医院局域网域管理方案

奚波

摘要：在医院局域网络管理中，怎样对网络中的资源进行合理的划分，对用户权限进行合理的分配，是一项繁杂而又细致的重要工作。该文通过具体实验操作的模式，介绍了如何使用Windows域服务对网络中的资源和用户进行管理，逐步探索出了一套行之有效的局域网络资源管理方案，借此让更多的网络管理人员可以制定出符合自己医院的局域网络管理方案，以此来规范医院网络管理，提高工作效率。

关键词：Windows域;局域网;用户管理

中图分类号：TP393        文献标识码：A

文章编号：1009-3044（2022）09-0013-04

Windows域是一种计算机网络的管理形式，其中所有的用户账户、网络资源（包括计算机、网络打印机、共享文件夹等）和其他安全主体都在网络中的一个或一组域控制器的数据库中进行注册。在“域”模式下，用户对网络中的资源的访问有较严格的管理，在网络中至少有一台服务器负责每一台联入网络的电脑和用户的验证工作，这台服务器称为“域控制器（Domain Controller，简写为DC）”。

域控制器中包含了由这个域的账户、密码、属于这个域的计算机等信息构成的数据库。当电脑连入网络时，域控制器首先要鉴别这台电脑是否属于这个域的，用户使用的登录账号是否存在、密码是否正确。如果以上信息有一样不正确，那么域控制器就会拒绝这个用户从这台电脑登录。不能登录，用户就不能访问服务器上有权限保护的资源，他只能以对等网用户的方式访问Windows共享出来的资源，这样就在一定程度上保护了网络上的资源。

本方案内容分为Windows域服务安装、域组织单位管理、域用户管理和域组策略管理四部分。

1 Windows域服务安装

1.1 操作主机简介

Windows域中定义了域控制器的五种操作主机角色（又称FSMO）：架构主机（Schema Master）、域命名主机（Domain Naming Master）、相对标识号（RID）主机（RID Master）、主域控制器模拟器（PDCE）、基础结构主机（Infrastructure Master）[1]。

而每种操作主机角色负担不同的工作，具有不同的功能：

（1）架构主机：控制Windows域内所有对象属性的定义。

（2）域命名主机：控制域的添加和删除。

（3）相对标识号（RID）主机：管理域中对象相对标识符（RID）池。

（4）主域控制器模拟器：模拟Windows NT PDC。

（5）基础结构主机：负责对跨域对象引用进行更新。

由于域控制器对于网络管理的重要性，所以在一个大型的网络中不能只安装一台域控制器，而是多个域控制器同时管理，这些域控制器分别担任以上五种操作主机角色中的一个或几个，在某一台域控制器失效时，其他域控制器可以接管它的角色。

我院的局域网有三台域服务器，分别是ADSSERVER1～3，其中ADSSERVER1为物理机，其余两台为虚拟机。三台域服务器都安装Windows Server 2008 R2操作系统，域名为：dqyy.local，域功能等级为最高级别。

1.2 安装域控制器服务

首先要在域控制器上安装好Windows Server 2008 R2操作系统，三台服务器计算机名分别为“ADSSERVER1”“ADSSERVER2”“ADSSERVER3”，IP地址分别为：“100.100.100.201”“100.100.100.204”“100.100.100.99”。安装好操作系统后开始配置域控服务，配置过程如下：

1）打开“服务器管理器”→“添加角色”→“添加Active Directory域服务”，然后点击下一步，点击安装。

2）安装结束之后，点击链接，开始域服务安装向导，或者直接运行dcpromo.exe，如图1所示。

3）开始域服务安装向导，如果本机是网络中的第一台域控制器，要选择“在新林中新建域”，其后添加的域控制器要选择“向现有域添加域控制器”，域名为：dqyy.local。

