利用域来统一管理网络帐户

利用域来统一管理网络帐户，本站还有更多网络基础知识,网络基础,计算机网络基础知识,计算机网络知识学习方面的资料。
正文：

　　利用域来管理企业网络，另外一个直接的好处就是有了一个帐户的统一管理平台。网络管理员拥有域控制器之后，就不需要为每位员工在单机上独立的分配帐户，而只需要在域控制器上为其建立帐户即可。在统一的平台上建立用户帐户，则就可以为期分配统一的组策略，等等。

　　在阐述如何通过域来管理网络资源之前，我要强调一个概念，就是本机登陆帐户与域登陆帐户的区别。如果一个员工利用本机管理帐户登陆到自己的电脑上后，则其如果需要访问网络上的其他主机的话，则在访问的时候还必须要再次利用域帐户与密码进行登陆。而如果利用域帐户登陆本机电脑的话，则后续访问其他电脑主机的话，只要这个帐户名域密码具有访问的权限，则就不需要再次重复的输入域用户名与密码。了解这个域用户名与本机用户名之间的差异，对于理解后续的内容很重要。

　　其实，建立域管理帐户的方法也很简单，都可以通过图形化界面进行设置。

　　第一步：建立UPN后缀

　　UPN中文的意识就是用户登陆名称。域帐户在形式上跟本机帐户有一个非常明显的区别，就是域帐户是以电子邮件的形式给出的，如pengliang@dtm.cn等等。这么做的好处就是可以把域用户名跟邮件地址进行统一，这对于把域控制器跟邮件服务器进行集成，具有非常大的帮助。

　　默认情况下，用户帐户所采用的后缀名是用户所在域的域名称。但是在一些特殊的情况下，如为了就简化输入或者提高工作效率的情况下，会对这个域名进行更改，

　　在活动目录域与信任关系中可以更改这个后缀名。

　　笔者工作经验之谈

　　若遇到如下情况，则笔者建议更改这个UPN后缀。

　　一是当域的后缀名跟企业的邮箱服务器后缀名不一样的时候。如笔者认识一个朋友，他们公司在网络规划的时候，由于缺乏统一性 ，在域名设计的时候，没有考虑域名与邮箱服务器的统一性。如公司的邮箱后缀为dtme.com，而域控制器的域名为dtmabc.com。如此的话，若不对用户名的后缀进行更改的话，在就会导致域用户名与邮件地址不符，也就是说，用户无法直接通过域用户名来发送邮件。这直接的结果，就是在利用EXCHANGE软件建立邮箱服务器的时候，无法跟域控制器进行很好的集成，无法直接利用域帐户来作为用户的邮件地址。这对于网络管理员来说，后续就要管理两套用户帐户，一是域用户帐户，二是邮件系统帐户，这无疑就增加了一倍的工作量。所以遇到这种情况的话，笔者建议网络管理员在建立域帐户之前，先更改这个域的后缀名，让其跟邮箱服务器的后缀名保持一致。

　　二是若对域管理的比较细的话，如对于不同的分公司、不同的部门都采取不同的域名的话，也就是说，有分级域名的话，则用户在输入帐户的时候，就会非常的麻烦。为此，为了提高用户登陆时候的效率，可能需要对域名进行简化。如在域层次管理上，仍然采用分层管理;而对域用户帐户进行命名的时候，则可以采用自定义的、简化了的域名，如直接采用一级域名等等。

　　第二步：建立用户名

　　笔者再次强调一遍，域用户名的格式必须符合电子邮件的帐户格式，也就是说，利用@号进行分割。在建立域用户名的时候，需要注意以下几点：

　　1、如某位员工，如“彭亮”，刚开始是在集团企业的下面一个子公司，其域名是a.dtm. com，而若后来其调到总公司后，总公司的后缀名dtm.com。现在遇到的问题是，到这位员工公司调动之后，其用户名所在的域也需要进行调整。此时，用户名的后缀是否需要调整呢?这里就需要注意一点，用户名不会随着帐户的转移而改变。也就是说，当用户名从一个域转移到另一个域之后，用户名的后缀不会改变。彭亮这个员工，仍然可以采用pengliang@a.dtm.com这个帐户登陆到总公司的网络。

