工作組和域的優(yōu)缺點.doc

公司現(xiàn)狀分析及建議方案在分析公司現(xiàn)狀之前，我們需要對局域網(wǎng)資源管理的兩種模式:工作組和域的概念，各自的主要特點，各自的優(yōu)缺點來綜合的了解一下。一、工作組1.工作組的概念：工作組（WorkGroup）網(wǎng)絡是對等（peer-to-peer，P2P）網(wǎng)絡技術在局域網(wǎng)（P2P網(wǎng)絡更主要應用于廣域網(wǎng)中）中的應用，是根據(jù)用戶自定義的分組特點（如不同部門、不同愛好、不同操作系統(tǒng)類型等）把網(wǎng)絡中的許多用戶計算機分門別類地納入到不同工作組中的。劃分工作組的主要目的主要是為了便于瀏覽、查找，另外還方便于管理員對用戶計算機的管理。2.工作組的主要特點：工作組主機間是平等的工作組網(wǎng)絡既然是“對等網(wǎng)”，從其名稱中的“對等”兩個字就可以看出來，對等網(wǎng)中的各主機都是對等的，地位平等，沒有管理和被管理之分。在網(wǎng)絡應用中，各主機既可以當作服務器，為其他主機提供訪問服務，也可以當作客戶機，訪問其他主機。. 管理和安全邊界為各成員計算機 正因工作組網(wǎng)絡中各主機是平等，互不干涉的，管理和安全邊界就是工作組中各成員計算機，工作組本身不是管理和安全邊界，不能直接針對工作組來進行管理和安全策略配置。在工作組網(wǎng)絡中，主機之間的訪問就需要訪問方（在此估且稱之為“客戶機”）使用在被訪問方（在此估且稱之為“服務器”）上配置了的用戶賬戶和密碼，通過身份驗證后才能訪問。因為在工作組網(wǎng)絡中，只有本地賬戶才可以訪問自己的主機，不能輸入本機以外的任何用戶賬戶來訪問本機（當然，可能有兩臺或兩臺以上主機中有相同用戶名和密碼的用戶賬戶）。在一個工作組網(wǎng)絡中可以有多個工作組在一個對稱網(wǎng)中可以有多個工作組。工作組的劃分可以是任意的，一般是按部門，或者按工作性質等來劃分的。但是要注意的是，工作組不代表安全邊界。也就是說，不同工作組之間并沒有權限意義上的區(qū)別，只是一種便于訪問或管理的方式。它與我們現(xiàn)實生活中的“組”有些區(qū)別，因為現(xiàn)實生活中的“組”往往會有一個“組長”，負責整個組的管理。但在工作組中并沒有一臺主機具有管理整個組的權限，只是大家“平等共處”而已。不同工作組是可以相互訪問的在一個工作組網(wǎng)絡中可以有多個工作組。大家或許會問，不同工作組的主機之間是否可以相互訪問呢？這是肯定的，而且就像沒有劃分多個組，在一個工作組中不同主機間的訪問一樣簡單，也只是需要正確輸入對方的用戶賬戶信息即可。當然如果通信雙方都啟用了默認配置的匿名訪問，則也可以不用輸入身份驗證賬戶信息。原因就是，工作組不是網(wǎng)絡安全邊界的一個單位，不能為不同組設置不同的安全級別，也不能像域網(wǎng)絡中為不同域設置不同的賬戶系統(tǒng)和安全策略。3.工作組的優(yōu)缺點優(yōu)點：安全管理簡單這可以說是工作組網(wǎng)絡的最大優(yōu)點。因為在工作組網(wǎng)絡中把網(wǎng)絡安全邊界下放到最終的用戶端，外部計算機的訪問必須使用本地計算機上合法的用戶賬戶信息，這樣一來，工作組網(wǎng)絡的安全管理也就是各用戶計算機自己的安全管理。而各用戶計算機上的用戶賬戶信息一般來說都非常簡單，只有少數(shù)幾個用戶賬戶，只需要對本機（不涉及到其他機上的任何賬戶）上的少數(shù)賬戶進行適當?shù)陌踩渲眉纯桑栽诎踩芾矸矫?，要較域網(wǎng)絡的安全管理容易些。另外，在工作組中，各成員計算機只使用自己計算機上的本地組策略，不會應用其他任何組策略，安全策略管理更簡單。網(wǎng)絡性能比較高因為在工作組網(wǎng)絡中，除了基本的網(wǎng)絡連接和資源共享外，基本上是沒有任何額外（如各種全局范圍的安全策略和身份認證等）的網(wǎng)絡資源消耗，用戶登錄都是在本機上進行，所以，工作組網(wǎng)絡的網(wǎng)絡連接性能要遠比域網(wǎng)絡的網(wǎng)絡連接性能強。