随着网络用户数量的不断增加,由此引发的网络通信和安全故障越来越多,尤其体现在网络滥用导致的网络拥塞、蠕虫病毒泛滥导致的性能下降,以及系统漏洞导致的恶意攻击等方面。如果不采取相应有力的应对措施,那么网络瘫痪的情形将不断上演。由此可见,对网络客户端进行必要的甚至是严格的管理与控制,已成为保障网络高效、稳定、安全运行的重要措施。
合理规划组织单位
网络服务中最关键的问题是安全,安全的基础是权限。那么,如何为用户划分权限呢?为每个用户分别设置权限虽然理论上可行,但是,当用户数量较多时,不仅管理的工作量非常巨大,而且还可能因误操作而产生问题。因此,借助工作组实现对用户权限的划分,就成为提高管理效率的重要手段。该方法的实现非常简单,只需将用户指定至不同的工作组,然后为不同的工作组划分权限,最终,这些权限就会对该工作组中的所有用户产生作用。
Windows 2003 Server服务器操作系统在Active Directory活动目录中增加了组织单位这种对象,使得整个域的规划和管理更具弹性,更能发挥出“分层负责、授权自治”的优点。简而言之,组织单位就是一个比域还小的管理单位。若能善用组织单位,就可以有效避免形成多域架构,节约企业成本。下面介绍几种常见的组织单位划分方法。
以管理或对象观点划分 当以管理的观点来建立组织单位结构时,对所有拥有该组织单位的管理员来说是有利的。在Active Directory服务中,可以建立以对象观点为基础的组织单位,如使用者、计算机、应用程序、群组、打印机以及安全性原则等。
以地理观点划分 该划分方法可以建立一个包含每个地域的组织单位,它将形成一个永久、稳定的结构。但是,如果公司的组织结构出现重大变动时,就必须考虑其它多方面的因素来设定组织单位了。
以商业功能观点划分 如果企业重视商业功能,可以按照不同的行政职能(如市场部、IT部以及行政部)来划分组织单位。即使该组织自身结构并不十分稳定,但它们对这些功能的需求却是固定的。
以部门观点划分 这种划分方法的思路是建立一种能反映部门架构的组织单位。该方法能够与当前组织相互对应,但是当组织重组时将非常不稳定。
以项目观点划分 使用这一类型的组织单位模式是以项目为中心来考虑的。这种组织单位通常用来作为其它更稳定组织单位的下层结构。如果要采用这种类型,切记必须指定由谁来管理该组织单位。
利用组策略实现自动化管理
随着网络内计算机数量的不断增加,软件安装、系统安全以及文件夹共享等基本操作都会成为系统管理员的“累赘”,系统维护和安全维护的工作量也会越来越大。尽管系统管理员变得越来越忙碌,但安全隐患和用户抱怨却越来越多,如何管理和部署这些基本操作已成为系统管理员的“心病”。
组策略(Group Policy,简称GP)是系统管理员为计算机和用户所定义的,用来控制应用程序、系统设置和管理模板的一种机制。通俗一点说,组策略是介于控制面板和注册表之间的一种修改系统设置的工具,它提供了一种对批量计算机进行高效管理的方法。
Windows 2000 Server和Windows 2003 Server作为功能强大的服务器操作系统,内置强大的组策略管理平台。通过组策略管理可以完成网络环境中客户端的统一软件部署、安全设置、脚本设置、软件限制、客户端桌面环境部署以及浏览器功能统一设置等功能,同时根据策略的不同需求可以分为计算机配置策略和用户策略。如果系统管理员不想在重装系统、升级系统补丁和病毒库等琐碎的日常工作中疲于奔命,就必须要掌握组策略。
借助于组策略的应用,管理员可以通过域控制器,让系统自动而高效地完成许多重复、繁琐的系统管理与安全管理工作,提高网络管理工作的效率和网络的安全性,保持系统和网络的稳定运行。
[1] [2] 下一页