公司高层决定要在企业内部架设AD域,要实现公司所有员工来到公司就要登录到域,可以使用域内所有资源,如文件共享等,不用域登录无法使用任何资源,包括网络资源。

现在的问题是,公司是做IT服务的,员工总数差不多300。员工自己重新安装了系统,或者电脑中有两个系统,不用加入域的系统登录,是否可以有什么方法可以做到限制,我记得Server 2003应该没有这种功能,Server 2008的AD,是否有这些策略。或者说,针对这样的企业性质,做AD域,其实没有多大的意义。员工使用的资源就文件、打印机之类的,邮件系统是属于另外一个域的。

回答:根据您的描述,我对这个问题的理解是您咨询关于是否要加域的问题.根据我的经验,您可以考虑用域管理的方法,域是一个安全边界,如果没有被认证的用户是不能访问和使用域内部的资源的,因为在AD内部各个资源的相互认证是通过Kerberos的,详细的内容您可以参考:

Active Directory 管理分步指南
http://www.microsoft.com/china/technet/prodtechnol/windowsserver2003/technologies/directory/activedirectory/stepbystep/admng.mspx

针对您提出的几个问题:

不用域登录无法使用任何资源,包括网络资源,到目前为止我们没有一个很好的方法去解决这个问题,再加之内部是IT公司,所以只要用户能得到IP地址,那么就可以用网络资源,再者如果用户有用户名和密码,那么可以做各个方面的认证。您看到的文章来自活动目录seo http://gnaw0725.blog.51cto.com/156601/d-1

我所能想到的是,在内部建立CA给各个计算机派发一个证书,这样在用户上网时提示用户证书登陆(需要在网络的出口处部署TMG之类的网关),但是在用户安装完系统可以把证书备份下,在安装完毕后在导入。

所以总的来讲,作为IT人员来讲可以突破各个的防线。

但是用域管理的话方便,可以实现资源的统一配发,权限的统一设置,相关策略的统一设置。如果是workgroup的话不方便这样管理。比如说如果管理员想在所有的客户端上安装一个软件,那么我们用域的话就很方便。所以原则是用域管理是很方便的。

对于这方面的管理,我可以提出一些以前的我的管理经验和您一起分享下,在以前的公司里面,我们的做法是:

1.    把所有的客户端加入Domain,并把客户端重命名为用户的用户名,比如这个计算机的用户是张三,那么这个计算机的用户名就是张三。

2.    在加入到domain后,我们可以设置张三只能用张三的账户登录(等到张三的计算机)

3.    然后把本地的管理员的账户重名为admin(安全),把guest账户变为administrator,最后用脚本改变本地管理员的密码。

基本的设置就是这些。

针对某一个用户把计算机重新安装了,那么我们可以查询此账户最后一次登录的时间,如果超过一定的时间由系统自动禁用该账户。那么该用户只能通过管理的途径上面提交申请开启自己的credential,此时作为网络管理就可以实现了,所以对您提出的问题,不但要用技术方面实现,当然也要用管理的配合。 

张方方  微软全球技术支持中心

Active Directory企业安全管理的相关文章请参考
Active Directory
Active Directory 架构
使用Active Directory的常见问题1
使用Active Directory的常见问题2
使用Active Directory的常见问题3
---gnaw0725