《设计构建微型企业域环境毕业设计.doc》由会员分享,可在线阅读,更多相关《设计构建微型企业域环境毕业设计.doc(20页珍藏版)》请在三一办公上搜索。
1、设计构建微型企业域环境 毕业设计说明书目 录一、引言1二、需求分析1(一)域环境的优点1(二)域环境的作用2三、相关术语介绍3(一)活动目录3(二)组策略3(三)组织单元4(四)域控制器4四、微型企业拓扑图5五、微型企业域管理的主要内容6(一)桌面系统管理6(二)账户策略管理8(三)Internet管理9(四)应用程序管理11六、通常故障管理与排除14(一)安装AD出现NetBIOS名称冲突14(二)不是NTFS文件导致AD安装失败14(三)用户无法登录到域15(四)无法使用域内的共享打印机15七、总结16致谢17参考文献17摘要如今越来越多的企业需要节约成本且有效的管理整个网络环境,尤其是微
2、型企业,由于资金不足问题而出现的种种难题,而域管理恰恰满足了这些企业的需求。我们所需要做的就是根据企业提出的不同需求而进行相关的域管理,来实现对网络环境的可用性。搭建企业域环境,用组策略管理企业网络越来越受到网络管理人员的欢迎。企业域环境服务以其合理的数据组织结构和高效的数据处理方式成为许多新技术实现信息存储、管理和查询的首选方案。本设计方案主要分为4个方面:域环境知识点的介绍、相关术语介绍、企业域环境的实际应用以及故障管理与排除。其中,重点介绍了企业域环境的应用,其间又分为桌面系统管理、账户策略管理、Internet管理和应用程序管理,着实解决了企业内部网络管理的问题。【关键词】:活动目录;
3、组策略.设计构建微型企业域环境一、引言 对于一些微型的企业来说,他们没有过多的资金去购买强大而有力的硬件产品去管理公司的网络系统,从而引发了网络瘫痪、员工工作效率低等种种事件,导致公司业绩下降。所以有一种技术,它可以帮助没有过多资金的微型企业适当地解决内部网络管理和内部员工的办公环境的安全,它就是“域”。本方案是用域环境来规划微型企业网络(根据对大型企业网络的需求分析,对网络的设施和构造进行考虑,从硬件环境、使用平台、应用软件、等多方面严格要求,以做到使用、简洁、高效及安全),并对所选网络方案的性能进行分析并提出优化措施,相关资料引用于计算机毕业设计网。二、需求分析(一)域环境的优点1权限管理
4、比较集中,管理成本大大下降域环境,所以的网络资源,包括用户,军事在域控制器上维护,便于集中管理,所有用户只要登录到域 在域内均能进行身份验证,管理人员可以较好的管理计算机资源,管理网络的成本大大降低防止公司员工在客户端上乱装软件,能够增强客户端安全性,减少客户端故障,降低维护成本。2安全性加强可以封掉客户端上的USB端口,防止公司机密资料外泄;有利于企业的一些保密资料的管理,比如说某个盘某个人可以进行访问,但另一个人就不可以访问,哪一个档哪些人可以看,哪些人可以修改、保存;使用漫游账户和档夹复位向技术,个人账户的工作文件几资料可以存储在服务器上,同意进行备份、管理,用户的数据更加安全、有保障,
5、当客户机故障时,只需使用其它客户机安装和相信软甲用户账号登录即可,用户会发现自己的文件仍然在原来的位置,没有丢失,从而可以快速地进行故障修复。方便用户使用各种资源。可由管理员委派登录脚本映像分布式文件系统根目录,同意管理,用户登录后就可以使用本地磁盘一样,使用网络上的资源,且不需要再次输入密码,用户也只需记住一对用户名和密码即可。并且各种资源的访问、读取、修改均可设置,不同的账户可以有不同的访问权限。即使资源位置改变,用户和也不需要任何操作,只需要管理员修改连接指向病设置相关权限即可,用户甚至不会意识到资源位置的变更,不用像以前那样,必须记住哪些资源在哪台服务器上。SMS(system man
