工作站加入WINDOWS安全域?qū)嵤┓桨?/h1>

2017-03-27

16525

工作站加入WINDOWS 安全域?qū)嵤┓桨? ,目錄1 綜述 .........................................................

工作站加入WINDOWS 安全域?qū)嵤┓桨?/p> ,

1 綜述 ............................................................ 2

2 部署原則 ........................................................ 2

2.1 安全性 ..................................................... 2

2.2 可冗余性： ................................................. 2

2.3 可擴(kuò)展性： ................................................. 3

2.4 應(yīng)急性： ................................................... 3

3 部署前提 ........................................................ 3

4 部署步驟 ........................................................ 4

4.1 更改計(jì)算機(jī)名稱(chēng) ............................................. 4

第一種方法：................................................. 4

第二種方法：（推薦）.......................................... 6

4.2 加入域 ..................................................... 8

4.3 對(duì)域用戶的桌面恢復(fù) ........................................ 12

4.4 安全策略應(yīng)用 .............................................. 15

5 系統(tǒng)測(cè)試 ....................................................... 20

6 應(yīng)急策略 ....................................................... 23

7 部署安排 ....................................................... 23

1 綜述

Windows 安全域客戶端的部署是整個(gè)項(xiàng)目的正式實(shí)施階段，也是項(xiàng)目的核心階段。因此在部署的過(guò)程中，誤必做到安全部署，合理部署，按需部署，零風(fēng)險(xiǎn)部署，從而達(dá)到順利成功的部署。我們將在方案對(duì)如何部署提供了詳細(xì)的解決方案。

2 加入安全域原則

2.1 安全性

安全性高，有利于企業(yè)的一些保密資料的管理，比如一個(gè)文件只能讓某一個(gè)人看, 或者指定人員可以看, 但不可以刪除、更改、移動(dòng)等操作。同時(shí)能有效阻止木馬病毒的入侵行為，防止信息泄漏。域?yàn)橛脩籼峁┝藛我坏牡卿涍^(guò)程來(lái)訪問(wèn)網(wǎng)絡(luò)資源，如他們所具有權(quán)限的文件、打印機(jī)和應(yīng)用程序資源。也就是說(shuō)，用戶可以登錄到一臺(tái)計(jì)算機(jī)來(lái)使用網(wǎng)絡(luò)上另外一臺(tái)計(jì)算機(jī)上的資源，只要用戶具有對(duì)資源的合適權(quán)限。域通過(guò)對(duì)用戶權(quán)限合適的劃分，確定了只有對(duì)特定資源有合法權(quán)限的用戶才能使用該資源，從而保障了資源使用的合法性和安全性。

2.2 可冗余性：

每個(gè)域控制器保存和維護(hù)目錄的一個(gè)副本。在域中，你創(chuàng)建的每一個(gè)用戶帳號(hào)都會(huì)對(duì)應(yīng)目錄的一個(gè)記錄。當(dāng)用戶登錄到域中的計(jì)算機(jī)時(shí)，域控制器將按照目錄檢查用戶名、口令、登錄限制以驗(yàn)證用戶。

當(dāng)存在多個(gè)域控制器時(shí)，他們會(huì)定期的相互復(fù)制目錄信息，域控制器間的數(shù)據(jù)復(fù)制，促使用戶信息發(fā)生改變時(shí)（比如用戶修改了口令），可以迅速的復(fù)制到其他的域控制器上，這樣當(dāng)一臺(tái)域控制器出現(xiàn)故障時(shí)，用戶仍然可以進(jìn)行登錄，保障了業(yè)務(wù)的順利進(jìn)行。

2.3 可擴(kuò)展性：

在活動(dòng)目錄中，目錄通過(guò)將目錄組織成幾個(gè)部分存儲(chǔ)信息從而允許存儲(chǔ)大量的對(duì)象。因此，目錄可以隨著組織的增長(zhǎng)而一同擴(kuò)展，允許用戶從一個(gè)具有幾百個(gè)對(duì)象的小的安裝環(huán)境發(fā)展成擁有幾百萬(wàn)對(duì)象的大型安裝環(huán)境。

