數(shù)據(jù)文件共享
數(shù)據(jù)文件共享 就是指這些文檔、電子表格、圖形和影象掃描文檔的存儲、分類和檢索。文檔管理的關(guān)鍵問題就是解決文檔的存儲、文檔的安全管理、文檔的查找、文檔的在線查看、文檔的協(xié)作編寫及發(fā)布控制等問題。文檔管理在法律事務(wù)所、保險公司、政府財政部門、廣告代理公司和其它具有大量書面文件或影象操作活動的商業(yè)領(lǐng)域中應(yīng)用廣泛。
在各類解決方案中,方便執(zhí)行聯(lián)動性比較好的解決方案是為圖案的AD域控制器 (AD),它是基于WINDOWS的局域網(wǎng)中網(wǎng)絡(luò)管理模式。
文檔及數(shù)據(jù)是企業(yè)重要的智力資產(chǎn),在企業(yè)中文檔一般都以電子文檔的形式存在,比如CAD,UG,微軟.doc格式,xls格式,ppt格式,pdf格式,純文本.txt格式等;從內(nèi)容上,可能是商務(wù)合同、會議記錄、產(chǎn)品手冊、客戶資料、設(shè)計文檔、推廣文案、競爭對手資料、項目文檔、經(jīng)驗心得等。這些文檔可能是過程性質(zhì)的,也可能是公司正式發(fā)布的文檔,可能處在編寫階段,也可能是已經(jīng)歸檔不能再修改的。文檔的狀態(tài)包括草稿、正式、鎖定、作廢、歸檔、刪除等。
AD域控制器是大中型網(wǎng)絡(luò)的管理模式,是典型的以用戶為單位的管理模式。在硬件上有獨立的DC服務(wù)器(域控制器)管理用戶的登錄。在這個網(wǎng)絡(luò)里,真正具有絕對管理權(quán)限的只有域賬戶的administrator用戶。他可以授權(quán)其他用戶相關(guān)的權(quán)限以進行域的操作,同時也可以定義FS(文件服務(wù)器)上的哪些文件被哪些特定域用戶所共享。同時,在加入域的客戶端計算機上的域用戶也不再具有計算機的管理員權(quán)限(默認(rèn)是這樣,但是可以被域管理員賦予本地管理員權(quán)限)。創(chuàng)建AD,就是將一臺網(wǎng)內(nèi)的服務(wù)器(必須是win server系統(tǒng))提升為域控制器,并創(chuàng)建域用戶。然后將網(wǎng)內(nèi)其它計算機加入這個域的一個完整過程。
數(shù)據(jù)文件共享 - AD域控制器的優(yōu)點
基于策略的管理
- 在AD域控制器的目錄服務(wù)包括數(shù)據(jù)存儲以及邏輯分層結(jié)構(gòu)。邏輯結(jié)構(gòu)為策略應(yīng)用程序提供上下文分層結(jié)構(gòu)。目錄存儲指定給特定上下文的策略(稱為組策略)。組策略表達一組業(yè)務(wù)規(guī)則,它包含應(yīng)用于上下文的設(shè)置,它可確定對目錄對象和域資源的訪問、用戶可使用哪些域資源(諸如應(yīng)用程序),以及這些域資源是如何配置的。例如,組策略可確定用戶登錄后在計算機上可看到哪些應(yīng)用程序,當(dāng) Microsoft SQL Server 在服務(wù)器上啟動時,有多少用戶可與其連接,以及當(dāng)文檔或服務(wù)移至不同部門或組時,用戶可訪問哪些內(nèi)容。組策略使得只需管理少數(shù)策略,而不是大量用戶和計算機。AD域控制器可以將組策略應(yīng)用于適當(dāng)?shù)纳舷挛?,而不管它是整個組織還是組織中的某些單位
擴展性
- AD域控制器共享是可擴展的,這意味著管理員可以將對象的新類添加到規(guī)劃中,而且還可以將新屬性添加到已有的對象類中。例如,可以將“定期訪問權(quán)限”屬性添加到用戶對象類型中,而后將每個用戶的定期訪問權(quán)限制作為用戶賬戶進行存儲。
- 可以使用AD域控制器規(guī)劃插件或通過創(chuàng)建基于 ADSI、LDIFDE 或CSVDE 命令行實用程序的腳本將對象和屬性添加到目錄中。
可調(diào)整性