6、agement server) 能够分发应用程序、系统补丁等。用户可以选择安装,也可以由系统管理员指派自动安装,并能集中管理系统补丁,不需要每台客户端服务器都下载同样的补丁,从而节省了大量的网络流量。(二)域环境的作用1资源共享用户和管理员可以不知道他们所需要的对象的确切名称,但是他们可能知道这个对象的一个或多个属性。他们可以通过查找对象的部分属性在域中得到一个所有已知属性相匹配的对象列表,通过域便使得基于一个或者多个对象属性来查找一个对象变得可能。2管理域控制器集中管理用户对网络的访问,如登录、验证、访问目录和共享资源。为了简化管理,所有域中的域控制器都是平等的,你可以在任何域控制器上进行修
7、改,这种更新可以复制到域中所有的其它域控制器上,域的实施通过提供对网络上所有对象的单点管理进一步简化了管理。因为域控制器提供了对网络上所有资源的单点登录,管理远程登录到一台计算机来管理网络中任何计算机上的管理对象。在NT网络中,当用户一次登录到一个域服务器后,就可以访问该域中已经开放的全部资源,而无需对同一域进行多次登录。但在需要共享不同域中的服务时,对每个域都必须要登录一次,否则无法访问未登录或服务器中的资源或无法获得未登录域的服务。Windows Server 2003 提供的活动目录正是很好地解决了这个问题,只要用户在某一服务器上设置了活动目录功能后,任何与这个服务器相连的其它域服务器上
8、的资源或服务,都可以被这个服务器管理的用户访问或取得,而不必要再进行其它的设置。3可扩展性在活动目录中,目录通过将目录组织成几个部分存储信息从而允许存储大量的对象。因此,目录可以随着组织的成长而一同扩展,允许永固从一个具有几百个对象的小的安装环境发展成拥有几百万的大型安装环境。4安全性域为用户提供了单一的登录过程来访问网络资源,如所有他们具有权限的文件、打印机和应用程序资源。也就是说,用户可以登录到一台计算机来使用网络撒谎能够另外一台计算机上的资源,只要用户具有对资源的合适权限。域通过对用户权限合适的划分,确定了只有对待定资源有合法权限的用户才能使用资源,从而保障了资源使用的合法性和安全性。5
9、可冗余性每个域控制器保存和维护目录的一个副本,在域中,你创建的每一个用户账号都会对应目录的一个记录。当用户登录到域中的计算机时,域控制器将按照目录检查用户名、口令、登录到限制以及验证用户。当存在多个域控制器时,他们会定期的相互复制目录信息,域控制器间的数据复制,促使用户信息发生改变时,比如用户修改了口令,可以迅速的复制到其它的域控制器上,这样当一台域控制器出现故障时,用户仍然可以通过其它的域控制器进行登录,保障了网络的顺利运行。三、相关术语介绍(一)活动目录活动目录可以完成用户管理,提求对用户、运用顺序和装备的繁多、一致性的管理点;加弱终端平安性。并且向用户提求繁多的网络资源登录,为管理员提求
10、弱小、一致性的工具以使他们可以管理为外部计算机用户、远程拨号用户以及外部客户提求的平安效劳。活动域管理是实施效劳器管理、终端管理的基础,也为财务、人事、电子邮件、企业音讯门户、办公自动化、防病毒系统等各种运用系统提求支持,是安部合系树立的基础。活动目录包括两个方面:目录和与目录相关的服务。目录是存储各种对象的一个物理上的容器,从静态的角度来理解这活动目录与我们以前所结识的“目录”和“文件夹”没有本质区别,仅仅是一个对象,是一实体;而目录服务是使目录中所有信息和资源发挥作用的服务,活动目录是一个分布式的目录服务,信息可以分散在多台不同的计算机上,保证用户能够快速访问,因为多台机上有相同的信息,所
