域帐户管理实战中的四个建议
第一:若没有邮箱服务器,则按人事部门的员工编号进行编码bbs.51cto.com4HoID;o ]
对于域帐户管理中,很关键的一个步骤在于对域帐户如何进行命名,或者说,对于域帐户如何进行编码。qc KVlg
对于域帐户的编码来说,一般需要满足三个原则。
一是易于输入的原则。因为企业每次登录系统的时候,有时候出于安全性的考虑,都要求企业员工输入域用户名与密码。这跟单机不同。单机有时会为了提高开机效率,可以设置自动登录。但是这个安全性太差,所以,在域用户管理中往往是不采纳的。而是要求用户手工的输入域用户名与密码。此时,就需要我们在设计域用户名的时候,遵循简单的原则,便于用户输入。51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|-Dtd@?J%a*W
二是要遵循唯一性原则。虽然,在域名设计中,全名唯一性即可。不过,笔者在域名的设计过程中,还是遵循前缀唯一性的原则。也就是说,在不考虑后缀的前期下,也要保持唯一性。这主要也是为了提高用户输入账户名的效率考虑的。
三是在设计名字的过程中,最好不要采用特殊字符,因为特殊字母为大大降低用户名的输入效率。如笔者在域名设计的过程中,有人提议利用英文名加姓的形式定义用户名。如利用jane_zhang的形式在进行命名。但是,笔者发现,“_”这个特殊字母输入不怎么方便。对于经常接触电脑的员工来说,可能比较熟悉;但是对于大部分员工输入这个字符都会有问题。为此,后来我把这个“_”该为“.”号。因为输入_这个符号的话,需要按两个键,而输入“.”号的话,则需要采用一个键。不要小看这一个小小的差别,对于大部分企业员工来说,是一个很大的改善。?;n1sW8y$@*w4dl
对于域用户命名的时候,除了要遵守以上三个原则外,还需要考虑实际的应用问题。
如企业若在内部没有部署邮箱服务器,或者虽然部署了企业自己的邮箱服务器,但是,没有跟服务器进行有效集成的话,则最好在设计域帐户名字的时候,能够跟人事部门的相关资料进行结合。因为人事在编写人事信息档案的时候,他们的员工编号可以保证信息的唯一性。如笔者认识一个朋友,他也是搞域管理的,他们企业的域帐户名就是全部利用员工编号来编码的。如SA001表示销售部门的一个员工,PR001则表示采购部门对一个员工。一方面,员工对自己的编号也是熟悉的,输入起来也方便。二是在人事管理系统中需要登记这个信息,而在这个系统中对这个编号也有唯一性的要求。为此,网络管理员之需要根据人事管理员提供的资料建议用户资料即可。51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|Q~} DyQ0H so
不过,有时候企业同时具有邮箱服务器,而这个邮箱服服务器若需要利用活动目录中的用户信息的话,则在设计域帐户的时候,就不能沿用员工编码。因为若采用没有实际含义的员工编码作为域帐户的话,有一个非常大的缺陷。就是内部员工可能会清楚这些编码的含义,但是,若把这些名字当作邮件地址发送给外部用户,如客户或者供应商,则他们看起来好像是读天书一样。所以,若活动目录中用户名字不仅是登录域的帐户名,也是企业员工带邮件地址的话,则就需要注意,这个名字编码的时候,要更加的科学。笔者现在的企业,编码的时候是员工的名字加部门编码进行编写。如pengliang.sa就表示销售部门的彭亮员工。加上部门后缀,一方面可以区别员工的身份,另外,还可以有效的避免帐户名字的重复性。一举多得,何乐而不为呢。@Y5M,lq @"p,lK/La
第二:详细设置用户信息,对于帐户管理具有很大的实用价值51CTO技术论坛AvY;d`)}
在建立域用户的时候,还会让你输入用户的一些详细信息,如用户所属的部门、用户的中文名字等等。虽然这些信息在输入帐户信息的时候,不是必须填写的选项。但是,笔者在建立帐户信息的时候,还是会把这些信息填入进去,因为,这些信息其实仍然是很有用的。