這也是許多網(wǎng)友反映加入域網(wǎng)絡后，登錄和網(wǎng)絡應用比較慢的根源所在。缺點：網(wǎng)絡管理不方便這可以說是工作組網(wǎng)絡的最大缺點。因為工作組網(wǎng)絡中，網(wǎng)絡管理和安全邊界下放到最終的用戶端，無論是用戶賬戶，用戶賬戶權限、安全策略等都是分散的，而且各用戶計算機上的這些配置都可能不同，管理員很難，甚至無法通過一臺機來集中管理工作組網(wǎng)絡中的用戶賬戶系統(tǒng)和安全策略系統(tǒng),給整個網(wǎng)絡管理帶來混亂; 另外對于管理員管理整個網(wǎng)絡也一樣，要實現(xiàn)對整個網(wǎng)絡中的計算機進行管理，就必須在各計算機上配置有相同賬戶的管理員賬戶（注意，密碼都必須一樣），否則每次第一次訪問一臺計算機時，都提示要求輸入用戶賬戶名和密碼。如果財貿系統(tǒng)中有一百臺，則需要在一百臺計算機創(chuàng)建和配置這個相同的用戶賬戶信息，如果有一千臺，則要進行一次同樣的工作。其工作量是可想而知的。盡管可以直接通過復制用戶配置文件來實現(xiàn)，但至少也要復制一千次啊。網(wǎng)絡公共應用配置比較繁瑣因為工作組網(wǎng)絡中的網(wǎng)絡訪問身份驗證是依據(jù)各成員計算機的賬戶系統(tǒng)，所以在一些公共網(wǎng)絡應用服務器中的安全配置就顯得比較復雜了，要么是網(wǎng)絡中各計算機都啟用默認的Guest賬戶（并且全都采用默認的空密碼），要么在授權訪問的每臺計算機配置相同的組或者用戶賬戶，否則就無法進行全面授權。如果啟用Guest賬戶，會給企業(yè)網(wǎng)絡帶來巨大的安全隱患。二、域1.域的概念：域其實是微軟借鑒了互聯(lián)網(wǎng)中的域名技術的，是目前企業(yè)局域網(wǎng)中應用最為廣泛的一種網(wǎng)絡管理模式。簡單地說，域是一種基于對象和安全策略的分布式數(shù)據(jù)庫系統(tǒng)。之所以說是基于對象和安全策略，那就是因為域網(wǎng)絡的最大特點就是可以實現(xiàn)用戶、計算機等對象賬戶，以及網(wǎng)絡安全策略的集中管理和部署。所謂“數(shù)據(jù)庫”是指域中的信息（如賬戶信息、配置信息等）不是以獨立文件形式存在，而是以字段信息之類的數(shù)據(jù)形式存在。我們知道，在微軟的域網(wǎng)絡中最顯著的特點就是引入了“活動目錄”（Active Diretory，AD）技術。而AD本身就是一種目錄數(shù)據(jù)庫系統(tǒng)。之所以稱之為“活動目錄”，那是因這在域網(wǎng)絡中的目錄是始終呈激活可用，動態(tài)更新的狀態(tài)，而不是像普通目錄一樣靜態(tài)地使用。這樣做的目的就是方便系統(tǒng)中各服務器自身進行的，或者用戶操作的查詢、更新、同步等，也提高了各服務器間數(shù)據(jù)復制的性能。在活動目錄數(shù)據(jù)庫中包括了三個表格： Schema表 ：這個表中包含了所有可在活動目錄創(chuàng)建的對象信息，以及他們之間的相互關系；包括各種類型對象的可選及不可選的各種屬性。這個表是活動目錄數(shù)據(jù)庫中最小的一個表，但是也是最基礎的一個表。 Link 表：Link表包含所有屬性的關聯(lián)，包括活動目錄中所有對象的屬性的值。一個用戶對象的所有屬性的類型，包括每個屬性的值及用戶所屬于的組等信息都屬于這個表。 Data表： 活動目錄中用戶、組、應用程序特殊數(shù)據(jù)和其他的數(shù)據(jù)全部保存在Data表中。這是活動目錄中存儲信息最多的一個表，大量的活動目錄的資料實際上還是存儲在這個表中。 所謂“分布式”就是這種活動目錄配置信息數(shù)據(jù)庫系統(tǒng)中的數(shù)據(jù)可以不是僅來源或者存儲在一臺計算機上，而且可關聯(lián)網(wǎng)絡中許多相關服務器（如DC、DNS、DHCP服務器等）。