11、以在信息容氏方面具有很强的控制能力,正因如此,不管用户从何处访问或信息处在何处,都对用户提供统一的视图。 (二)组策略 组策略是管理员为用户和计算机定义并控制程序、网络资源及操作系统行为的主要工具。通过使用组策略可以设置各种软件、计算机和用户策略。它是基于组的策略,通常以Windows中的一个MMC管理单元的形式存在,可以帮助系统管理员针对整个计算机或者特定用户来设置多种配置,包括桌面配置和安全配置。譬如,可以为特定用户或用户组定制可用的程序、桌面上的内容,以及“开始”菜单选项等,也可以在整个计算机范围内创建特殊的桌面配置。简而言之,组策略是Windows中的一套系统更改和配置管理工具的集合。
12、(三)组织单元 组织单元就是包含在域中特别有用的目录对象类型。组织单元是可将用户、组、计算机和其它单元放入活动目录的容器中,组织单元不能包括来自其它域的对象。组织单元是可以指派组策略设置或委派管理权限的最小作用单位。使用组织单元,您可在组织单元中代表逻辑层次结构的域中创建容器,这样您就可以根据您的组织模型管理账户、资源的配置和使用,可使用组织单元创建可缩放到任意规模的管理模型。可授予用户对域中所有组织单元或对单个组织单元的管理权限,组织单元的管理员不需要具有域中任何其它组织单元的管理权,组织单元有点象我们在NT时代的工作组,我们从管理权限上来讲可以这么理解。(四)域控制器 域控制器是使用活动目
13、录安装向导配置的WIN2K Server 的计算机。活动目录安装向导安装和配置为网络用户和计算机提供活动目录服务的组件供用户选择使用。域控制器存储着目录数据并管理用户域的交互关系,其中包括用户登录过程、身份验证和目录搜索,一个域可有一个或多个域控制器。为了获得高可用性和容错能力,使用单个局域网 (LAN) 的小单位可能只需要一个具有两个域控制器的域。具有多个网络位置的大公司在每个位置都需要一个或多个域控制器以提供高可用性和容错能力,也可以对计算机毕业设计网上的企业组网文章进行熟悉,再进行撰写。 四、微型企业拓扑图图4-1是某小型公司的整个网络设计拓扑图。整个公司主要分为员工宿舍楼、工作区、生产
14、部门以及体育馆四个部分。本次网络设计主要设备有核心交换机一台,DNS、Email、FTP服务器共一台(集各种功能与一体),硬件防火墙一台,中型交换机5台,小型交换机18台,域控制器一台,PC若干。具体网络规划为员工宿舍楼一个VLAN,生产部门一个VLAN,领导办公室一个VLAN,工作区每个部门分别划分一个VLAN。本次网络管理主要针对工作区,其他部门在网络规划之中。工作区每个部门一个VLAN,主要目的是为了增加各部门资料的安全性,为了让每个部门的成员至可以访问本部门的网络资源。域环境的管理可以让每个部门有不同的访问权限,不同的部门有着不同的管理,以此来实现域环境的管理。 图4-1 企业网络拓扑
15、设计图五、微型企业域管理的主要内容 (一)桌面系统管理1禁止更改桌面。禁止更改桌面有利于让系统管理员实现桌面的统一化,比如说,把桌面设置为公司的照片或者公司守则,这样不仅可以让员工每天熟悉公司的环境,还可以让他们每天都记得公司的企业文化。效果如图1-1所示:图1-1 禁止更改桌面2从开始菜单中删除“运行”菜单。运行这个菜单它的功能非常强大,删除运行菜单可以防止用户打开系统文件,是有效控制客户机的方法之一,具体效果如图1-2所示:图1-2 从开始菜单删除“运行”菜单3禁用“添加/删除程序”。添加或删除程序是计算机系统在进行装入系统后对计算机的各部分程序的完善或修改的过程。其主要目的是对系统各个程
16、序的更新(添加/删除)。它包括了:更改或删除和序;添加新程序;添加/删除windows组件;设定程序访问和默认值几部分。禁用了此功能后可以有效的预防用户恶意的在电脑上添加和删除程序,效果如图1-3所示:图1-3 禁用添加/删除程序4禁用TCP/IP高级属性设置。可以有效的防止用户随意更改IP、子网掩码等等,此策略为网络管理员节省了大量的麻烦,从而不会出现IP的盗用、浪费,提高网络安全,大大的节约了公司的管理费用,具体效果如图1-4所示:图1-4 禁用TCP/IP高级属性设置(二)账户策略管理1本地密码策略。密码策略控制是否允许用户重新使用旧的密码,在两次更改密码之间的时间,最小密码长度,以及用