4）下一步，设置林功能级别为：Windows Server 2008 R2，此级别为Windows2008系统所支持的最高域等级。

5）下一步，其他安装选项，一般新装的域默认安装DNS服务器和全局编录。

6）下一步如图2，这里会提示是否继续，选择“是”。

7）下一步选择域数据库的位置，为了安全起见，请选择非系统盘，这里选择默认安装。

8）下一步选择目录还原模式的密码，再下一步开始安装。安装完成后重启。

1.3配置域控制器

1）在桌面上添加一个控制台，将所有域管理所用到的管理单元全部添加进来。要添加的管理单元有：“Active Directory架构”“Active Directory用戶和计算机”“Active Directory域和信任关系”“Active Directory站点和服务”“组策略管理”和“DNS”。在添加“Active Directory架构”之前要先运行命令“regsvr32 C：＼WINDOWS＼system32＼schmmgmt.dll”注册动态库。

点击“开始”→“运行”→“mmc”，打开一个空的控制台，点击“文件”→“添加/删除管理单元”。

在左边“可用的管理单元”中，找到“Active Directory架构”“Active Directory用户和计算机”“Active Directory域和信任关系”“Active Directory站点和服务”“组策略管理”“DNS”和“DHCP”，添加到右侧“所选管理单元”，如图3所示。添加完成后的控制台保存名为“域管理”。

2）修改操作主机。前面说过Active Directory有五种操作主机角色，要分别运行在这三台域控制器上。分别右击“Active Directory架构”“Active Directory用户和计算机”→“dqyy.local”“Active Directory域和信任关系”，在弹出的菜单中可以找到“操作主机”菜单项。

修改结果在命令行下运行“netdom query fsmo”可以查询，结果如图4所示。

3）修改“全局编录”服务。全局编录（Global Catalog，GC）包含了各个活动目录中每一个对象的最重要的属性，是域林中所有对象的集合。一旦全局编录数据库被损坏，所有用户的信息就会丢失，所以全局编录服务一定要在多个域控制器上运行。但是要注意的是“全局编录”不要和“结构主机”放在同一台域控制器上，否则结构主机无法正常工作。

依次展开“Active Directory站点和服务”→“Site”→“Default-First-Site-Name”→“Servers”，这里可以看到所有的三台域控制器，展开每个域控制器，下面有一个“NTDS Settings”，右键点击“属性”，弹出对话框，“全局编录”默認处于勾选状态。要注意由于ADSSERVER3的操作主机角色是“结构主机”，所以ADSSERVER3的“全局编录”选项要取消勾选。

2 域组织单位管理

组织单元是一种目录对象类型，它的作用是将Active Directory中的对象如用户、组、计算机按照一定的层次组织起来，还可以包括其他的OU，可以把它理解成为Active Directory容器，也可以理解成文件夹。具体信息可以参考系统自带的帮助信息[2]。

“组织单元”管理在“Active Directory用户和计算机”管理单元中。展开管理单元，如图5所示。

这里可以看到有系统自带的容器和组织单元。“Builtin”内是内建安全组，“Computer”是客户端加入域之后默认保存的位置，“Domain Controllers”内是所有的域控制器，“Users”内是域安全组。

“hiscluster”“vmservers”“信息中心”“普通用户”四个组织单元是用户自己建立的，其中“普通用户”是用来存放网络中所有PC客户端账户信息的。在“普通用户”OU下面，将所有PC客户端都按照医院内部科室管理方案进行组织。3 域用户管理

我院的域用户管理比较简单，主要有三个域用户：Administrator、admin和st07。Administrator是默认的域管理员，权限最大。admin是域管理员组成员，st07是域用户组成员，同时admin和st07还是OU“普通用户”的成员[3]。

用户admin是管理员在操作OU“普通用户”中的工作站的时候可以使用的登录账号，权限受到一定限制，但比用户st07大。用户st07是医院普通工作人员在日常工作时登录域使用的登录账号，权限最小。

域中添加删除用户，首先在“Active Directory用户和计算机”中定位到用户所属的OU，点击右键，“新建”→“用户”，输入用户的相关信息即可。这里是否勾选“密码永不过期”，视需要决定。如图6所示。

