工作组和域的优缺点.doc

公司现状分析及建议方案在分析公司现状之前，我们需要对局域网资源管理的两种模式:工作组和域的概念，各自的主要特点，各自的优缺点来综合的了解一下。一、工作组1.工作组的概念：工作组（WorkGroup）网络是对等（peer-to-peer，P2P）网络技术在局域网（P2P网络更主要应用于广域网中）中的应用，是根据用户自定义的分组特点（如不同部门、不同爱好、不同操作系统类型等）把网络中的许多用户计算机分门别类地纳入到不同工作组中的。划分工作组的主要目的主要是为了便于浏览、查找，另外还方便于管理员对用户计算机的管理。2.工作组的主要特点：工作组主机间是平等的工作组网络既然是“对等网”，从其名称中的“对等”两个字就可以看出来，对等网中的各主机都是对等的，地位平等，没有管理和被管理之分。在网络应用中，各主机既可以当作服务器，为其他主机提供访问服务，也可以当作客户机，访问其他主机。. 管理和安全边界为各成员计算机 正因工作组网络中各主机是平等，互不干涉的，管理和安全边界就是工作组中各成员计算机，工作组本身不是管理和安全边界，不能直接针对工作组来进行管理和安全策略配置。在工作组网络中，主机之间的访问就需要访问方（在此估且称之为“客户机”）使用在被访问方（在此估且称之为“服务器”）上配置了的用户账户和密码，通过身份验证后才能访问。因为在工作组网络中，只有本地账户才可以访问自己的主机，不能输入本机以外的任何用户账户来访问本机（当然，可能有两台或两台以上主机中有相同用户名和密码的用户账户）。在一个工作组网络中可以有多个工作组在一个对称网中可以有多个工作组。工作组的划分可以是任意的，一般是按部门，或者按工作性质等来划分的。但是要注意的是，工作组不代表安全边界。也就是说，不同工作组之间并没有权限意义上的区别，只是一种便于访问或管理的方式。它与我们现实生活中的“组”有些区别，因为现实生活中的“组”往往会有一个“组长”，负责整个组的管理。但在工作组中并没有一台主机具有管理整个组的权限，只是大家“平等共处”而已。不同工作组是可以相互访问的在一个工作组网络中可以有多个工作组。大家或许会问，不同工作组的主机之间是否可以相互访问呢？这是肯定的，而且就像没有划分多个组，在一个工作组中不同主机间的访问一样简单，也只是需要正确输入对方的用户账户信息即可。当然如果通信双方都启用了默认配置的匿名访问，则也可以不用输入身份验证账户信息。原因就是，工作组不是网络安全边界的一个单位，不能为不同组设置不同的安全级别，也不能像域网络中为不同域设置不同的账户系统和安全策略。3.工作组的优缺点优点：安全管理简单这可以说是工作组网络的最大优点。因为在工作组网络中把网络安全边界下放到最终的用户端，外部计算机的访问必须使用本地计算机上合法的用户账户信息，这样一来，工作组网络的安全管理也就是各用户计算机自己的安全管理。而各用户计算机上的用户账户信息一般来说都非常简单，只有少数几个用户账户，只需要对本机（不涉及到其他机上的任何账户）上的少数账户进行适当的安全配置即可，所以在安全管理方面，要较域网络的安全管理容易些。另外，在工作组中，各成员计算机只使用自己计算机上的本地组策略，不会应用其他任何组策略，安全策略管理更简单。网络性能比较高因为在工作组网络中，除了基本的网络连接和资源共享外，基本上是没有任何额外（如各种全局范围的安全策略和身份认证等）的网络资源消耗，用户登录都是在本机上进行，所以，工作组网络的网络连接性能要远比域网络的网络连接性能强。这也是许多网友反映加入域网络后，登录和网络应用比较慢的根源所在。缺点：网络管理不方便这可以说是工作组网络的最大缺点。因为工作组网络中，网络管理和安全边界下放到最终的用户端，无论是用户账户，用户账户权限、安全策略等都是分散的，而且各用户计算机上的这些配置都可能不同，管理员很难，甚至无法通过一台机来集中管理工作组网络中的用户账户系统和安全策略系统,给整个网络管理带来混乱; 另外对于管理员管理整个网络也一样，要实现对整个网络中的计算机进行管理，就必须在各计算机上配置有相同账户的管理员账户（注意，密码都必须一样），否则每次第一次访问一台计算机时，都提示要求输入用户账户名和密码。如果财贸系统中有一百台，则需要在一百台计算机创建和配置这个相同的用户账户信息，如果有一千台，则要进行一次同样的工作。其工作量是可想而知的。尽管可以直接通过复制用户配置文件来实现，但至少也要复制一千次啊。