17、户是否必须混合使用大小写字母、数字和特殊字符)。最低要求,您应该要求每45天更改一次密码,或要求至少8个字符的密码,并确保开启了密码必须满足复杂性要求设置,具体效果如图2-1所示:图2-1 本地密码策略2限制用户在指定时间内登录。此策略是针对用户在指定的时间内登录,比如说一个星期只上6天班,那为了让企业里的员工在周日不好利用公司的网络资源,就可以用此策略来限制他们的行为为,下面是一个设置周日不可以登录电脑的策略,具体效果如图2-2所示:图2-2 限制用户在指定时间内登录(三)Internet管理现如今,互联网已经成为全球发展必不可少的工具,而随着互联网在企业里面普及的同时,在带来各种各样的利端
18、之后,不少弊端也随之而来。不少企业里面的员工利用上班时间做与工作无关紧要的事情,例如上网聊天、玩游戏等等,所以,Internet管理是网络管理员不可忽略的部分,这边主要介绍了3种管理的方法。1强制设置主页。比如说一个企业里面就布置了企业内部局域网,那当员工打开网页的时候,首页当然设置为公司的网址最好不过了。具体方法在组策略Internet管理里面,设置方法如图3-1所示,效果如图3-2所示:图3-1 强制设置主页图3-2 强制设置主页效果图2禁止更改主页。当网络管理员辛辛苦苦设置好主页之后,其目的肯定是不想让别人来改动,所以此策略就是强制设置主页的后续效果,当管理员在组策略里面设置此策略后,产
19、生的效果如图3-3所示:图3-3 禁止更改主页3限制IE浏览器的另存为功能。在平时的办公中,有些员工经常到网上浏览一些资料,时常会发现一些精彩的网页、图片或动画,所以他们就常常喜欢将它们保存下来。那么,此策略就是限制这一行为最有效的方法,具体效果如图所示3-4:图3-4 限制IE浏览器的另存为功能(四)应用程序管理1禁止运行cmd命令符。命令提示符,是Windows自带的一项强大功能,用它可以打开系统各种各样的重要系统文件,比如说可以查看所以的IP、MAC地址,用它来运行某软件。为了防止用户利用其强大的功能,所以在此特意限制了此功能的作用,具体效果如图4-1所示:图4-1禁止运行cmd命令符2
20、禁止运行QQ。此策略还可以应该与禁止运行软件,在企业里面,为了防止员工在客户机上乱装恶意软件,本着防病毒、增加工作效率的意愿,一般除了企业需要,不然不会让员工在电脑上私自装某些软件,这边就拿网络聊天工具QQ来举例。创建哈希规则,禁止运行QQ,方法如图4-2所示,具体效果如图4-3所示:图4-2禁止运行QQ(哈希规则)图4-3禁止运行QQ效果图3软件派发。随着公司的强大,电脑的需求量也随着员工的数量而相应的增加。那么假如公司要求装一个软件或者打补丁,网络管理员当然不会一台电脑一台电脑的去装,这里就关系到一个软件派发的知识点。网络管理员在网络上发布一个安装程序,让下面的客户机自主去安装,大大的降低
21、了管理难度,提高的工作效率。这里需要注意的是发布的安装程序需要是msi格式的,具体效果如图4-4所示:图4-4 软件派发4禁止访问控制面板。控制面板是Windows图形用户界面一部分,可通过开始菜单访问。它允许用户查看并操作基本的系统设置和控制,比如控制用户帐户,更改系统信息更改辅助功能选项,修改防火墙属性等等。为了防止用户私自修改电脑设置,在此还是将它禁用掉好,以方便系统管理员日后的维护工作,开始菜单上不显示控制面板,听过命令也不可以打开,具体效果如图4-5所示:图4-5禁止访问控制面板(开始菜单无控制面板)六、通常故障管理与排除(一)安装AD出现NetBIOS名称冲突在安装AD时,安装选项
