Window域帳戶管理實戰中的四個建議:

   第一：若沒有郵箱服務器，則按人事部門的員工編號進行編碼

　　對于域帳戶管理中，很關鍵的一個步驟在于對域帳戶如何進行命名，或者說，對于域帳戶如何進行編碼。

　　對于域帳戶的編碼來說，一般需要滿足三個原則。

　　一是易于輸入的原則。因為企業每次登錄系統的時候，有時候出于安全性的考慮，都要求企業員工輸入域用戶名與密碼。這跟單機不同。單機有時會為了 提高開機效率，可以設置自動登錄。但是這個安全性太差，所以，在域用戶管理中往往是不采納的。而是要求用戶手工的輸入域用戶名與密碼。此時，就需要我們在 設計域用戶名的時候，遵循簡單的原則，便于用戶輸入。

　　二是要遵循唯一性原則。雖然，在域名設計中，全名唯一性即可。不過，筆者在域名的設計過程中，還是遵循前綴唯一性的原則。也就是說，在不考慮后綴的前期下，也要保持唯一性。這主要也是為了提高用戶輸入賬戶名的效率考慮的。

　　三是在設計名字的過程中，最好不要采用特殊字符，因為特殊字母為大大降低用戶名的輸入效率。如筆者在域名設計的過程中，有人提議利用英文名加姓 的形式定義用戶名。如利用jane_zhang的形式在進行命名。但是，筆者發現，“_”這個特殊字母輸入不怎么方便。對于經常接觸電腦的員工來說，可能 比較熟悉;但是對于大部分員工輸入這個字符都會有問題。為此，后來我把這個“_”該為“.”號。因為輸入_這個符號的話，需要按兩個鍵，而輸入“.”號的 話，則需要采用一個鍵。不要小看這一個小小的差別，對于大部分企業員工來說，是一個很大的改善。

　　對于域用戶命名的時候，除了要遵守以上三個原則外，還需要考慮實際的應用問題。

　　如企業若在內部沒有部署郵箱服務器，或者雖然部署了企業自己的郵箱服務器，但是，沒有跟服務器進行有效集成的話，則最好在設計域帳戶名字的時 候，能夠跟人事部門的相關資料進行結合。因為人事在編寫人事信息檔案的時候，他們的員工編號可以保證信息的唯一性。如筆者認識一個朋友，他也是搞域管理 的，他們企業的域帳戶名就是全部利用員工編號來編碼的。如SA001表示銷售部門的一個員工，PR001則表示采購部門對一個員工。一方面，員工對自己的 編號也是熟悉的，輸入起來也方便。二是在人事管理系統中需要登記這個信息，而在這個系統中對這個編號也有唯一性的要求。為此，網絡管理員之需要根據人事管 理員提供的資料建議用戶資料即可。

　　不過，有時候企業同時具有郵箱服務器，而這個郵箱服服務器若需要利用活動目錄中的用戶信息的話，則在設計域帳戶的時候，就不能沿用員工編碼。因 為若采用沒有實際含義的員工編碼作為域帳戶的話，有一個非常大的缺陷。就是內部員工可能會清楚這些編碼的含義，但是，若把這些名字當作郵件地址發送給外部 用戶，如客戶或者供應商，則他們看起來好像是讀天書一樣。所以，若活動目錄中用戶名字不僅是登錄域的帳戶名，也是企業員工帶郵件地址的話，則就需要注意， 這個名字編碼的時候，要更加的科學。筆者現在的企業，編碼的時候是員工的名字加部門編碼進行編寫。如pengliang.sa就表示銷售部門的彭亮員工。 加上部門后綴，一方面可以區別員工的身份，另外，還可以有效的避免帳戶名字的重復性。一舉多得，何樂而不為呢。

　　第二：詳細設置用戶信息，對于帳戶管理具有很大的實用價值

　　在建立域用戶的時候，還會讓你輸入用戶的一些詳細信息，如用戶所屬的部門、用戶的中文名字等等。雖然這些信息在輸入帳戶信息的時候，不是必須填寫的選項。但是，筆者在建立帳戶信息的時候，還是會把這些信息填入進去，因為，這些信息其實仍然是很有用的。