2.工作組的主要特點：集中管理域可以實現(xiàn)對象（包括用戶和計算機）和安全策略的集中管理和部署，這是域的最顯著特點。域是C/S（客戶機/服務器）管理模式在局域網(wǎng)構建中的應用。在域中，有專門用來管理或者提供服務的各種服務器，如用于對象、安全策略管理的各級域控制器（DC）。通過DC中的活動目錄（AD）和域組策略就可以對整個網(wǎng)絡中的用戶賬戶（包括用戶權限、權利）、計算機賬戶和安全管理策略進行統(tǒng)一管理，統(tǒng)一部署。這樣一來，域中各成員計算機的角色并不是平等的，有管理（各服務器）和被管理（各客戶機）之分。這是前面工作組網(wǎng)絡所無法實現(xiàn)的。默認信任在工作組網(wǎng)絡中，由于各用戶賬戶都只是對各自計算機本地有效，所以各成員計算機之間根本沒有信任關系，要訪問就必須先進行身份驗證。而在域中，域用戶賬戶在整個域有效，所以加入了域的計算機都遵守了相同的信任協(xié)議，彼此相互信任，只要有域網(wǎng)絡中合法的用戶賬戶即可。這也是后面將要介紹的“單點登錄”的基礎和前提。集中存儲這也是域的一大優(yōu)勢和特點。在域中的用戶文檔或者數(shù)據(jù)可以集在保存在網(wǎng)絡中的一臺或者多臺相應服務器上。用戶文檔還可以保存在服務器上為每個用戶創(chuàng)建的用戶主目錄中，并且該目錄只有用戶自己可以訪問，包括網(wǎng)絡管理員也不能訪問（當然網(wǎng)絡管理員可以更改訪問權限），極大地保障了各用戶私有文檔的安全性。同時也方便了網(wǎng)絡數(shù)據(jù)的存儲，提高警惕了網(wǎng)絡數(shù)據(jù)存儲的安全性。這一點在工作組網(wǎng)絡中無法實現(xiàn)，因為即使你可以把數(shù)據(jù)存儲在其他用戶計算機中，你的文檔同樣可以被那臺機上的用戶所瀏覽、修改，甚至刪除。單點登錄在域中，采用的是單點登錄（Single Sing On，SSO）。在域中的所謂“單點登錄”就是用戶只需要使用域賬戶登錄一次，就可以實現(xiàn)對整個域網(wǎng)絡共享資源的訪問（當然這是要在授予了訪問權限的前提下），而無需在訪問不同計算機上共享資源時輸入不同的賬戶信息。這就大大減化了網(wǎng)絡資源的訪問驗證過程。在工作組網(wǎng)絡中，因為安全邊界就是各用戶計算機本身，用戶賬戶都是存儲在各用戶計算機上，所以無法實現(xiàn)網(wǎng)絡中的單點登錄。當然，單點登錄不僅應用于域網(wǎng)絡用戶的登錄，它同樣廣泛應用于其他支持單點登錄的應用系統(tǒng)，用戶只需要登錄一次就可以訪問所有相互信任的應用系統(tǒng)。單點登錄原理就是網(wǎng)絡中的所有成員都信任同一套身份驗證系統(tǒng)，可以是用戶賬戶、也可以是用戶郵箱名，還可以其他應用系統(tǒng)的帳號。 支持漫游配置在域中，每個域用戶賬戶都可以在域中任意一臺允許本地登錄的計算機上登錄域，只要該計算機與DC在同一個網(wǎng)絡中即可。而且用戶的桌面環(huán)境及其他賬戶配置不會因在不同計算機上登錄而不同，因為域支持全局漫游用戶配置文件。這樣就極大方便了用戶的網(wǎng)絡訪問。3域的優(yōu)缺點優(yōu)點：1 管理更方便因為域可以實現(xiàn)在一臺服務器上對用戶/計算機賬戶和安全策略的集中管理，對于管理員來說，就可以更方便地管理整個網(wǎng)絡的用戶賬戶（包括用戶賬戶權限和權利）和安全策略。而不必分別到各用戶計算機上分別配置。2 安全性更高因為域的全局用戶賬戶和安全策略都是集中在一臺或者少數(shù)幾臺DC上進行配置與管理的，所以相對工作組網(wǎng)絡來說，這些配置的安全性就更高，更不容易被人攻擊和破解。同樣，由于域中的用戶數(shù)據(jù)可以偏大中存放在一臺或者少數(shù)幾臺服務器上，企業(yè)網(wǎng)絡數(shù)據(jù)也就更安全。