网络公共应用配置比较繁琐因为工作组网络中的网络访问身份验证是依据各成员计算机的账户系统，所以在一些公共网络应用服务器中的安全配置就显得比较复杂了，要么是网络中各计算机都启用默认的Guest账户（并且全都采用默认的空密码），要么在授权访问的每台计算机配置相同的组或者用户账户，否则就无法进行全面授权。如果启用Guest账户，会给企业网络带来巨大的安全隐患。二、域1.域的概念：域其实是微软借鉴了互联网中的域名技术的，是目前企业局域网中应用最为广泛的一种网络管理模式。简单地说，域是一种基于对象和安全策略的分布式数据库系统。之所以说是基于对象和安全策略，那就是因为域网络的最大特点就是可以实现用户、计算机等对象账户，以及网络安全策略的集中管理和部署。所谓“数据库”是指域中的信息（如账户信息、配置信息等）不是以独立文件形式存在，而是以字段信息之类的数据形式存在。我们知道，在微软的域网络中最显著的特点就是引入了“活动目录”（Active Diretory，AD）技术。而AD本身就是一种目录数据库系统。之所以称之为“活动目录”，那是因这在域网络中的目录是始终呈激活可用，动态更新的状态，而不是像普通目录一样静态地使用。这样做的目的就是方便系统中各服务器自身进行的，或者用户操作的查询、更新、同步等，也提高了各服务器间数据复制的性能。在活动目录数据库中包括了三个表格： Schema表 ：这个表中包含了所有可在活动目录创建的对象信息，以及他们之间的相互关系；包括各种类型对象的可选及不可选的各种属性。这个表是活动目录数据库中最小的一个表，但是也是最基础的一个表。 Link 表：Link表包含所有属性的关联，包括活动目录中所有对象的属性的值。一个用户对象的所有属性的类型，包括每个属性的值及用户所属于的组等信息都属于这个表。 Data表： 活动目录中用户、组、应用程序特殊数据和其他的数据全部保存在Data表中。这是活动目录中存储信息最多的一个表，大量的活动目录的资料实际上还是存储在这个表中。 所谓“分布式”就是这种活动目录配置信息数据库系统中的数据可以不是仅来源或者存储在一台计算机上，而且可关联网络中许多相关服务器（如DC、DNS、DHCP服务器等）。2.工作组的主要特点：集中管理域可以实现对象（包括用户和计算机）和安全策略的集中管理和部署，这是域的最显著特点。域是C/S（客户机/服务器）管理模式在局域网构建中的应用。在域中，有专门用来管理或者提供服务的各种服务器，如用于对象、安全策略管理的各级域控制器（DC）。通过DC中的活动目录（AD）和域组策略就可以对整个网络中的用户账户（包括用户权限、权利）、计算机账户和安全管理策略进行统一管理，统一部署。这样一来，域中各成员计算机的角色并不是平等的，有管理（各服务器）和被管理（各客户机）之分。这是前面工作组网络所无法实现的。默认信任在工作组网络中，由于各用户账户都只是对各自计算机本地有效，所以各成员计算机之间根本没有信任关系，要访问就必须先进行身份验证。而在域中，域用户账户在整个域有效，所以加入了域的计算机都遵守了相同的信任协议，彼此相互信任，只要有域网络中合法的用户账户即可。这也是后面将要介绍的“单点登录”的基础和前提。集中存储这也是域的一大优势和特点。在域中的用户文档或者数据可以集在保存在网络中的一台或者多台相应服务器上。用户文档还可以保存在服务器上为每个用户创建的用户主目录中，并且该目录只有用户自己可以访问，包括网络管理员也不能访问（当然网络管理员可以更改访问权限），极大地保障了各用户私有文档的安全性。同时也方便了网络数据的存储，提高警惕了网络数据存储的安全性。这一点在工作组网络中无法实现，因为即使你可以把数据存储在其他用户计算机中，你的文档同样可以被那台机上的用户所浏览、修改，甚至删除。单点登录在域中，采用的是单点登录（Single Sing On，SSO）。在域中的所谓“单点登录”就是用户只需要使用域账户登录一次，就可以实现对整个域网络共享资源的访问（当然这是要在授予了访问权限的前提下），而无需在访问不同计算机上共享资源时输入不同的账户信息。这就大大减化了网络资源的访问验证过程。在工作组网络中，因为安全边界就是各用户计算机本身，用户账户都是存储在各用户计算机上，所以无法实现网络中的单点登录。当然，单点登录不仅应用于域网络用户的登录，它同样广泛应用于其他支持单点登录的应用系统，用户只需要登录一次就可以访问所有相互信任的应用系统。