ad域管理优缺点

第1篇：ad域管理优缺点

AD域管理优缺点

1、方便管理,权限管理比较集中，管理人员可以较好的管理计算机资源。

2、安全性高，有利于企业的一些保密资料的管理，比如一个文件只能让某一个人看,或者指定人员可以看,但不可以删/改/移等。

3、方便对用户操作进行权限设置，可以分发，指派软件等,实现网络内的软件一起安装。

4、很多服务必须建立在域环境中，对管理员来说有好处:统一管理,方便在MS 软件方面集成,如ISA EXCHANGE(邮件服务器)、ISA SERVER(上网的各种设置与管理)等。

5、使用漫游账户和文件夹重定向技术，个人账户的工作文件及数据等可以存储在服务器上，统一进行备份、管理，用户的数据更加安全、有保障。

6、方便用户使用各种资源。

7、SMS(System Management Server)能够分发应用程序、系统补丁等，用户可以选择安装，也可以由系统管理员指派自动安装。并能集中管理系统补丁(如Windows Updates)，不需每台客户端服务器都下载同样的补丁，从而节省大量网络带宽。

8、资源共享

用户和管理员可以不知道他们所需要的对象的确切名称，但是他们可能知道这个对象的一个或多个属性，他们可以通过查找对象的部分属性在域中得到一个所有已知属性相匹配的对象列表，通过域使得基于一个或者多个对象属性来查找一个对象变得可能。

9、管理

A、 域控制器集中管理用户对网络的访问，如登录、验证、访问目录和共享资源。为了简化管理，所有域中的域控制器都是平等的，你可以在任何域控制器上进行修改，这种更新可以复制到域中所有的其他域控制器上。 B、 域的实施通过提供对网络上所有对象的单点管理进一步简化了管理。因为域控制器提供了对网络上所有资源的单点登录，管理远可以登录到一台计算机来管理网络中任何计算机上的管理对象。在NT网络中，当用户一次登陆一个域服务器后，就可以访问该域中已经开放的全部资源，而无需对同一域进行多次登陆。但在需要共享不同域中的服务时，对每个域都必须要登陆一次，否则无法访问未登陆域服务器中的资源或无法获得未登陆域的服务。

10、可扩展性

在活动目录中，目录通过将目录组织成几个部分存储信息从而允许存储大量的对象。因此，目录可以随着组织的增长而一同扩展，允许用户从一个具有几百个对象的小的安装环境发展成拥有几百万对象的大型安装环境。

9、安全性

域为用户提供了单一的登录过程来访问网络资源，如所有他们具有权限的文件、打印机和应用程序资源。也就是说，用户可以登录到一台计算机来使用网络上另外一台计算机上的资源，只要用户具有对资源的合适权限。域通过对用户权限合适的划分，确定了只有对特定资源有合法权限的用户才能使用该资源，从而保障了资源使用的合法性和安全性。

10、可冗余性

每个域控制器保存和维护目录的一个副本。在域中，你创建的每一个用户帐号都会对应目录的一个记录。当用户登录到域中的计算机时，域控制器将按照目录检查用户名、口令、登录限制以验证用户。当存在多个域控制器时，他们会定期的相互复制目录信息，域控制器间的数据复制，促使用户信息发生改变时(比如用户修改了口令)，可以迅速的复制到其他的域控制器上，这样当一台域控制器出现故障时，用户仍然可以通过其他的域控制进行登录，保障了网络的顺利运行。

第2篇：设置AD域共享文件夹访问权限[模版]

在实际的企业网络中，主管人员可能并不希望所有用户都拥有对共享文件夹的访问权限，而只希望特定的人访问特定的共享文件夹。网络管理员可以通过设置对共享文件夹的访问权限来实现此目的。以设置共享文件夹“图书策划部”的访问权限为例，操作步骤如下所述：

第1步，打开“图书策划部 属性”对话框，单击【权限】按钮。

第2步，在打开的“图书策划部 的权限”对话框中将“组或用户名称”列表中的Everyone删除。然后单击【添加】按钮，在打开的“选择用户、计算机和组”对话框中依次单击【高级】→【立即查找】按钮。找到指定目标用户或组(如JinshouzhiUsers组)后将其选中并依次单击【确定】→【确定】按钮，如图1所示。

图1 “选择用户、计算机和组”对话框

第3步，返回“图书策划部 属性”对话框，在“JinshouzhiUsers 的权限”列表中选中合适的权限(如允许完全控制的权限)，并单击【确定】按钮，如图2所示。