　　如就以員工尊稱來說吧。在使用EXCHANGE服務器的時候，若跟活動目錄的組結合，則可以實現郵件群發的功能。那么在郵件群發的時候，我們這 個稱呼如何定義呢?有時候，我們需要在郵件群發的時候，利用尊稱作為開頭的稱呼。此時，我們就可以利用函數，去讀取每個帳戶中的尊稱，而在郵件群發的時 候，實現這個功能。

　　類似的應用還有很多。所以，在建立帳戶的時候，筆者建議，網絡管理員就多敲幾個字，把相關的信息填寫完整。或許，在以后的工作中，就因為平時的這么點時間，就可以給我們的工作帶來很大的方便。

　　第三：為了加強域帳號的安全性，采用賬號鎖定管理

　　在我們使用銀行卡的時候，當我們輸入密碼錯誤連續超過三次的時候，這張卡就會被鎖住。銀行卡用戶若需要使用這張卡的時候，就必須帶上身份證到銀行去重新激活這個卡號。如此的設計，只要是為了保證卡內資金的安全性。

　　在域帳戶管理的時候，為了提高賬戶的安全性，也可以采用這種管理策略。

　　如筆者公司內部有一些比較敏感的賬號，如產品開發部經理的帳戶，他可以訪問企業網絡中的一些比較敏感的資料，如新產品研發計劃、產品外觀設計書 等等。這些資料若一旦泄露出去或者給非法人員進行訪問，可能會給企業打來很大的損失。為此，我們為這些資料設置了比較高的安全策略。從域管理賬戶角度講， 我們就采用了跟銀行卡類似的鎖定管理。當研發經理密碼連續輸入三次錯誤的話，則域控制器會認為有人在試圖猜測他的密碼，所以，會把這個賬戶鎖掉。若研發部 門經理還需要采用這個用戶名的話，則必須重新向網絡管理員申請激活這個賬號，否則的話，被鎖定的帳戶是不能夠再次登陸系統的。

　　故，筆者建議，網絡管理員可以根據自己公司網絡安全要求的不同，也可以采用這個賬號鎖定策略。不過一般來說，沒有必要為所有的帳戶都采用這種管 理方法。因為根據筆者的了解，企業中的大部分員工的帳戶都沒有訪問企業機密信息的權限，所以，對于這種小權限的用戶，就沒有必要采用這么嚴格的安全策略 了。否則的話，網絡管理員是自己找自己的麻煩。而對于一些權限比較大的用戶，或者具有一些敏感資料訪問權限的用戶，則就需要設置這個賬號鎖定策略，可以最 大限度的提高這個賬戶的安全性。

　　第四：把系統升級到2003以上操作系統，便于用戶登錄

　　眾所周知，對于2003以前的操作系統與2003以后的操作系統，在使用域賬戶登陸的方式是不同的。對于2003以前的操作系統來說，必須使用 域全稱才能夠利用域帳戶登陸本機與公司網絡。而對于2003以及2003以后的操作系統，則可以直接采用域賬戶簡稱，也就是說不用后綴即可以登陸到系統以 及企業網絡。

　　對于企業員工來說，他們總希望用戶名簡單一點，這可以提高他們的登陸效率。為此，為了滿足用戶這個小小的要求，最好能夠升級企業的操作系統。如 筆者還是在部署2003的域控制器的時候，公司內部還有少數的98電腦。在采用域控制器網絡管理環境之后，用戶像我反映，每次登錄系統或者網絡都需要輸入 域用戶名的全稱，他們覺得很麻煩，操作起來一點都不方便。他們希望，仍然能夠按照以前的操作，不用輸入@后綴就可以登錄到域環境中去。確實，對于不怎么熟 悉鍵盤的員工，讓他們輸入@這個特殊字符，確實有一點難度。后來筆者就把他們的操作系統升級到了2003。其實，這個過程也很簡單，一般只需要升級操作系 統即可。若覺得升級后操作系統運行速度慢的話，大不了給他們加一點內存，基本可以解決問題。

　　所以，從提高用戶滿意度、提高他們的工作效率出發，筆者還是建議網絡管理員稍微辛苦一點，把所有的2003以前的操作系統，盡量都升級為2003。這一個小小的改進，可以提高用戶的滿意度。這里還需要強調一點，要實用域用戶名簡稱登陸域的話，則必須保證這個域內名字的唯一性。

關鍵字：域控制器、服務器

【 頂部 】 【 關閉 】