工作組和域的優(yōu)缺點(diǎn).doc_第1頁
工作組和域的優(yōu)缺點(diǎn).doc_第2頁
工作組和域的優(yōu)缺點(diǎn).doc_第3頁
工作組和域的優(yōu)缺點(diǎn).doc_第4頁
工作組和域的優(yōu)缺點(diǎn).doc_第5頁
免費(fèi)預(yù)覽已結(jié)束,剩余1頁可下載查看

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進(jìn)行舉報或認(rèn)領(lǐng)

文檔簡介

公司現(xiàn)狀分析及建議方案在分析公司現(xiàn)狀之前,我們需要對局域網(wǎng)資源管理的兩種模式:工作組和域的概念,各自的主要特點(diǎn),各自的優(yōu)缺點(diǎn)來綜合的了解一下。一、工作組1.工作組的概念:工作組(WorkGroup)網(wǎng)絡(luò)是對等(peer-to-peer,P2P)網(wǎng)絡(luò)技術(shù)在局域網(wǎng)(P2P網(wǎng)絡(luò)更主要應(yīng)用于廣域網(wǎng)中)中的應(yīng)用,是根據(jù)用戶自定義的分組特點(diǎn)(如不同部門、不同愛好、不同操作系統(tǒng)類型等)把網(wǎng)絡(luò)中的許多用戶計(jì)算機(jī)分門別類地納入到不同工作組中的。劃分工作組的主要目的主要是為了便于瀏覽、查找,另外還方便于管理員對用戶計(jì)算機(jī)的管理。2.工作組的主要特點(diǎn):工作組主機(jī)間是平等的工作組網(wǎng)絡(luò)既然是“對等網(wǎng)”,從其名稱中的“對等”兩個字就可以看出來,對等網(wǎng)中的各主機(jī)都是對等的,地位平等,沒有管理和被管理之分。在網(wǎng)絡(luò)應(yīng)用中,各主機(jī)既可以當(dāng)作服務(wù)器,為其他主機(jī)提供訪問服務(wù),也可以當(dāng)作客戶機(jī),訪問其他主機(jī)。. 管理和安全邊界為各成員計(jì)算機(jī) 正因工作組網(wǎng)絡(luò)中各主機(jī)是平等,互不干涉的,管理和安全邊界就是工作組中各成員計(jì)算機(jī),工作組本身不是管理和安全邊界,不能直接針對工作組來進(jìn)行管理和安全策略配置。在工作組網(wǎng)絡(luò)中,主機(jī)之間的訪問就需要訪問方(在此估且稱之為“客戶機(jī)”)使用在被訪問方(在此估且稱之為“服務(wù)器”)上配置了的用戶賬戶和密碼,通過身份驗(yàn)證后才能訪問。因?yàn)樵诠ぷ鹘M網(wǎng)絡(luò)中,只有本地賬戶才可以訪問自己的主機(jī),不能輸入本機(jī)以外的任何用戶賬戶來訪問本機(jī)(當(dāng)然,可能有兩臺或兩臺以上主機(jī)中有相同用戶名和密碼的用戶賬戶)。在一個工作組網(wǎng)絡(luò)中可以有多個工作組在一個對稱網(wǎng)中可以有多個工作組。工作組的劃分可以是任意的,一般是按部門,或者按工作性質(zhì)等來劃分的。但是要注意的是,工作組不代表安全邊界。也就是說,不同工作組之間并沒有權(quán)限意義上的區(qū)別,只是一種便于訪問或管理的方式。它與我們現(xiàn)實(shí)生活中的“組”有些區(qū)別,因?yàn)楝F(xiàn)實(shí)生活中的“組”往往會有一個“組長”,負(fù)責(zé)整個組的管理。