图2 设置共享权限

第4步，访问有权限限制的共享资源。在客户机中以有足够权限的用户身份登录AD域中，打开“网上邻居”窗口。在【地址】编辑框输入UNC路径或单击“整个网络”按钮查找用户有权限访问共享资源，如图3所示。

图3 访问有权限限制的共享资源

第3篇：CAMS与AD配合做域统一认证的典型配置

一、组网需求：

支持802.1X的交换机;CAMS服务器;Microsoft Active Directory;iNode客户端。

二、组网图：

设备说明：

NAS：S3952 CAMS V2.1 R0121SP1 Microsoft Active Directory 5.2 iNode V2.4-R0213

三、配置步骤：

前提条件是CAMS，AD，NAS，User均路由可达。

NAS可以采用802.1X认证或者Portal认证，这里已 802.1X认证为例。 1.配置NAS

# 配置Radius服务器 [S3952]radius scheme h3c [S3952-radius-h3c]server-type extended

[S3952-radius-h3c]primary authentication 192.168.1.12 1812 [S3952-radius-h3c]primary accounting 192.168.1.12 1813 [S3952-radius-h3c]key authentication test [S3952-radius-h3c]key accounting test

[S3952-radius-h3c]user-name-format without-domain

# 配置认证域

[S3952]domain h3c

[S3952-domain-h3c]radius-scheme h3c [S3952]domain default enable h3c # 配置VLAN [S3952]Vlan 2 [S3952-vlan2]Port GigabitEthernet1/1/4 [S3952]Interface vlan 2 管理Vlan [S3952-Interface-vlan-2]ip add 192.168.1.99 255.255.255.0 [S3952]Interface vlan 1 用户Vlan [S3952-Interface-vlan-1]ip add 192.168.0.1 255.255.255.0

# 启动802.1X认证

[S3952] dot1x [S3952] dot1x authentication-method pap [S3952] dot1x interface Ethernet 1/0/1 to Ethernet 1/0/48

注：这里只是列出了802.1X的所有必须的配置，还有一些高级选项可以自行配置，如version check，accounting on等。

2.安装AD Windows 2000 server和windows server 2003都带有Active Directory，这里已windows server 2003为例说明AD的安装过程。

interface

GigabitEthernet1/1/1

to 1).首先为服务器配置正确的IP地址并连接网络。 2).选择“开始->所有程序->管理工具->配置您的服务器向导”

3).在欢迎界面点击“下一步”

4).直接点击“下一步”

5).会出现如下进度框

6).选中“第一台服务器的典型配置”，点击下一步

7).在Active Directory域名一栏输入AD的域名，例如：“h3c.com”，然后点击“下一步”

8).输入NetBIOS域名(推荐采用默认值)，然后点击“下一步”

9).选择“否，不转发查询”，点击“下一步”

10).确认选项正确后点击“下一步”

11).点击“确定”，开始服务器配置

12).放入操作系统光盘后，点击“确定”

13).配置过程当中会重新启动操作系统，无需人工干预，当下一次登陆系统后会继续完成域控制器的配置

14).点击“下一步”

15).点击“完成”，至此域控制器安装完毕

3.配置AD 1).配置域用户，选择“开始->所有程序->管理工具->Active Directory用户和计算机”

2).右键菜单服务器图标“h3c.com”，选择“新建->组织单位”

3).填写组织单位名称，中英文皆可

4).右键菜单刚才新建的组织单位，选择“新建->用户”

5).填写用户相关信息，用户姓名中英文皆可，登陆名务必填写英文

6).创建密码，由于Windows 2003的域用户缺省密码策略，创建密码时需保证一定的复杂性。例子中创建为“h3c.com”，同时选中“用户不能更改密码”和“密码永不过期”

7).单击“完成”，用户创建完毕，重复如上步骤，创建多个用户。

4.配置CAMS 1).配置接入设备参数：系统管理>>系统配置>>接入设备配置

这里必须将NAS的上行端口(靠近CAMS的端口)地址添加到起始地址和结束地址之间。共享密钥和端口必须与设备的配置一致。

2).配置LDAP服务器：组件管理>>LDAP组件>>LDAP服务器管理 这里的Base DN就是指所要同步AD中目录的范围，即CAMS只同步该Base DN路径下(包含所有子目录)的所有用户。若Base DN设置为根域h3c.com则会同步该AD中的所有用户。