22、会要求输入:新域的DNS全名,在这里应该输入新域的完全有效域名,形如:。系统会打算以siit作为此域的NetBIOS名称,并在网络中检查是否存在重名,需要等一会儿。 如果不重名则设为siit(建议用户不要修改此名),重名系统则自动设为siit0,建议用户最好换个名字,因为你的网络可能还会有2000以前版本的老系统,考虑到NetBIOS名称解析和DNS名称解析的互助,保持一致性比较好。 说明:NetBIOS名称,只是为95/98/NT等老版本用户通过“浏览服务”或WINS来识别这个域用的,如果确信域内计算机都是2000及以上系统(它们通过DNS定位域),其实NetBIOS名称冲不冲突,都无所谓。
23、 这种冲突可能源自于网络中如果已有一个域,名字叫做siit.org,DNS名虽然不冲突,但是NetBIOS名称冲突。也可能是你安装了一个域未能完全成功,又再次安装导致的,这样情况倒可以强行将NetBIOS名称将为siit,而不是siit。(二)不是NTFS文件导致AD安装失败在2000/03成员或独立服务上上运行dcpromo命令,安装AD,将其提升为DC,其上必须有一个NTFS 5.0分区,用来保存AD的sysvol文件夹。 注意:如果C盘是引导分区,即系统夹winnt或windows所在分区,采用FAT32分区,系统会自动查找下一个可用的NTFS分区来存放系统卷,如d:sysvol。如果找
24、不到NTFS分区,就会出错,导致AD安装失败。这时可利用convert命令将某个FAT32分区转成NTFS分区,这个转换会保持数据的完好。但要注意这个转换是单向不可逆,想回复到FAT分区,除非重新格式化该分区。 以转换D盘为例,具体操作如下: 1.开始/运行:convert d: /fs:ntfs 2.提示是否转换,键入y确认转换。 说明:这时并没有真正开始转换,如果后悔,可以到注册表HLM当前控制控制会话管理BootExecute下,删除其值Convert d: /fs:ntfs 。 3.重新启动计算机,将在登录界面出现前,真正实施FAT到NTFS的转换。(三)用户无法登录到域1用户名、口令
25、、域 确保输入正确的用户名和口令,注意用户名不区分大小写,口令是区分大小写的。 看一下欲登录的域是否还存在(比如子域被非正常删除了,域中唯一的DC未联机)。2.DNS:客户机所配的DNS是否指向DC所用的DNS服务器。 3.计算机账号 基于安全性的考虑,管理员会将暂时不用的计算机账号禁用(如财务主管请假一周等),出错提示为“无法与域连接,域控制器不可用,找不到计算机账户”,而不是直接提示“计算机账号已被禁用”。可到AD用户和计算机中,将计算机账号启用即可。 对于 Windows 2000/XP/03,默认计算机账户密码的更换周期为 30 天。如果由于某种原因该计算机账户的密码与 LSA 机密不
26、同步,登录时会出现出错提示:“计算机账户丢失”或“此工作站和主域间的信任关系失败”。解决办法:重设计算机账户,或将该计算机重新加入到域。(四)无法使用域内的共享打印机现象:计算机重启或注销,再登录进来,无法使用以前安装的域内的共享网络打印机, 为用户重新安装打印机,当时可以打印,但不久问题又会出现。用户反映说有时能打印,有时就是不能打印。 其原因在于用户没有登录到域(很多用户即使计算机加入到了域,也经常习惯性地选择登录到本地机),没有域用户身份,当然无权访问域内的资源。而且关键是Windows系统在这里有个小毛病,它并不象你访问共享档夹那样,由于没有身份而提示你输入用户名和密码来进行验证,而是
