添加Active Directory域服務(wù)”，然后點擊下一步，點擊安裝。2）安裝結(jié)束之后，點擊鏈接，

6、開始域服務(wù)安裝向?qū)В蛘咧苯舆\行dcpromo.exe，如圖1所示。3）開始域服務(wù)安裝向?qū)?，如果本機是網(wǎng)絡(luò)中的第一臺域控制器，要選擇“在新林中新建域”，其后添加的域控制器要選擇“向現(xiàn)有域添加域控制器”，域名為：dqyy.local。4）下一步，設(shè)置林功能級別為：Windows Server 2008 R2，此級別為Windows2008系統(tǒng)所支持的最高域等級。5）下一步，其他安裝選項，一般新裝的域默認(rèn)安裝DNS服務(wù)器和全局編錄。6）下一步如圖2，這里會提示是否繼續(xù)，選擇“是”。7）下一步選擇域數(shù)據(jù)庫的位置，為了安全起見，請選擇非系統(tǒng)盤，這里選擇默認(rèn)安裝。8）下一步選擇目錄還原模式的密碼，再下一

7、步開始安裝。安裝完成后重啟。1.3配置域控制器1）在桌面上添加一個控制臺，將所有域管理所用到的管理單元全部添加進(jìn)來。要添加的管理單元有：“Active Directory架構(gòu)”“Active Directory用戶和計算機”“Active Directory域和信任關(guān)系”“Active Directory站點和服務(wù)”“組策略管理”和“DNS”。在添加“Active Directory架構(gòu)”之前要先運行命令“regsvr32 C：WINDOWSsystem32schmmgmt.dll”注冊動態(tài)庫。點擊“開始”“運行”“mmc”，打開一個空的控制臺，點擊“文件”“添加/刪除管理單元”。在左邊“可用

8、的管理單元”中，找到“Active Directory架構(gòu)”“Active Directory用戶和計算機”“Active Directory域和信任關(guān)系”“Active Directory站點和服務(wù)”“組策略管理”“DNS”和“DHCP”，添加到右側(cè)“所選管理單元”，如圖3所示。添加完成后的控制臺保存名為“域管理”。2）修改操作主機。前面說過Active Directory有五種操作主機角色，要分別運行在這三臺域控制器上。分別右擊“Active Directory架構(gòu)”“Active Directory用戶和計算機”“dqyy.local”“Active Directory域和信任關(guān)系”，在

9、彈出的菜單中可以找到“操作主機”菜單項。修改結(jié)果在命令行下運行“netdom query fsmo”可以查詢，結(jié)果如圖4所示。3）修改“全局編錄”服務(wù)。全局編錄（Global Catalog，GC）包含了各個活動目錄中每一個對象的最重要的屬性，是域林中所有對象的集合。一旦全局編錄數(shù)據(jù)庫被損壞，所有用戶的信息就會丟失，所以全局編錄服務(wù)一定要在多個域控制器上運行。但是要注意的是“全局編錄”不要和“結(jié)構(gòu)主機”放在同一臺域控制器上，否則結(jié)構(gòu)主機無法正常工作。依次展開“Active Directory站點和服務(wù)”“Site”“Default-First-Site-Name”“Servers”，這里可以看

10、到所有的三臺域控制器，展開每個域控制器，下面有一個“NTDS Settings”，右鍵點擊“屬性”，彈出對話框，“全局編錄”默認(rèn)處于勾選狀態(tài)。要注意由于ADSSERVER3的操作主機角色是“結(jié)構(gòu)主機”，所以ADSSERVER3的“全局編錄”選項要取消勾選。2 域組織單位管理組織單元是一種目錄對象類型，它的作用是將Active Directory中的對象如用戶、組、計算機按照一定的層次組織起來，還可以包括其他的OU，可以把它理解成為Active Directory容器，也可以理解成文件夾。具體信息可以參考系統(tǒng)自帶的幫助信息2。“組織單元”管理在“Active Directory用戶和計算機”管理