3 網(wǎng)絡訪問更方便在前面的主要特點中介紹到，域是采用單點登錄方式，用戶只需要用戶域賬戶登錄一次域，就可以無限地訪問允許訪問的所有網(wǎng)絡資源，而無需反復輸入不同賬戶信息進行身份驗證。缺點：1 有專門的高性能服務器因為在域中的用戶賬戶、計算機賬戶、域安全策略等都是在DC上進行統(tǒng)一部署和管理的，所以需要有專門的高性能服務器來擔當。對于企業(yè)說，相當于增加了一筆不小的開支。2 安全配置更復雜因為在域中涉及到多級安全策略，各級策略的應用又有一定規(guī)則，所以總體來說，安全配置更為復雜，不容易掌握。這對管理員的技能水平要求更高。在我們了解了以上兩者的概念，主要特點，優(yōu)缺點后，主要區(qū)別我們來總結下：首先創(chuàng)建方式不同，工作組可以由任何一個計算機的主人來創(chuàng)建，他在工作組輸入新名稱，重新啟動一下就創(chuàng)建了一個新組，每一個電腦都可以創(chuàng)建一個組。而域只能由服務器來創(chuàng)建，其他的計算機只能加入這個域。如下圖：其次是安全機制不同，在域中有可以登錄該域的帳號，這些由域管理員來建立。在工作組中不存在組帳號，只有本機上的帳號和密碼。看看下圖：再次登錄方式不同，在工作組方式下，計算機啟動后自動就在工作組中。登錄域是要提交域用戶名和密碼，一旦登錄，便被賦予相應的權限。結合SUNTECH公司的目前的現(xiàn)狀：局域網(wǎng)采用的是工作組的管理方式，由于工作組的特點是分散管理，導致一系列的問題：1.在安全策略上，用戶下載與工作無關緊要的軟件安裝，造成計算機性能下降；2.私自更改計算機的安全配置，導致計算機不能正常工作；3.計算機名修改，導致局域網(wǎng)內的計算機很難找到它。4.在局域網(wǎng)方面訪問，用戶要不厭其煩的記住對方的賬號密碼，每天登陸每次都要輸入，然后才能訪問。5.有的用戶用360軟件關閉了guest帳戶，或者不小心設置了密碼，導致本門的其他人員無法訪問；6.在安全機制方面太低，公司有關保密數(shù)據(jù)方面存在很大的安全隱患。7.計算機名沒統(tǒng)一，不規(guī)范，各式各樣五花八門的都有，導致用戶難以記憶，不利于工作的順利進行，浪費不必要的時間去尋找相關的資源。8.資源共享方面權限設置太低，相關數(shù)據(jù)的安全，保密太差，非相關人員容易竊取機密文檔，對公司的整體利潤造成相當大的威脅。9.當然還有其他諸多問題。從公司的發(fā)展前景來考慮，采用域環(huán)境的主要好處：1、權限管理比較集中，管理成本大大下降。2.域環(huán)境，所有網(wǎng)絡資源，包括用戶，均是在域控制器上維護，便于集中管理。所有用戶只要登入到域，在域內均能進行身份驗證，管理人員可以較好的管理計算機資源，管理網(wǎng)絡的成本大大降低。3. 防止公司員工在客戶端亂裝軟件, 能夠增強客戶端安全性、減少客戶端故障，降低維護成本。4. 安全性加強。有利于企業(yè)的一些保密資料的管理,比如說某個盤某個人可以進，但另一個人就不可以進；哪一個文件只讓哪個人看；或者讓某些人可以看,但不可以刪/改/移等。5. 方便用戶使用各種資源。可由管理員指派登錄腳本映射分布式文件系統(tǒng)根目錄，統(tǒng)一管理。用戶登錄后就可以像使用本地盤符一樣，使用網(wǎng)絡上的資源，且不需再次輸入密碼，用戶也只需記住一對用戶名/密碼即可。并且各種資源的訪問、讀取、修改權限均可設置，不同的賬戶可以有不同的訪問權限。即使資源位置改變，用戶也不需任何操作，只需管理員修改鏈接指向并設置相關權限即可，用戶甚至不會意識到資源位置的改變，不用像從前那樣，必須記住哪些資源在哪臺服務器上。6. SMS（System Management Server）能夠分發(fā)應用程序、系統(tǒng)補丁等，用戶可以選擇安裝，也可以由系統(tǒng)管理員指派自動安