写点什么

向日葵资深产品总监技术分享:如何在 AD 域环境下应用

作者:贝锐
  • 2022 年 7 月 26 日
  • 本文字数:2108 字

    阅读完需:约 7 分钟

向日葵资深产品总监技术分享:如何在AD域环境下应用

在大型企业进行 IT 建设时,AD 域很早就已经成为了必选项,企业选择引入其他 IT 服务也往往需要该服务能够对接现有的 AD 域体系。“国民远控”向日葵作为最具代表性的国产远程控制品牌,那么其服务是如何融入企业自有的 AD 域系统的?

本篇文章详细介绍了向日葵如何在企业的 AD 域环境下运行,并在强化安全的同时减轻管理负担。

 

AD(Active Directory)域究竟是什么?

向日葵的诸多企业用户中,不少都在使用 Active Directory 域(AD 域)。

其实,在等保,数据安全,终端安全等合规建设还没有成为主流的年代,AD 域管理就已经是很多大型企业 IT 建设的必选项。它是微软服务器的一项标准功能,诞生于更早期的 Novell 时代,在微软对它进行进一步的发展和演进之后,形成终端统一管理的关键技术。在跨国外企的示范下,国内大型企业纷纷跟进开始使用 AD 域对设备和人员进行管理。


域是计算机和用户的集合,它们都会被分配到一个叫 OU 的单元中,OU 具有树形的组织关系,借助它,人和设备在域中具有了部门属性,可以融入到现实世界的管理体系中。域控制器是这个域内的管理核心,目录服务是由目录服务数据库和访问协议组成,它们的结合构成了域环境。

利用 AD 域可对企业各部门进行管理,加强 ERP,OA,邮件,IM 等系统的管控力度,提高工作效率,为移动办公提供技术支撑,除此之外,管理员可以实现细粒度权限控制,基于用户和设备对文档、视频、图像素材等各种文件进行共享管理。

另一方面,加入域后,人们在任意一台电脑登录,均可获得一个统一的、标准的工作环境,从系统、偏好、到软件环境。

而且由于域用户只有普通权限,他们无法进行系统级的修改,因此从安全角度看,各设备加入域意味着原本分散的 IT 资产所面临的安全敞口将大幅收敛

AD 域管理的功能及优势

IT 规模的扩大会带来管理复杂度的倍数增加。在大型企业中,传统资产管理模式已不能满足日常对各类 IT 对象管理的需要。

AD 域集中管控符合企业组织架构和决策过程,具有强大的底层管理能力,完整的组织架构体系,相对全面的设备管理覆盖率。因此,其更适合现代企业的管理理念,可在确保数据安全的前提下实现数据集中存放和安全访问,提升企业的信息化管理水平。

向日葵很早便注意到域管理的安全优势,除了在域环境中,管理员可以通过域的文件共享和软件分发功能,自动部署向日葵客户端,向日葵还强化了对域场景的支持。

接来下,我们具体拆解一下 AD 域管理所搭载的功能、优势,以及向日葵对相关场景的具体支持。

● 优势一:AD 目录服务

人力资源是企业的核心资源,在用户管理中,身份验证及访问授权会高频出现,如果每个系统都有独立的用户管理体系,则容易出错且管理负担重。

AD 域目录可集中管理用户、管理访问控制权限,并加强基于角色的安全性。由于域控制器间也可以级联,策略和数据可以漫游访问,因此在域森林的任何电脑上,用户登录以后都可以方便的访问自己的桌面环境,包括应用,配置,偏好和个人数据。AD 域目录服务也可以通过 LDAP 协议为第三方产品所用,如 ERP,OA 等,实现多应用的统一用户管理或 SSO。总的来说,目录服务机制保证了用户身份统一认证、密码策略、授权管理等需求的实现。

向日葵的用户子账号系统,支持导入企业已有的 AD 域组织架构,使用域控进行用户认证,将向日葵子账号管理纳入企业统一的目录服务。既强化了账号安全,也减轻了员工负担。

 

● 优势二:数据集中管理

建立在统一的身份认证、集成 DFS、Samba 资源共享等基础之上,AD 域有能力将分散在网络上的资源进行集中管理。在组策略等基线工具之外,利用 AD 的这个存储特性,管理员可以建立一个内网范围内的近似分布式的文件存储系统,将各类网络存储,文件服务器,办公 PC 上的存储空间高效利用起来。

 

● 优势三:组策略与安全基线

可分发组策略(GPO)的引入,使集中管控分散的 PC 设备成为一件简单的事。从软件分发,网络配置,系统设置,到打印机,移动存储,蓝牙等多种外设管理,从注册表开关到脚本控制客户端操作系统特性,组策略是统一设置设备安全基线的重要工具。组策略的集中管控满足了管理员对 Windows 网络中人和设备的大规模管理需求。

 

● 优势四:提升管理效率

大型企业中设备管理工作琐碎重复,会有较大的管理压力。AD 域管理是微软提供的与操作系统深度结合的管理工具,它与客户端操作系统结合紧密,从底层实现管理功能,与其他第三方工具相比,它更彻底更可靠。但域的远程运维能力很弱,员工电脑需要协助时不太方便直接远程。

向日葵远程控制可以弥补域的这个不足。结合基于域的子账号登录和完善的审计模块,向日葵可以提供便捷的远程协助和详尽的日志,无缝融入企业现有的管理体系中。

值得一提的是,域用户一般是普通权限,无法进行一些关键的系统级操作,远程协助时部分操作会受限。向日葵远程控制支持被控端提权运行,管理员在主控端发起远控时输入自己的用户名密码,被控端就可以以管理员权限运行,确保远程时操作不受限制。为保证密码安全,向日葵使用 RSA/AES 高强度算法对密码进行加密

 

结语

信息技术已经成为当今社会的第一生产力。从网络驱动,数据驱动,AI 驱动,到疫情下以向日葵为代表的远程办公新形态,企业的信息化程度决定了它的发展速度,疫情下甚至达到性命攸关的地步。向日葵引领了新的工作模式,已经成为企业不可或缺的 IT 工具。

用户头像

贝锐

关注

连接,无处不在 2022.06.30 加入

上海贝锐信息科技股份有限公司是国内知名智能设备互联云服务商,为各类智能设备厂商提供简单易用的互联互通M2M接入平台,提供向日葵远程控制、蒲公英智能组网、花生壳内网穿透、域名注册等多款产品及服务。

评论

发布
暂无评论
向日葵资深产品总监技术分享:如何在AD域环境下应用_安全_贝锐_InfoQ写作社区