　　2、用户名必须在企业整个域管理环境之内统一。也就是说，即使你在公司之内设立多级域名的话或者有多个域控制器，但是，你若只有一个域林的话，则必须保持这个域林内用户名的唯一性。简单的说，你总公司与分公司虽然可能采用不同的域名，但是，你不能有两个pengliang@dtma.com的用户名。则对于用户名设计的时候需要注意。如对于用户名采用拼音进行编码，而又根据上面的建议，重新统一了后缀名的话，则就需要注意这个名字重复的问题了。也就是说，在用户名设计的时候，需要考虑用户名的扩展性。

　　第三步：利用域用户名登陆到域网络环境中

　　在登陆本机的时候，企业员工就可以利用域管理帐户登陆到企业的域网络环境中。不过，此时需要注意几个小地方。

　　一是对于2000以前的微软操作系统的话，在输入用户名的时候，必须输入帐户名的全称，也就是说，@后面的后缀也必须输入。而2000以后的操作系统，则可以只输入用户名的前半部分，不用输入后缀就可以登陆到域中。

　　二是若在2000以后的操作系统中，不输入后缀而直接登陆到域管理环境中去的话，则必须保证一个域内用户名的统一。如在总公司dtma.com，有个用户名为pengliang@dtm.com;后来从分公司那边调过来一个员工，其原先的用户名为pengliang@a.dtma.com。那时，由于其后缀名是不同的，所以这个用户名是合法的。当这个用户名从域a.dtma.com转移到dtm.com的时候，由于其用户名不会改变，所以，在dtma.com这个域中，就有两个前缀为pengliang、后缀不同的用户名。这个不违反林内用户名唯一的原则，因为他们后缀名不同。但是，在这种情况下，若需要只输入前缀，如pengliang，而不输入后缀名登陆到域环境的话，则域控制器就不能精确定位这个帐户的身份，所以，就会拒绝用户登陆，除非用户输入域用户名的全称。这些限制，也就要求我们网络管理员在域用户编码原则设计的时候，要比本级帐户严格的多。因为本级帐户只是停留在本机，所以，冲突性就会少许多，他只要保证本机内的登陆帐户名字不重复即可;而不用去考虑网络内其他电脑的登陆帐户。换句话说，若给企业的全部电脑，都配置一个统一的用户名，从技术上讲，也是可行的。但是，对于域却不行。域的话，必须保证林内用户名的唯一。而有时候，为了提高用户的登陆效率，则海还要保证在一个域内用户名的唯一。如此的话才可以不输入用户名的后缀而直接登陆到网络中去。

　　下面笔者再给大家介绍一下，域管理帐户的一些常见管理策略。

　　第一个策略：在必要的时候，停用帐户。由于在使用域帐户登陆操作系统的时候，同时具有相应的网络资源的访问权限。所以，对于域帐户的管理要比本机帐户的管理更加严格。如当一个员工休产假的时候，一般若是采用本机账户的话，则不需要进行什么设置;而若使用域帐户的话，为了防止其他员工采用这个域用户名登陆，则最好把这个域用户名暂时禁用掉。如此的话，其他员工就不能够采用这个用户名登录到企业的网络中。等到员工回来的时候，再把这个用户名重新激活。当员工离职之后，也需要及时把这个用户名禁用或者删除掉。

　　第二个策略：灵活使用重命名功能。域用户帐户与本级用户名一样，其也是利用一个唯一的SID号码来代表用户名，这个用户名相应的访问权限、密码等信息也是跟这个SID号码对应，而不是跟用户名。如此的话，更改用户名之后不会对帐户原有的属性有什么影响。在实际工作中，我们可以利用这个特性来灵活管理域帐户。如当销售部门员工离职时，我们可以先不把这个帐户删除，只禁用掉。到后来销售部门有新进员工时，再重命名即可。如此的话，我们就不需要重新配置帐户权限等等，可以节省我们许多的工作量。同理，到我们删除一个账户时，这个SID号码也随之删除。当后来重新建立一个一模一样的用户名字的时候，帐户也不会继承原先用户的权限。

如果觉得《利用域来统一管理网络帐户》不错，可以推荐给好友哦。


文章关键字：电脑培训学习 - 网络知识 - 网络基础知识,网络基础,计算机网络基础知识,计算机网络知识学习