如就以员工尊称来说吧。在使用EXCHANGE服务器的时候,若跟活动目录的组结合,则可以实现邮件群发的功能。那么在邮件群发的时候,我们这个称呼如何定义呢?有时候,我们需要在邮件群发的时候,利用尊称作为开头的称呼。此时,我们就可以利用函数,去读取每个帐户中的尊称,而在邮件群发的时候,实现这个功能。
类似的应用还有很多。所以,在建立帐户的时候,笔者建议,网络管理员就多敲几个字,把相关的信息填写完整。或许,在以后的工作中,就因为平时的这么点时间,就可以给我们的工作带来很大的方便。
第三:为了加强域帐号的安全性,采用账号锁定管理
在我们使用银行卡的时候,当我们输入密码错误连续超过三次的时候,这张卡就会被锁住。银行卡用户若需要使用这张卡的时候,就必须带上身份证到银行去重新激活这个卡号。如此的设计,只要是为了保证卡内资金的安全性。$N/A/,U^C6h
在域帐户管理的时候,为了提高账户的安全性,也可以采用这种管理策略。51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水| T p,A#J;{+M5y,Us/J${6_
如笔者公司内部有一些比较敏感的账号,如产品开发部经理的帐户,他可以访问企业网络中的一些比较敏感的资料,如新产品研发计划、产品外观设计书等等。这些资料若一旦泄露出去或者给非法人员进行访问,可能会给企业打来很大的损失。为此,我们为这些资料设置了比较高的安全策略。从域管理账户角度讲,我们就采用了跟银行卡类似的锁定管理。当研发经理密码连续输入三次错误的话,则域控制器会认为有人在试图猜测他的密码,所以,会把这个账户锁掉。若研发部门经理还需要采用这个用户名的话,则必须重新向网络管理员申请激活这个账号,否则的话,被锁定的帐户是不能够再次登陆系统的。
故,笔者建议,网络管理员可以根据自己公司网络安全要求的不同,也可以采用这个账号锁定策略。不过一般来说,没有必要为所有的帐户都采用这种管理方法。因为根据笔者的了解,企业中的大部分员工的帐户都没有访问企业机密信息的权限,所以,对于这种小权限的用户,就没有必要采用这么严格的安全策略了。否则的话,网络管理员是自己找自己的麻烦。而对于一些权限比较大的用户,或者具有一些敏感资料访问权限的用户,则就需要设置这个账号锁定策略,可以最大限度的提高这个账户的安全性。
第四:把系统升级到2000以上操作系统,便于用户登录
众所周知,对于2000以前的操作系统与2000以后的操作系统,在使用域账户登陆的方式是不同的。对于2000以前的操作系统来说,必须使用域全称才能够利用域帐户登陆本机与公司网络。而对于2000以及2000以后的操作系统,则可以直接采用域账户简称,也就是说不用后缀即可以登陆到系统以及企业网络。
对于企业员工来说,他们总希望用户名简单一点,这可以提高他们的登陆效率。为此,为了满足用户这个小小的要求,最好能够升级企业的操作系统。如笔者还是在部署2000的域控制器的时候,公司内部还有少数的98电脑。在采用域控制器网络管理环境之后,用户像我反映,每次登录系统或者网络都需要输入域用户名的全称,他们觉得很麻烦,操作起来一点都不方便。他们希望,仍然能够按照以前的操作,不用输入@后缀就可以登录到域环境中去。确实,对于不怎么熟悉键盘的员工,让他们输入@这个特殊字符,确实有一点难度。后来笔者就把他们的操作系统升级到了2000。其实,这个过程也很简单,一般只需要升级操作系统即可。若觉得升级后操作系统运行速度慢的话,大不了给他们加一点内存,基本可以解决问题。O7H$S;sqNUx:b
所以,从提高用户满意度、提高他们的工作效率出发,笔者还是建议网络管理员稍微辛苦一点,把所有的2000以前的操作系统,尽量都升级为2000。这一个小小的改进,可以提高用户的满意度。51CTO技术论坛3me](B?0n6U
不过,这里还需要强调一点,要实用域用户名简称登陆域的话,则必须保证这个域内名字的唯一性。这在上篇的域账户管理原理中笔者也举例说明了其中的原因,这里就不做过多的阐述了。