27、直接提示你“拒绝访问,无法连接”、“当前打印机安装有问题”,“RPC服务不可用”等等(在不同的操作系统或应用程序中提示会所不同)。解决办法有3种,不过最好还是用方法1。 1.要求用户将其域用户账号加入到本地管理员组,以后每次都以域用户账号登录。 说明:这本身就是微推荐的一种办法。因为如果不这样,普通用户以本地管理员身份登录时,控制本机没问题,但访问域资源时需要输入域用户名和口令;而用户若以域用户身份登录,又没有本机管理特权。比如说:无法关机,无法修改网络等配置,无法安装软件、驱动等。这样做了以后,用户以域用户身份登录,同时他又是本地管理员。 2.在打印服务器上启用Guest用户,保证every
28、one有打印权限。但这样做不安全,所以不推荐。 3.在客户机上每次要使用打印机前,在开始运行:PrintServer,这时会提示你输入用户名和密码。通过验证后,再去使用打印机。很显然这样方法比较麻烦。七、总结毕业设计是我们对大学三年的计算机知识的肯定,也是理论与实践的结合。在毕业设计的过程中,我学会了虚心的请教他人,利用好身边的资源,查阅书籍,网络资源等等。在完成本课题的设计中,遇到了很多的困难,首先就是要有一种不怕辛苦、细心认真的精神有时候一个小小的粗心常常会导致出现一些不该出现的问题,如有时候辛辛苦苦做了半天,忘记了保存就关闭了文档,最后又得重新来做,等等等等。因此,我觉得,做每件事都是不
29、可能一帆风顺的,多多少少会遇到一些困难,一些问题,我相信只要有耐心,有上进心,肯花时间,问题终会解决。在制作中遇到问题及时想办法解决,这一过程使我收获了好多东西。也使我做一切事情更耐心、细心。一个多月的努力,毕业设计终于完成了。在这段时间内我遇到了许多困难,不仅仅是专业上的不精通,还有各种各样的软件,搞的头昏脑乱,但是有了顾老师和同学的帮助,再加上自己的努力,最后终于把问题解决了,这使我非常感慨:以后无论做什么事情,都需要冷静的去思考,困难是不可避免的,只要坚持,有一种拼搏的意志,保证什么事情都能完成。很快,我们就要出去实习了。其实,无论用的到还是用不到我们所学到的东西真的无所谓,暑假的经验告
30、诉我,什么东西都要学的精通一点,尤其是当你给别人解决了一个问题时,那种感觉是发自内心的舒心。利用我们学到的知识,去造福于社会,那才是一种最好的总结!致谢从写稿到反复修改,期间经历了喜悦、聒噪、痛苦和彷徨,写作论文的过程中心情是如此复杂。如今,伴随着这篇毕业论文的最终成稿,复杂的心情烟消云散,自己甚至还有一点成就感。我要感谢,非常感谢我的导师顾红燕老师。本课题是在顾红燕老师的悉心指导下完成的,在此衷心感谢指导顾老师对我的谆谆教导,以及对我在学习甚至工作等各方面的无私帮助。顾老师严谨细致、实事求是的治学态度,认真勤奋、不知疲倦的的工作作风,以及对事业的执着追求都将使我终生难忘,并时时鞭策我努力工作
31、,在设计的道路上奋发向上,永不止步。感谢网络08D1各位同学的无私支持和帮助,他们帮助我解决了很多的困惑,帮我完成了设计以及论文写作中的部分工作,希望我们以后能够继续合作,共同进步。最后,非常感谢三年的大学生活,感谢所有支持和帮助过我的领导、老师和同学们,他们的支持与情感,是我永远的财富。在今后的日子里,我定会牢记领导和老师们的教诲,在今后的工作中努力上进,立志成材。参考文献1 刘宝莲、 何亮. 主编. 计算机网络实训教程. 大连理工大学出版社。2 王隆杰、 杨名川. 编着. Windows Server 2003. 清华大学出版社。3 彭澎、吴震瑞. 主编. 计算机网络教程. 中国机械工业出版社。4 戴有炜 . 主编. Windows Server 2003 AD配置指南. 科学出版社。5 戴有炜. 编著. Windows Server 2003网络专业指南. 科学出版社。6 计算机毕业设计网.主编.Windows Server 2003组策略参考大全. 主编。7 王淑江、刘晓辉.编著.Windows 2003组策略实战指南.人民邮电出版社。