2.4 應(yīng)急性：

在部署以后出現(xiàn)系統(tǒng)不能正常運(yùn)行，影響銀行的正常業(yè)務(wù)工作。那么我們能恢復(fù)到域部署之前的系統(tǒng)狀態(tài)。

3 加入安全域前提

加入安全域之前需要有以下幾個(gè)前提：

3.1 客戶端系統(tǒng)必須是能加入WINDOWS 域的操作系統(tǒng)，如：

Windows NT Workstation、Windows 2000 Professional、Windows 7/vista商用入門(mén)版、商用進(jìn)階版和旗艦版、Windows8專(zhuān)業(yè)版和企業(yè)版。此外, Windows 95 / 98 / Me 、Windows XP 家庭版、Windows 7家庭入門(mén)版、Windows 7家庭進(jìn)階版, Windows8核心

版也都沒(méi)有加入域的功能。

3.2 網(wǎng)絡(luò)的可達(dá)性：DNS 能夠?yàn)閛aad.bocd.com.cn 做域名解析、能

與AD 服務(wù)器建立連接。

3.3 將要加入安全域的計(jì)算機(jī)在域中擁有相應(yīng)的域賬戶，并且確認(rèn)

該計(jì)算機(jī)系統(tǒng)是否在規(guī)劃的范圍。

4 加入安全域步驟

4.1 更改計(jì)算機(jī)名稱(chēng)

域管理實(shí)際上就是對(duì)計(jì)算機(jī)系統(tǒng)的管理，因此管理就必須要有一個(gè)明確的對(duì)象名稱(chēng)，這類(lèi)似于企業(yè)管理者對(duì)員工的管理首先就要知道員工名稱(chēng)；為了讓管理者對(duì)計(jì)算機(jī)設(shè)備的方便管理，制定了相應(yīng)的命名規(guī)范：BOCD 資產(chǎn)編號(hào)后6位，例如：BOCD022352；

步驟如下：

第一種方法：

1、在桌面上【我的電腦】上點(diǎn)擊鼠標(biāo)右鍵選擇【屬性】如圖：

左圖為XP 系統(tǒng)截圖，右圖為WINDOWS7系統(tǒng)截圖

2、然后在【系統(tǒng)屬性】里選擇【計(jì)算機(jī)名】標(biāo)簽頁(yè)，點(diǎn)擊【更改】

按扭，在計(jì)算機(jī)名編輯框中輸入要更改的新名字：如

BOCD022352，然后點(diǎn)擊【確定】，最后會(huì)讓你重新啟動(dòng)計(jì)算機(jī)；如圖所示：

注：以上是XP 截圖，WIN7和WIN8的設(shè)置方法跟XP 都差不多，這里就不截圖了

第二種方法：（推薦）

但在現(xiàn)實(shí)系統(tǒng)中環(huán)境，維護(hù)人員為減少維護(hù)工作量，大多數(shù)計(jì)算機(jī)系統(tǒng)都是采用克隆的技術(shù)。因此就存在大量的計(jì)算機(jī)系統(tǒng)的SID 號(hào)相同。SID 相同的機(jī)器加入域往往會(huì)產(chǎn)生一些沖突，因此這里介紹另一種修改SID 和更改計(jì)算機(jī)名稱(chēng)的方法：運(yùn)行NewSID 程序，點(diǎn)擊【Next 】然后就能看到當(dāng)然的SID 號(hào)，選擇【Random 】產(chǎn)生一個(gè)隨機(jī)的SID ，點(diǎn)擊【Next 】會(huì)顯示當(dāng)然的計(jì)算機(jī)名，然后再輸入新的計(jì)算機(jī)名再點(diǎn)擊【Next 】，然后提示成功之后重新啟動(dòng)計(jì)算機(jī)就完成計(jì)算機(jī)更名和SID 修改了。如圖所示：