管理员DN指具有查询权限的AD中的用户，可以与Base DN不在同一目录。

管理员DN和BaseDN的命名规则为：从左到右，依次从最小子目录到根目录，中间用逗号隔开。根目录前缀为dc=，原始目录(如users)和用户名(chenning)前缀为cn=，新建的目录前缀为ou=，用户名前缀。 对于AD服务器，用户名属性建议修改为saMAccountName

3).同步测试：在LDAP服务器管理中选择建立的LADP服务器，点击行末的<同步>，若设置正确，会出现同步成功的提示。

4).配置LDAP同步配置：组件管理>>LDAP组件>>LDAP同步配置>>增加 出现如下的配置选项，选择LDAP服务器，配置过滤条件。对于AD，建议过滤条件配置为：(&(distinguishedName=*)(userPrincipalName=*))。该过滤条件的意含义是选出同时具有distinguishedName和userPrincipalName属性的用户。

点击下一步选择个列的属性，建议如下图配置，再选择相关的服务和计费方式。由于AD中的用户密码加密不可逆，不能同步到CAMS中，用户每次都会到AD中认证，所以这里的CAMS本地密码可以任意设置。

5).同步用户：在LDAP同步配置中选择同步配置，点击行尾的<同步>，则CAMS系统会自动同步AD中的所有Base DN中的用户到CAMS中。若同步成功会会出现”同步LADP服务器用户成功”的提示。

同步成功后会在这里的<同步用户管理>和用户管理>>帐号用户中发现 LDAP用户。

至此，CAMS与AD同步完成，用户可以采用同步过来的用户进行LDAP认证。若需要进行域统一认证，还需进行如下两步配置：

5.配置客户端

1). 在iNode客户端中点击<新建>创建域统一认证了连接

2) 选择基本的认证方式，本例中为802.1X认证，再选择<域统一认证连接>

3) 然后会在iNode中发现新的域统一认证连接，再在操作>>配置客户端运行方式 中选择启动域统一认证。

6.配置用户电脑

1) 设置PC的网络连接，配置正确的DNS服务器。本例中DNS服务器和AD在同一台服务器上。

2) 将PC加入域：在我的电脑>>属性>>计算机名>>更改 中输入域名，再输入域管理员的用户名和密码，用户就可以加入到域中了。

重起PC，至此域统一认证配置完毕。

四、预期效果：

在PC登陆系统时，使用之前创建的域用户并选择登陆到域

点击确定后，会在登陆窗口的右侧出现“正在进行域统一认证，请等待”的提示，之后成功登陆。若在CAMS中配置了EAD检查，则登陆到系统后，iNode还会对系统进行安全检查，并采取相关策略。

五、配置关键点：

1.NAS上802.1x的认证模式必须为pap。

2.CAMS的服务和NAS中配置的默认域都必须采用AD中域的NetBIOS名称，默认情况下是域的第一部分，例如h3c.com，则如上两处都应设置为h3c。

CAMS不能完全同步AD中用户数据问题的解决办法

利用CAMS的LDAP组件同步微软Active Directory中的用户数据时，只能同步部分用户。这是由于同步过滤条件不恰当，请修改为： (&(distinguishedname=*)(userprincipalname=*))

CAMS与AD配合进行多级域名的域统一认证时

AD中域名采用aaa.bbb.ccc.eee的多级域名形式时，在接入设备和CAMS上均设置域为aaa.bbb.ccc.eee。此时在windows系统中启动客户端软件，输入AD中的用户名@aaa.bbb.ccc.eee, 则认证成功。但启动域统一认证时，却提示“域统一认证失败”。

这是由于windows系统处理多级域名时，仅把域控制器的第一个域名字段作为用户的登录域名。

修改NAS和CAMS上的域名为aaa，即可解决问题。

认证失败问题的解决办法 修改CAMS服务器IP地址的办法

一 组网：

对组网无特殊要求

二 问题描述：

由于网络的变动需要修改CAMS服务器的IP，这时不但需要修改系统IP还需要修改相关的配置文件。

三 过程分析：

由于CAMS的Portal服务器信息不能在控制台上修改，所以必须修改配置文件。其他的信息既可以在配置台上修改，又可以在配制文件中修改。

四 解决方法： Windows版CAMS：

1.停止CAMS的两个服务Portal kernel server 和Portal Forward. 2.进入camsetc目录，

1)记事本打开portal.conf,修改trans.kernel.ip, portal.webserver.addr, portal.web.url和portal.selfweb.url的值为新的IP,保存退出。