11、單元中。展開管理單元，如圖5所示。這里可以看到有系統(tǒng)自帶的容器和組織單元?！癇uiltin”內(nèi)是內(nèi)建安全組，“Computer”是客戶端加入域之后默認(rèn)保存的位置，“Domain Controllers”內(nèi)是所有的域控制器，“Users”內(nèi)是域安全組?！癶iscluster”“vmservers”“信息中心”“普通用戶”四個組織單元是用戶自己建立的，其中“普通用戶”是用來存放網(wǎng)絡(luò)中所有PC客戶端賬戶信息的。在“普通用戶”O(jiān)U下面，將所有PC客戶端都按照醫(yī)院內(nèi)部科室管理方案進(jìn)行組織。3 域用戶管理我院的域用戶管理比較簡單，主要有三個域用戶：Administrator、admin和st07。Admi

12、nistrator是默認(rèn)的域管理員，權(quán)限最大。admin是域管理員組成員，st07是域用戶組成員，同時admin和st07還是OU“普通用戶”的成員3。用戶admin是管理員在操作OU“普通用戶”中的工作站的時候可以使用的登錄賬號，權(quán)限受到一定限制，但比用戶st07大。用戶st07是醫(yī)院普通工作人員在日常工作時登錄域使用的登錄賬號，權(quán)限最小。域中添加刪除用戶，首先在“Active Directory用戶和計算機”中定位到用戶所屬的OU，點擊右鍵，“新建”“用戶”，輸入用戶的相關(guān)信息即可。這里是否勾選“密碼永不過期”，視需要決定。如圖6所示。4 域組策略管理域管理很重要的一個部分就是域組策略配置

13、。域組策略（Group Policy）是Microsoft Windows系統(tǒng)管理員為用戶和計算機定義并控制程序、網(wǎng)絡(luò)資源及操作系統(tǒng)行為的主要工具。通過使用域組策略可以設(shè)置各種軟件、計算機和用戶策略，策略配置得好可以大大增加局域網(wǎng)的安全性。按照不同的組織單位分別配置不同的域策略4。組策略分為兩大部分：計算機配置和用戶配置。每一個部分都有自己的獨立性，因為他們配置的對象類型不同。計算機賬戶部分控制計算機賬戶，同樣用戶配置部分控制用戶賬戶。其中有部分配置在計算機部分擁有在用戶部分也有同樣的配置，他們是不會跨越執(zhí)行的。假設(shè)某個配置選項希望計算機賬戶啟用、用戶賬戶也啟用，那么就必須在計算機配置和用戶配

14、置部分都進(jìn)行設(shè)置?？傊嬎銠C配置下的設(shè)置僅對計算機對象生效，用戶配置下的設(shè)置僅對用戶對象生效。展開“組策略管理”管理單元，就可以看到這里也有“組織單元”，如圖7所示，這也就是說可以新建若干個組策略，然后將這些組策略分配給不同的組織單位，這樣就可以分別控制每個組織單元中的用戶和工作站。展開“組策略對象”，這里保存的是域中所有的組策略對像，默認(rèn)有“Default Domain Controllers Policy”“Default Domain Policy”兩個組策略對象?！癉efault Domain Controllers Policy”是默認(rèn)應(yīng)用到所有域控制器的組策略，展開OU“Domai

15、n Controllers”就可以看到“Default Domain Controllers Policy”已經(jīng)啟用鏈接。“Default Domain Policy”是默認(rèn)應(yīng)用到所有OU的組策略。1）新建組策略對象右擊“組策略對象”“新建”，打開“新建GPO”，重命名后確定。組策略對象中就會出現(xiàn)剛才新建的組策略對象，右鍵點擊新建的組策略對象，點擊“編輯”，就可以對它進(jìn)行編輯了，這里的編輯方法與用戶本機的組策略編輯方法類似，本文不再贅述。2）自定義組策略對象的作用圖8是使用的組策略對象列表：下面介紹一下其中幾個組策略對象的作用：ST07組策略對象。供用戶st07使用的組策略對象對st07的權(quán)限

16、和用st07用戶登錄的工作站都做了一定的限制，例如：IE瀏覽器的主頁修改為醫(yī)院內(nèi)網(wǎng)主頁、限制用戶對桌面壁紙的修改、指定桌面和開始菜單的顯示項目等?？梢渣c擊組策略對象，再在右邊的窗口中點擊“設(shè)置”標(biāo)簽頁，查看一個組策略對象到底做了哪些設(shè)置，如圖9所示。st07登錄注銷策略。這個組策略對象設(shè)置的就是用戶st07的登錄/注銷腳本。依次展開“st07登錄注銷策略”“用戶配置”“策略”“windows設(shè)置”“腳本（登錄/注銷）”，雙擊右側(cè)的“登錄”，彈出登錄腳本對話框，點擊“添加”，然后瀏覽文件，彈出瀏覽文件對話框，如圖10所示。要注意顯示的文件夾位置，如果仔細(xì)查看，它的位置是“dqyy.localSy