但在工作組中并沒有一臺主機(jī)具有管理整個組的權(quán)限,只是大家“平等共處”而已。不同工作組是可以相互訪問的在一個工作組網(wǎng)絡(luò)中可以有多個工作組。大家或許會問,不同工作組的主機(jī)之間是否可以相互訪問呢?這是肯定的,而且就像沒有劃分多個組,在一個工作組中不同主機(jī)間的訪問一樣簡單,也只是需要正確輸入對方的用戶賬戶信息即可。當(dāng)然如果通信雙方都啟用了默認(rèn)配置的匿名訪問,則也可以不用輸入身份驗(yàn)證賬戶信息。原因就是,工作組不是網(wǎng)絡(luò)安全邊界的一個單位,不能為不同組設(shè)置不同的安全級別,也不能像域網(wǎng)絡(luò)中為不同域設(shè)置不同的賬戶系統(tǒng)和安全策略。3.工作組的優(yōu)缺點(diǎn)優(yōu)點(diǎn):安全管理簡單這可以說是工作組網(wǎng)絡(luò)的最大優(yōu)點(diǎn)。因?yàn)樵诠ぷ鹘M網(wǎng)絡(luò)中把網(wǎng)絡(luò)安全邊界下放到最終的用戶端,外部計(jì)算機(jī)的訪問必須使用本地計(jì)算機(jī)上合法的用戶賬戶信息,這樣一來,工作組網(wǎng)絡(luò)的安全管理也就是各用戶計(jì)算機(jī)自己的安全管理。而各用戶計(jì)算機(jī)上的用戶賬戶信息一般來說都非常簡單,只有少數(shù)幾個用戶賬戶,只需要對本機(jī)(不涉及到其他機(jī)上的任何賬戶)上的少數(shù)賬戶進(jìn)行適當(dāng)?shù)陌踩渲眉纯?,所以在安全管理方面,要較域網(wǎng)絡(luò)的安全管理容易些。另外,在工作組中,各成員計(jì)算機(jī)只使用自己計(jì)算機(jī)上的本地組策略,不會應(yīng)用其他任何組策略,安全策略管理更簡單。網(wǎng)絡(luò)性能比較高因?yàn)樵诠ぷ鹘M網(wǎng)絡(luò)中,除了基本的網(wǎng)絡(luò)連接和資源共享外,基本上是沒有任何額外(如各種全局范圍的安全策略和身份認(rèn)證等)的網(wǎng)絡(luò)資源消耗,用戶登錄都是在本機(jī)上進(jìn)行,所以,工作組網(wǎng)絡(luò)的網(wǎng)絡(luò)連接性能要遠(yuǎn)比域網(wǎng)絡(luò)的網(wǎng)絡(luò)連接性能強(qiáng)。這也是許多網(wǎng)友反映加入域網(wǎng)絡(luò)后,登錄和網(wǎng)絡(luò)應(yīng)用比較慢的根源所在。缺點(diǎn):網(wǎng)絡(luò)管理不方便這可以說是工作組網(wǎng)絡(luò)的最大缺點(diǎn)。因?yàn)楣ぷ鹘M網(wǎng)絡(luò)中,網(wǎng)絡(luò)管理和安全邊界下放到最終的用戶端,無論是用戶賬戶,用戶賬戶權(quán)限、安全策略等都是分散的,而且各用戶計(jì)算機(jī)上的這些配置都可能不同,管理員很難,甚至無法通過一臺機(jī)來集中管理工作組網(wǎng)絡(luò)中的用戶賬戶系統(tǒng)和安全策略系統(tǒng),給整個網(wǎng)絡(luò)管理帶來混亂; 另外對于管理員管理整個網(wǎng)絡(luò)也一樣,要實(shí)現(xiàn)對整個網(wǎng)絡(luò)中的計(jì)算機(jī)進(jìn)行管理,就必須在各計(jì)算機(jī)上配置有相同賬戶的管理員賬戶(注意,密碼都必須一樣),否則每次第一次訪問一臺計(jì)算機(jī)時,都提示要求輸入用戶賬戶名和密碼。