单点登录原理就是网络中的所有成员都信任同一套身份验证系统，可以是用户账户、也可以是用户邮箱名，还可以其他应用系统的帐号。 支持漫游配置在域中，每个域用户账户都可以在域中任意一台允许本地登录的计算机上登录域，只要该计算机与DC在同一个网络中即可。而且用户的桌面环境及其他账户配置不会因在不同计算机上登录而不同，因为域支持全局漫游用户配置文件。这样就极大方便了用户的网络访问。3域的优缺点优点：1 管理更方便因为域可以实现在一台服务器上对用户/计算机账户和安全策略的集中管理，对于管理员来说，就可以更方便地管理整个网络的用户账户（包括用户账户权限和权利）和安全策略。而不必分别到各用户计算机上分别配置。2 安全性更高因为域的全局用户账户和安全策略都是集中在一台或者少数几台DC上进行配置与管理的，所以相对工作组网络来说，这些配置的安全性就更高，更不容易被人攻击和破解。同样，由于域中的用户数据可以偏大中存放在一台或者少数几台服务器上，企业网络数据也就更安全。3 网络访问更方便在前面的主要特点中介绍到，域是采用单点登录方式，用户只需要用户域账户登录一次域，就可以无限地访问允许访问的所有网络资源，而无需反复输入不同账户信息进行身份验证。缺点：1 有专门的高性能服务器因为在域中的用户账户、计算机账户、域安全策略等都是在DC上进行统一部署和管理的，所以需要有专门的高性能服务器来担当。对于企业说，相当于增加了一笔不小的开支。2 安全配置更复杂因为在域中涉及到多级安全策略，各级策略的应用又有一定规则，所以总体来说，安全配置更为复杂，不容易掌握。这对管理员的技能水平要求更高。在我们了解了以上两者的概念，主要特点，优缺点后，主要区别我们来总结下：首先创建方式不同，工作组可以由任何一个计算机的主人来创建，他在工作组输入新名称，重新启动一下就创建了一个新组，每一个电脑都可以创建一个组。而域只能由服务器来创建，其他的计算机只能加入这个域。如下图：其次是安全机制不同，在域中有可以登录该域的帐号，这些由域管理员来建立。在工作组中不存在组帐号，只有本机上的帐号和密码。看看下图：再次登录方式不同，在工作组方式下，计算机启动后自动就在工作组中。登录域是要提交域用户名和密码，一旦登录，便被赋予相应的权限。结合SUNTECH公司的目前的现状：局域网采用的是工作组的管理方式，由于工作组的特点是分散管理，导致一系列的问题：1.在安全策略上，用户下载与工作无关紧要的软件安装，造成计算机性能下降；2.私自更改计算机的安全配置，导致计算机不能正常工作；3.计算机名修改，导致局域网内的计算机很难找到它。4.在局域网方面访问，用户要不厌其烦的记住对方的账号密码，每天登陆每次都要输入，然后才能访问。5.有的用户用360软件关闭了guest帐户，或者不小心设置了密码，导致本门的其他人员无法访问；6.在安全机制方面太低，公司有关保密数据方面存在很大的安全隐患。7.计算机名没统一，不规范，各式各样五花八门的都有，导致用户难以记忆，不利于工作的顺利进行，浪费不必要的时间去寻找相关的资源。8.资源共享方面权限设置太低，相关数据的安全，保密太差，非相关人员容易窃取机密文档，对公司的整体利润造成相当大的威胁。9.当然还有其他诸多问题。从公司的发展前景来考虑，采用域环境的主要好处：1、权限管理比较集中，管理成本大大下降。2.域环境，所有网络资源，包括用户，均是在域控制器上维护，便于集中管理。所有用户只要登入到域，在域内均能进行身份验证，管理人员可以较好的管理计算机资源，管理网络的成本大大降低。3. 防止公司员工在客户端乱装软件, 能够增强客户端安全性、减少客户端故障，降低维护成本。4. 安全性加强。有利于企业的一些保密资料的管理,比如说某个盘某个人可以进，但另一个人就不可以进；哪一个文件只让哪个人看；或者让某些人可以看,但不可以删/改/移等。5. 方便用户使用各种资源。可由管理员指派登录脚本映射分布式文件系统根目录，统一管理。用户登录后就可以像使用本地盘符一样，使用网络上的资源，且不需再次输入密码，用户也只需记住一对用户名/密码即可。并且各种资源的访问、读取、修改权限均可设置，不同的账户可以有不同的访问权限。即使资源位置改变，用户也不需任何操作，只需管理员修改链接指向并设置相关权限即可，用户甚至不会意识到资源位置的改变，不用像从前那样，必须记住哪些资源在哪台服务器上。6. SMS（System Management Server）能够分发应用程序、系统补丁等，用户可以选择安装，也可以由系统管理员指派自动安