2)记事本打开trans.kernel.conf,修改trans.kernel.ip的值为新的IP，保存退出

3.启动CAMS的两个Portal服务. 4.若接入设备有变化，还需要修改接入设备和portal设备。

Linux版CAMS： 1. 停止CAMS服务：执行命令 service tomcat stop 成功停止后再执行 service camsd stop和service portal stop。

2. 修改设备IP：执行命令 netconfig 在图形化的界面修改服务器IP，在执行命令 service network restart 3. 修改CAMS的Portal配置文件： 1) 进入/etc/ camsd/ portal/ 2) 打开文件: vi domainconfig.ini 找到原接入网段的起始IP和结束IP，修改(按i插入文字，ESC退出修改)为新用户接入网段IP，保存退出(分号+shift后输入wq)。

4)再打开文件: vi portal.conf 修改kernelAddr和WebServAdd ip为CAMS服务器的新IP，保存退出。

5)打开文件: vi trans.conf 修改trans.kernel.ip值为CAMS服务器的新IP，保存退出。

4.修改CAMS接入设备配置：1)进入/root/cams/etc/ ，vi打开clients 修改原接入设备IP为新接入设备IP，保存退出。 5.检查Oracle配置的IP：进入目录：/u01/app/oracle/product/9.2.0/network/admin/，vi打开tnsnames.ora，检查(ADDRESS = (PROTOCOL = TCP)(HOST = localhost)(PORT = 1521))中localhost位置，若为localhost，则不变;若为原CAMS服务器IP，则修改为新CAMS服务器IP，保存退出。 6.启动CAMS服务：输入命令service camsd start 成功停止后再执行 service tomcat start和service portal start。

CAMS以Portal认证实现EAD功能时domain问题的解

决办法

CAMS配合接入设备实现Portal认证的EAD功能时，若radius scheme配置为user-name-format with-domain和domain default enable ****，则客户端直接以用户名认证会出现策略服务器无响应的问题。

这是由于Portal认证是基于http协议或https协议，用户域名不能通过设备透传到客户端上，而安全认证是客户端与CAMS直接交互信息，于是两端用户名不一致，策略服务器无法处理。

解决的办法一：用户登录时采用用户名@域名的完整形式。 解决的办法二：修改radius scheme中user-name-format without-domain，且CAMS中相关服务不设置后缀。

CAMS与LDAP服务器同步案例配置

一 组网需求：

某客户使用eYou公司的邮件系统基于openLDAP设计，用户希望CAMS平台能与eYou系统使用同一套帐号，这就要求CAMS使用LDAP组件与LDAP服务器进行同步。使用LDAP组件，用户可使用存储在LDAP服务器中的帐号信息，进行网络的物理层接入认证。LDAP组件实现LDAP服务器中的用户帐号信息与CAMS系统的用户帐号信息同步，并将用户的接入认证请求重定向至LDAP服务器处理。 二 组网图：

用户A向CAMS发起认证请求，CAMS检查该用户是否为LDAP服务器认证用户，如果用户信息存在于LDAP服务器，则CAMS向LDAP服务器发起认证请求，LDAP服务器返回认证结果给CAMS服务器。

三 配置步骤：

1 同步CAMS与LDAP服务器

必须同步CAMS与LDAP服务器的用户信息，首先查看eYou系统的帐号信息存储方式，打开slapd.conf文件如下：

所以BaseDN设置为：o=mail.imfec.edu.cn，管理员DN设置为：cn=eYouAdmin,o=mail.imfec.edu.cn，这在CAMS服务器进行相对应的设置。 2 CAMS上的设置

在CAMS的LDAP组件目录下进行相关配置，CAMS设置如下：

四 配置关键点： CAMS服务器的设置需要注意：是否需要实时认证选“是”，在LDAP同步配置中对于密码选择“不从LDAP服务器同步”，如下图所示。

由于eYou系统的密码以MD5加密，为32位编码，而CAMS系统目前版本只能识别16位，所以如果从LDAP服务器中同步密码则会同步不成功，这时只能在同步配置中选择密码“不从LDAP服务器中同步”，这样同步时并不从LDAP服务器中同步密码到CAMS中，而只同步帐号;由于选择了实时认证，用户认证时会发送用户名及密码到LDAP服务器实时认证，这样保证了认证的安全性，同时又可与邮件系统使用同一套用户帐号。