如果財貿(mào)系統(tǒng)中有一百臺,則需要在一百臺計(jì)算機(jī)創(chuàng)建和配置這個相同的用戶賬戶信息,如果有一千臺,則要進(jìn)行一次同樣的工作。其工作量是可想而知的。盡管可以直接通過復(fù)制用戶配置文件來實(shí)現(xiàn),但至少也要復(fù)制一千次啊。網(wǎng)絡(luò)公共應(yīng)用配置比較繁瑣因?yàn)楣ぷ鹘M網(wǎng)絡(luò)中的網(wǎng)絡(luò)訪問身份驗(yàn)證是依據(jù)各成員計(jì)算機(jī)的賬戶系統(tǒng),所以在一些公共網(wǎng)絡(luò)應(yīng)用服務(wù)器中的安全配置就顯得比較復(fù)雜了,要么是網(wǎng)絡(luò)中各計(jì)算機(jī)都啟用默認(rèn)的Guest賬戶(并且全都采用默認(rèn)的空密碼),要么在授權(quán)訪問的每臺計(jì)算機(jī)配置相同的組或者用戶賬戶,否則就無法進(jìn)行全面授權(quán)。如果啟用Guest賬戶,會給企業(yè)網(wǎng)絡(luò)帶來巨大的安全隱患。二、域1.域的概念:域其實(shí)是微軟借鑒了互聯(lián)網(wǎng)中的域名技術(shù)的,是目前企業(yè)局域網(wǎng)中應(yīng)用最為廣泛的一種網(wǎng)絡(luò)管理模式。簡單地說,域是一種基于對象和安全策略的分布式數(shù)據(jù)庫系統(tǒng)。之所以說是基于對象和安全策略,那就是因?yàn)橛蚓W(wǎng)絡(luò)的最大特點(diǎn)就是可以實(shí)現(xiàn)用戶、計(jì)算機(jī)等對象賬戶,以及網(wǎng)絡(luò)安全策略的集中管理和部署。所謂“數(shù)據(jù)庫”是指域中的信息(如賬戶信息、配置信息等)不是以獨(dú)立文件形式存在,而是以字段信息之類的數(shù)據(jù)形式存在。我們知道,在微軟的域網(wǎng)絡(luò)中最顯著的特點(diǎn)就是引入了“活動目錄”(Active Diretory,AD)技術(shù)。而AD本身就是一種目錄數(shù)據(jù)庫系統(tǒng)。之所以稱之為“活動目錄”,那是因這在域網(wǎng)絡(luò)中的目錄是始終呈激活可用,動態(tài)更新的狀態(tài),而不是像普通目錄一樣靜態(tài)地使用。這樣做的目的就是方便系統(tǒng)中各服務(wù)器自身進(jìn)行的,或者用戶操作的查詢、更新、同步等,也提高了各服務(wù)器間數(shù)據(jù)復(fù)制的性能。在活動目錄數(shù)據(jù)庫中包括了三個表格: Schema表 :這個表中包含了所有可在活動目錄創(chuàng)建的對象信息,以及他們之間的相互關(guān)系;包括各種類型對象的可選及不可選的各種屬性。這個表是活動目錄數(shù)據(jù)庫中最小的一個表,但是也是最基礎(chǔ)的一個表。 Link 表:Link表包含所有屬性的關(guān)聯(lián),包括活動目錄中所有對象的屬性的值。一個用戶對象的所有屬性的類型,包括每個屬性的值及用戶所屬于的組等信息都屬于這個表。 Data表: 活動目錄中用戶、組、應(yīng)用程序特殊數(shù)據(jù)和其他的數(shù)據(jù)全部保存在Data表中。這是活動目錄中存儲信息最多的一個表,大量的活動目錄的資料實(shí)際上還是存儲在這個表中。 