17、sVoldqyy.localPolicies13280DDA-07A5-4F75-BC84-00309F14D1B3UserScriptsLogon”，是一個共享文件夾，默認(rèn)的登錄腳本都是在這個文件夾中，整個域網(wǎng)絡(luò)都可以訪問。在這里新建一個cmd腳本文件，命名為“st07登錄腳本.cmd”，這個腳本是用戶st07登錄OU“普通用戶”內(nèi)的PC客戶端時所執(zhí)行的登錄腳本，內(nèi)容如下：;對時net time 100.100.100.99 /set /yes;更換背景bcdedit /timeout 2;從待機狀態(tài)恢復(fù)后，不用輸入密碼POWERCFG /GLOBALPOWERFLAG off /OPTIO

18、N RESUMEPASSWORDpowercfg /setactive 家用/辦公桌powercfg /change 家用/辦公桌 /monitor-timeout-ac 5powercfg /change 家用/辦公桌 /disk-timeout-ac 30;啟用防火墻netsh firewall set opmode enablenetsh advfirewall set allprofile state on;啟用防火墻規(guī)則netsh firewall set service ALL enable subnetnetsh firewall set allowedprogram progr

19、am=C：Program Filesuvnc bvbaUltraVNCwinvnc.exe name=winvnc.exe mode=enable profile=currentnetsh firewall set allowedprogram program=C：Program FilesTencentRTXCRTX.exe name=RTX mode=enable profile=currentnetsh firewall set allowedprogram program=C：Foxmail 7.2Foxmail.exe name=Foxmail.exe mode=enable pro

20、file=currentnetsh firewall set allowedprogram program=C：Program FilesSymantecpcAnywhereawhost32.exe name=pcAnywhere Host mode=enable profile=currentnetsh firewall set portopening tcp 5800 vnc5800 enable profile=currentnetsh firewall set portopening tcp 5900 vnc5900 enable profile=currentsc config Mp

21、sSvc start= auto;禁用U盤sc config usbstor start= disableddevcon disable *DEV_818B*同樣的還可以添加注銷腳本，雙擊右側(cè)的“注銷”即可添加“st07注銷腳本.cmd”。文件夾重定向組策略對象。這個組策略對象的作用是將某些系統(tǒng)文件夾如“桌面文件夾”或“文檔文件夾”從默認(rèn)的系統(tǒng)分區(qū)移動到用戶指定的位置。之所以要使用這樣一個功能，是因為有些用戶會把文件直接保存在客戶端的桌面上，而默認(rèn)的客戶端桌面文件夾在系統(tǒng)分區(qū)，一旦系統(tǒng)分區(qū)損壞或重裝系統(tǒng)，桌面文件夾的內(nèi)容就會丟失，如果用戶忘記把文件移動到其他分區(qū)，就會造成損失。使用了這個組策略

22、對象之后，“文檔文件夾”會轉(zhuǎn)移到“D：My Documents”，而“桌面文件夾”會轉(zhuǎn)移到“D：My Documents桌面”。依次展開“文件夾重定向組策略對象”“用戶配置”“策略”“windows設(shè)置”“文件夾重定向”，“文件夾重定向”下面有十多個系統(tǒng)文件夾的位置，這里只修改“桌面”和“文檔”。右擊“桌面（文檔）”“屬性”，彈出桌面（文檔）屬性對話框。按照圖示設(shè)置屬性即可。（3）啟用組策略對象建立好組策略對象，就要把它指定給某一個OU，并分配好權(quán)限，這個組策略對象才能夠發(fā)揮作用。在這里主要是給OU“普通用戶”分配組策略對象，右擊“普通用戶”，點擊“鏈接現(xiàn)有GPO”，在彈出的選擇框中選擇要鏈接的組策略對象，點擊確定，即可鏈接組策略對象。鏈接完成之后，還要對這個組策略