利用域来统一管理网络帐户
利用域来管理企业网络,另外一个直接的好处就是有了一个帐户的统一管理平台。网络管理员拥有域控制器之后,就不需要为每位员工在单机上独立的分配帐户,而只需要在域控制器上为其建立帐户即可。在统一的平台上建立用户帐户,则就可以为期分配统一的组策略,等等。
在阐述如何通过域来管理网络资源之前,我要强调一个概念,就是本机登陆帐户与域登陆帐户的区别。如果一个员工利用本机管理帐户登陆到自己的电脑上后,则其如果需要访问网络上的其他主机的话,则在访问的时候还必须要再次利用域帐户与密码进行登陆。而如果利用域帐户登陆本机电脑的话,则后续访问其他电脑主机的话,只要这个帐户名域密码具有访问的权限,则就不需要再次重复的输入域用户名与密码。了解这个域用户名与本机用户名之间的差异,对于理解后续的内容很重要。
其实,建立域管理帐户的方法也很简单,都可以通过图形化界面进行设置。
第一步:建立UPN后缀
UPN中文的意识就是用户登陆名称。域帐户在形式上跟本机帐户有一个非常明显的区别,就是域帐户是以电子邮件的形式给出的,如pengliang@dtm.cn等等。这么做的好处就是可以把域用户名跟邮件地址进行统一,这对于把域控制器跟邮件服务器进行集成,具有非常大的帮助。
默认情况下,用户帐户所采用的后缀名是用户所在域的域名称。但是在一些特殊的情况下,如为了就简化输入或者提高工作效率的情况下,会对这个域名进行更改,
在活动目录域与信任关系中可以更改这个后缀名。
笔者工作经验之谈
若遇到如下情况,则笔者建议更改这个UPN后缀。
一是当域的后缀名跟企业的邮箱服务器后缀名不一样的时候。如笔者认识一个朋友,他们公司在网络规划的时候,由于缺乏统一性 ,在域名设计的时候,没有考虑域名与邮箱服务器的统一性。如公司的邮箱后缀为dtme.com,而域控制器的域名为dtmabc.com。如此的话,若不对用户名的后缀进行更改的话,在就会导致域用户名与邮件地址不符,也就是说,用户无法直接通过域用户名来发送邮件。这直接的结果,就是在利用EXCHANGE软件建立邮箱服务器的时候,无法跟域控制器进行很好的集成,无法直接利用域帐户来作为用户的邮件地址。这对于网络管理员来说,后续就要管理两套用户帐户,一是域用户帐户,二是邮件系统帐户,这无疑就增加了一倍的工作量。所以遇到这种情况的话,笔者建议网络管理员在建立域帐户之前,先更改这个域的后缀名,让其跟邮箱服务器的后缀名保持一致。
二是若对域管理的比较细的话,如对于不同的分公司、不同的部门都采取不同的域名的话,也就是说,有分级域名的话,则用户在输入帐户的时候,就会非常的麻烦。为此,为了提高用户登陆时候的效率,可能需要对域名进行简化。如在域层次管理上,仍然采用分层管理;而对域用户帐户进行命名的时候,则可以采用自定义的、简化了的域名,如直接采用一级域名等等。
第二步:建立用户名
笔者再次强调一遍,域用户名的格式必须符合电子邮件的帐户格式,也就是说,利用@号进行分割。在建立域用户名的时候,需要注意以下几点:
1、如某位员工,如“彭亮”,刚开始是在集团企业的下面一个子公司,其域名是a.dtm. com,而若后来其调到总公司后,总公司的后缀名dtm.com。现在遇到的问题是,到这位员工公司调动之后,其用户名所在的域也需要进行调整。此时,用户名的后缀是否需要调整呢?这里就需要注意一点,用户名不会随着帐户的转移而改变。也就是说,当用户名从一个域转移到另一个域之后,用户名的后缀不会改变。彭亮这个员工,仍然可以采用pengliang@a.dtm.com这个帐户登陆到总公司的网络。
2、用户名必须在企业整个域管理环境之内统一。也就是说,即使你在公司之内设立多级域名的话或者有多个域控制器,但是,你若只有一个域林的话,则必须保持这个域林内用户名的唯一性。简单的说,你总公司与分公司虽然可能采用不同的域名,但是,你不能有两个pengliang@dtma.com的用户名。则对于用户名设计的时候需要注意。如对于用户名采用拼音进行编码,而又根据上面的建议,重新统一了后缀名的话,则就需要注意这个名字重复的问题了。也就是说,在用户名设计的时候,需要考虑用户名的扩展性。