所謂“分布式”就是這種活動目錄配置信息數(shù)據(jù)庫系統(tǒng)中的數(shù)據(jù)可以不是僅來源或者存儲在一臺計(jì)算機(jī)上,而且可關(guān)聯(lián)網(wǎng)絡(luò)中許多相關(guān)服務(wù)器(如DC、DNS、DHCP服務(wù)器等)。2.工作組的主要特點(diǎn):集中管理域可以實(shí)現(xiàn)對象(包括用戶和計(jì)算機(jī))和安全策略的集中管理和部署,這是域的最顯著特點(diǎn)。域是C/S(客戶機(jī)/服務(wù)器)管理模式在局域網(wǎng)構(gòu)建中的應(yīng)用。在域中,有專門用來管理或者提供服務(wù)的各種服務(wù)器,如用于對象、安全策略管理的各級域控制器(DC)。通過DC中的活動目錄(AD)和域組策略就可以對整個網(wǎng)絡(luò)中的用戶賬戶(包括用戶權(quán)限、權(quán)利)、計(jì)算機(jī)賬戶和安全管理策略進(jìn)行統(tǒng)一管理,統(tǒng)一部署。這樣一來,域中各成員計(jì)算機(jī)的角色并不是平等的,有管理(各服務(wù)器)和被管理(各客戶機(jī))之分。這是前面工作組網(wǎng)絡(luò)所無法實(shí)現(xiàn)的。默認(rèn)信任在工作組網(wǎng)絡(luò)中,由于各用戶賬戶都只是對各自計(jì)算機(jī)本地有效,所以各成員計(jì)算機(jī)之間根本沒有信任關(guān)系,要訪問就必須先進(jìn)行身份驗(yàn)證。而在域中,域用戶賬戶在整個域有效,所以加入了域的計(jì)算機(jī)都遵守了相同的信任協(xié)議,彼此相互信任,只要有域網(wǎng)絡(luò)中合法的用戶賬戶即可。這也是后面將要介紹的“單點(diǎn)登錄”的基礎(chǔ)和前提。集中存儲這也是域的一大優(yōu)勢和特點(diǎn)。在域中的用戶文檔或者數(shù)據(jù)可以集在保存在網(wǎng)絡(luò)中的一臺或者多臺相應(yīng)服務(wù)器上。用戶文檔還可以保存在服務(wù)器上為每個用戶創(chuàng)建的用戶主目錄中,并且該目錄只有用戶自己可以訪問,包括網(wǎng)絡(luò)管理員也不能訪問(當(dāng)然網(wǎng)絡(luò)管理員可以更改訪問權(quán)限),極大地保障了各用戶私有文檔的安全性。同時也方便了網(wǎng)絡(luò)數(shù)據(jù)的存儲,提高警惕了網(wǎng)絡(luò)數(shù)據(jù)存儲的安全性。這一點(diǎn)在工作組網(wǎng)絡(luò)中無法實(shí)現(xiàn),因?yàn)榧词鼓憧梢园褦?shù)據(jù)存儲在其他用戶計(jì)算機(jī)中,你的文檔同樣可以被那臺機(jī)上的用戶所瀏覽、修改,甚至刪除。單點(diǎn)登錄在域中,采用的是單點(diǎn)登錄(Single Sing On,SSO)。在域中的所謂“單點(diǎn)登錄”就是用戶只需要使用域賬戶登錄一次,就可以實(shí)現(xiàn)對整個域網(wǎng)絡(luò)共享資源的訪問(當(dāng)然這是要在授予了訪問權(quán)限的前提下),而無需在訪問不同計(jì)算機(jī)上共享資源時輸入不同的賬戶信息。這就大大減化了網(wǎng)絡(luò)資源的訪問驗(yàn)證過程。在工作組網(wǎng)絡(luò)中,因?yàn)榘踩吔缇褪歉饔脩粲?jì)算機(jī)本身,用戶賬戶都是存儲在各用戶計(jì)算機(jī)上,所以無法實(shí)現(xiàn)網(wǎng)絡(luò)中的單點(diǎn)登錄。