4 域组策略管理

域管理很重要的一个部分就是域组策略配置。域组策略（Group Policy）是Microsoft Windows系统管理员为用户和计算机定义并控制程序、网络资源及操作系统行为的主要工具。通过使用域组策略可以设置各种软件、计算机和用户策略，策略配置得好可以大大增加局域网的安全性。按照不同的组织单位分别配置不同的域策略[4]。

组策略分为两大部分：计算机配置和用户配置。每一个部分都有自己的独立性，因为他们配置的对象类型不同。计算机账户部分控制计算机账户，同样用户配置部分控制用户账户。其中有部分配置在计算机部分拥有在用户部分也有同样的配置，他们是不会跨越执行的。假设某个配置选项希望计算机账户启用、用户账户也启用，那么就必须在计算机配置和用户配置部分都进行设置。总之计算机配置下的设置仅对计算机对象生效，用户配置下的设置仅对用户对象生效。

展开“组策略管理”管理单元，就可以看到这里也有“组织单元”，如图7所示，这也就是说可以新建若干个组策略，然后将这些组策略分配给不同的组织单位，这样就可以分别控制每个组织单元中的用户和工作站。

展开“组策略对象”，这里保存的是域中所有的组策略对像，默认有“Default Domain Controllers Policy”“Default Domain Policy”两个组策略对象。“Default Domain Controllers Policy”是默认应用到所有域控制器的组策略，展开OU“Domain Controllers”就可以看到“Default Domain Controllers Policy”已经启用链接。“Default Domain Policy”是默认应用到所有OU的组策略。

1）新建组策略对象

右击“组策略对象”→“新建”，打开“新建GPO”，重命名后确定。组策略对象中就会出现刚才新建的组策略对象，右键点击新建的组策略对象，点击“编辑”，就可以对它进行编辑了，这里的编辑方法与用户本机的组策略编辑方法类似，本文不再赘述。

2）自定义组策略对象的作用

图8是使用的组策略对象列表：

下面介绍一下其中几个组策略对象的作用：

①ST07组策略对象。供用户st07使用的组策略对象对st07的权限和用st07用户登录的工作站都做了一定的限制，例如：IE浏览器的主页修改为医院内网主页、限制用户对桌面壁纸的修改、指定桌面和开始菜单的显示项目等。可以点击组策略对象，再在右边的窗口中点击“设置”标签页，查看一个组策略对象到底做了哪些设置，如图9所示。

②st07登录注销策略。这个组策略对象设置的就是用户st07的登录/注销脚本。依次展开“st07登录注销策略”—“用户配置”→“策略”→“windows设置”—“脚本（登录/注销）”，双击右侧的“登录”，弹出登录脚本对话框，点击“添加”，然后浏览文件，弹出浏览文件对话框，如图10所示。

要注意显示的文件夹位置，如果仔细查看，它的位置是“＼＼dqyy.local＼SysVol＼dqyy.local＼Policies＼{13280DDA-07A5-4F75-BC84-00309F14D1B3}＼User＼Scripts＼Logon”，是一个共享文件夹，默认的登录脚本都是在这个文件夹中，整个域网络都可以访问。在这里新建一个cmd脚本文件，命名为“st07登录脚本.cmd”，这个脚本是用户st07登录OU“普通用户”内的PC客户端时所执行的登录脚本，内容如下：

;对时

net time ＼＼100.100.100.99 /set /yes

;更换背景

bcdedit /timeout 2

;从待机状态恢复后，不用输入密码

POWERCFG /GLOBALPOWERFLAG off /OPTION RESUMEPASSWORD

powercfg /setactive 家用/办公桌

powercfg /change 家用/办公桌 /monitor-timeout-ac 5

powercfg /change 家用/办公桌 /disk-timeout-ac 30

;启用防火墙

netsh firewall set opmode enable

netsh advfirewall set allprofile state on

;启用防火墙规则

netsh firewall set service ALL enable subnet

netsh firewall set allowedprogram program="C：＼Program Files＼uvnc bvba＼UltraVNC＼winvnc.exe" name="winvnc.exe" mode=enable profile=current