當(dāng)然,單點(diǎn)登錄不僅應(yīng)用于域網(wǎng)絡(luò)用戶的登錄,它同樣廣泛應(yīng)用于其他支持單點(diǎn)登錄的應(yīng)用系統(tǒng),用戶只需要登錄一次就可以訪問所有相互信任的應(yīng)用系統(tǒng)。單點(diǎn)登錄原理就是網(wǎng)絡(luò)中的所有成員都信任同一套身份驗(yàn)證系統(tǒng),可以是用戶賬戶、也可以是用戶郵箱名,還可以其他應(yīng)用系統(tǒng)的帳號。 支持漫游配置在域中,每個域用戶賬戶都可以在域中任意一臺允許本地登錄的計(jì)算機(jī)上登錄域,只要該計(jì)算機(jī)與DC在同一個網(wǎng)絡(luò)中即可。而且用戶的桌面環(huán)境及其他賬戶配置不會因在不同計(jì)算機(jī)上登錄而不同,因?yàn)橛蛑С秩致斡脩襞渲梦募_@樣就極大方便了用戶的網(wǎng)絡(luò)訪問。3域的優(yōu)缺點(diǎn)優(yōu)點(diǎn):1 管理更方便因?yàn)橛蚩梢詫?shí)現(xiàn)在一臺服務(wù)器上對用戶/計(jì)算機(jī)賬戶和安全策略的集中管理,對于管理員來說,就可以更方便地管理整個網(wǎng)絡(luò)的用戶賬戶(包括用戶賬戶權(quán)限和權(quán)利)和安全策略。而不必分別到各用戶計(jì)算機(jī)上分別配置。2 安全性更高因?yàn)橛虻娜钟脩糍~戶和安全策略都是集中在一臺或者少數(shù)幾臺DC上進(jìn)行配置與管理的,所以相對工作組網(wǎng)絡(luò)來說,這些配置的安全性就更高,更不容易被人攻擊和破解。同樣,由于域中的用戶數(shù)據(jù)可以偏大中存放在一臺或者少數(shù)幾臺服務(wù)器上,企業(yè)網(wǎng)絡(luò)數(shù)據(jù)也就更安全。3 網(wǎng)絡(luò)訪問更方便在前面的主要特點(diǎn)中介紹到,域是采用單點(diǎn)登錄方式,用戶只需要用戶域賬戶登錄一次域,就可以無限地訪問允許訪問的所有網(wǎng)絡(luò)資源,而無需反復(fù)輸入不同賬戶信息進(jìn)行身份驗(yàn)證。缺點(diǎn):1 有專門的高性能服務(wù)器因?yàn)樵谟蛑械挠脩糍~戶、計(jì)算機(jī)賬戶、域安全策略等都是在DC上進(jìn)行統(tǒng)一部署和管理的,所以需要有專門的高性能服務(wù)器來擔(dān)當(dāng)。對于企業(yè)說,相當(dāng)于增加了一筆不小的開支。2 安全配置更復(fù)雜因?yàn)樵谟蛑猩婕暗蕉嗉壈踩呗?,各級策略的?yīng)用又有一定規(guī)則,所以總體來說,安全配置更為復(fù)雜,不容易掌握。這對管理員的技能水平要求更高。在我們了解了以上兩者的概念,主要特點(diǎn),優(yōu)缺點(diǎn)后,主要區(qū)別我們來總結(jié)下:首先創(chuàng)建方式不同,工作組可以由任何一個計(jì)算機(jī)的主人來創(chuàng)建,他在工作組輸入新名稱,重新啟動一下就創(chuàng)建了一個新組,每一個電腦都可以創(chuàng)建一個組。而域只能由服務(wù)器來創(chuàng)建,其他的計(jì)算機(jī)只能加入這個域。如下圖:其次是安全機(jī)制不同,在域中有可以登錄該域的帳號,這些由域管理員來建立。在工作組中不存在組帳號,只有本機(jī)上的帳號和密碼??纯聪聢D:再次登錄方式不同,在工作組方式下,計(jì)算機(jī)啟動后自動就在工作組中。登錄域是要提交域用戶名和密碼,一旦登錄,便被賦予相應(yīng)的權(quán)限。結(jié)合SUNTECH公司的目前的現(xiàn)狀:局域網(wǎng)采用的是工作組的管理方式,由于工作組的特點(diǎn)是分散管理,導(dǎo)致一系列的問題:1.在安全策略上,用戶下載與工作無關(guān)緊要的軟件安裝,造成計(jì)算機(jī)性能下降;2.私自更改計(jì)算機(jī)的安全配置,導(dǎo)致計(jì)算機(jī)不能正常工作;3.計(jì)算機(jī)名修改,導(dǎo)致局域網(wǎng)內(nèi)的計(jì)算機(jī)很難找到它。4.在局域網(wǎng)方面訪問,用戶要不厭其煩的記住對方的賬號密碼,每天登陸每次都要輸入,然后才能訪問。5.有的用戶用360軟件關(guān)閉了guest帳戶,或者不小心設(shè)置了密碼,導(dǎo)致本門的其他人員無法訪問;6.在安全機(jī)制方面太低,公司有關(guān)保密數(shù)據(jù)方面存在很大的安全隱患。7.計(jì)算機(jī)名沒統(tǒng)一,不規(guī)范,各式各樣五花八門的都有,導(dǎo)致用戶難以記憶,不利于工作的順利進(jìn)行,浪費(fèi)不必要的時間去尋找相關(guān)的資源。8.資源共享方面權(quán)限設(shè)置太低,相關(guān)數(shù)據(jù)的安全,保密太差,非相關(guān)人員容易竊取機(jī)密文檔,對公司的整體利潤造成相當(dāng)大的威脅。9.當(dāng)然還有其他諸多問題。從公司的發(fā)展前景來考慮,采用域環(huán)境的主要好處:1、權(quán)限管理比較集中,管理成本大大下降。2.域環(huán)境,所有網(wǎng)絡(luò)資源,包括用戶,均是在域控制器上維護(hù),便于集中管理。所有用戶只要登入到域,在域內(nèi)均能進(jìn)行身份驗(yàn)證,管理人員可以較好的管理計(jì)算機(jī)資源,管理網(wǎng)絡(luò)的成本大大降低。3. 防止公司員工在客戶端亂裝軟件, 能夠增強(qiáng)客戶端安全性、減少客戶端故障,降低維護(hù)成本。4. 安全性加強(qiáng)。有利于企業(yè)的一些保密資料的管理,比如說某個盤某個人可以進(jìn),但另一個人就不可以進(jìn);哪一個文件只讓哪個人看;或者讓某些人可以看,但不可以刪/改/移等。5. 方便用戶使用各種資源??捎晒芾韱T指派登錄腳本映射分布式文件系統(tǒng)根目錄,統(tǒng)一管理。用戶登錄后就可以像使用本地盤符一樣,使用網(wǎng)絡(luò)上的資源,且不需再次輸入密碼,用戶也只需記住一對用戶名/密碼即可。并且各種資源的訪問、讀取、修改權(quán)限均可設(shè)置,不同的賬戶可以有不同的訪問權(quán)限。即使資源位置改變,用戶也不需任何操作,只需管理員修改鏈接指向并設(shè)置相關(guān)權(quán)限即可,用戶甚至不會意識到資源位置的改變,不用像從前那樣,必須記住哪些資源在哪臺服務(wù)器上。6. SMS(System Management Server)能夠分發(fā)應(yīng)用程序、系統(tǒng)補(bǔ)丁等,用戶可以選擇安裝,也可以由系統(tǒng)管理員指派自動安

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論