netsh firewall set allowedprogram program="C：＼Program Files＼Tencent＼RTXC＼RTX.exe" name="RTX" mode=enable profile=current

netsh firewall set allowedprogram program="C：＼Foxmail 7.2＼Foxmail.exe" name="Foxmail.exe" mode=enable profile=current

netsh firewall set allowedprogram program="C：＼Program Files＼Symantec＼pcAnywhere＼awhost32.exe" name="pcAnywhere Host" mode=enable profile=current

netsh firewall set portopening tcp 5800 vnc5800 enable profile=current

netsh firewall set portopening tcp 5900 vnc5900 enable profile=current

sc config MpsSvc start= auto

;禁用U盘

sc config usbstor start= disabled

devcon disable *DEV_818B*

同样的还可以添加注销脚本，双击右侧的“注销”即可添加“st07注销脚本.cmd”。

③文件夹重定向组策略对象。这个组策略对象的作用是将某些系統文件夹如“桌面文件夹”或“文档文件夹”从默认的系统分区移动到用户指定的位置。之所以要使用这样一个功能，是因为有些用户会把文件直接保存在客户端的桌面上，而默认的客户端桌面文件夹在系统分区，一旦系统分区损坏或重装系统，桌面文件夹的内容就会丢失，如果用户忘记把文件移动到其他分区，就会造成损失。使用了这个组策略对象之后，“文档文件夹”会转移到“D：＼My Documents”，而“桌面文件夹”会转移到“D：＼My Documents＼桌面”。

依次展开“文件夹重定向组策略对象”→“用户配置”→“策略”→“windows设置”—“文件夹重定向”，“文件夹重定向”下面有十多个系统文件夹的位置，这里只修改“桌面”和“文档”。

右击“桌面（文档）”→“属性”，弹出桌面（文档）属性对话框。按照图示设置属性即可。

（3）启用组策略对象

建立好组策略对象，就要把它指定给某一个OU，并分配好权限，这个组策略对象才能够发挥作用。在这里主要是给OU“普通用户”分配组策略对象，右击“普通用户”，点击“链接现有GPO”，在弹出的选择框中选择要链接的组策略对象，点击确定，即可链接组策略对象。链接完成之后，还要对这个组策略对象的权限进行设置。点击组策略对象，在右侧的窗体就会显示这个组策略对象的“作用域”，查看权限设置是否正确，按照权限要求进行修改，如图11所示。

在委派权限的时候，一定要注意添加“Authenticated Users”组和“st07”用户，并且要点击“高级”，勾选“读取”和“应用组策略”，这样才能够在st07用户登录到工作站时发挥作用。如图12所示。

（4）PC客户端应用组策略

PC客户端在登录域时，就会根据登录用户和此PC客户端在域中OU的位置应用对应的组策略。在PC客户端可以使用gpresult.exe命令来查询组策略在本客户端的应用情况，比如用户st07在PC客户端“测试005”上登录，打开命令行窗口，输入“gpresult /r”，显示的结果就是组策略在本客户端的应用情况。

如果发现组策略应用不全的情况，可以输入“gpupdate /force”命令，强制更新应用组策略。

5 总结

以上所述的这套局域网域管理方案在我院实际工作中得到了很好的使用效果，大大减轻了网络计算机管理工作的强度，并在此基础上实现了对网络中的资源进行合理的划分，对用户权限进行合理的分配。

参考文献：

[1] 恒逸资讯，赵惊人.Windows Server 2008系统管理员实用全书[M].北京：电子工业出版社，2010.

[2] 郭建伟.Windows Server 2016 AD账户管理机制[J].网络安全和信息化，2021（5）：108-110.

[3] 狄伯豪.AD域控管理在集团性企业的应用[J].硅谷，2015，8（2）：88，85.

[4] 赵新平.应用Windows Server AD域提升内网管理水平[J].赤峰学院学报（自然科学版），2013，29（23）：22-23.

【通联编辑：代影】