- AD域控制器共享可包括一個或多個域,每個域都帶有一個或多個域控制器,這使得管理員可調(diào)整目錄以便滿足任何網(wǎng)絡(luò)的要求。多個域可組合成域目錄樹或目錄森林。
- AD域控制器將規(guī)劃和配置信息分配給目錄中的所有域控制器。該信息存儲在初始域控制器中,而且可復(fù)制到目錄中任何其他域控制器中。當(dāng)目錄配置成單域時,添加域控制器可在上部管理不涉及其他域的情況下調(diào)整目錄。
- 將目錄配置成域目錄樹或森林,使得管理員可以針對不同上下文策略對目錄的名稱空間進行分區(qū),并調(diào)整目錄使其容納大量資源和對象。
信息復(fù)制
- AD域控制器使用多主復(fù)制。目錄存儲在初始域控制器中并可復(fù)制到域、域目錄樹或域森林的每個域中。對目錄數(shù)據(jù)所做的更改將復(fù)制到所有域控制器中。每個域控制器存儲和保留一個目錄的完整副本。
- 信息復(fù)制提供了有效性、容錯和加載平衡等優(yōu)點。在一個域中分派多個域控制器可提供容錯和加載平衡。如果域中的某個域控制器減慢、停止或失敗,同一域中的其他域控制器可提供必要的目錄訪問,其原因是它們包含著相同的目錄數(shù)據(jù)。域中的多個節(jié)點可提高目錄的性能。在廣域網(wǎng)(WAN)中,目錄訪問可由與每個網(wǎng)絡(luò)客戶機最近的域控制器執(zhí)行。
與 DNS 的集成
- 使用 DNS可以很容易地將可讀主機名稱,諸如 beijing.kangbo.com 翻譯成數(shù)字式 TCP/IP 地址。這樣就可以在 TCP/IP 網(wǎng)絡(luò)上直接使用計算機和用戶的名稱進行網(wǎng)絡(luò)連接。
- DNS域和計算機使用分層結(jié)構(gòu)的“友好”名稱。例如,lwh.kangbo.com 既是 DNS 也是Windows 2000域名。域名是以DNS分層命名結(jié)構(gòu)為基礎(chǔ)的,這是一個顛倒的目錄樹結(jié)構(gòu):首先是單個根域,以下可以是父域和子域(枝和葉)。例如,諸如 wj.lwh.kangbo.com的Windows 2000域名識別名為wj的域,此域是名為lwh域的一個子域,而lwh域自身又是根域kangbo.com的一個子域。
- 域中的每臺計算機依*其完整的合格域名識別。例如,位于 wj.lwh.kangbo.com 域中計算機的完整合格域名應(yīng)是 computername.wj.lwh.kangbo.com。
與其他目錄服務(wù)的內(nèi)部操作
- 由于AD域控制器 是基于工業(yè)標(biāo)準(zhǔn)的目錄訪問協(xié)議,它可以和使用諸如 Lightweight Directory Access Protocol (LDAP)和Name Service Provider Interface (NSPI)協(xié)議的其他目錄服務(wù)實現(xiàn)內(nèi)部操作。
- LDAP是用于查詢和檢索AD域控制器信息的目錄訪問協(xié)議,由于它是基于工業(yè)標(biāo)準(zhǔn)的目錄服務(wù)協(xié)議,使用 LDAP 的程序可以與其他目錄服務(wù)共享活動目錄信息,這些目錄服務(wù)同樣支持LDAP。
- NSPI協(xié)議用于 Microsoft Exchange Server和客戶機,AD域控制器對其進行支持以便為交換目錄提供兼容性。
靈活的查詢
- 用戶和管理員可使用搜索工具快速查找網(wǎng)絡(luò)上的對象并設(shè)置對象屬性,例如,名、姓、Email地址、辦公室位置或用戶賬戶的其他屬性。也可通過使用AD域控制器 生成的全局目錄優(yōu)化查找信息。
信息安全性
- 安全性與AD域控制器完全集成在一起,不僅可以針對目錄中的每個對象定義訪問控制,還可對其每種屬性進行操作。權(quán)限指定哪些組用戶可以查看或使用對象,以及可針對對象進行何種操作。例如,某個人可能具有更改對象屬性的權(quán)限,另一個人則可能只具有查看權(quán)限,而第3個人則可能根本沒有查找對象的權(quán)限??梢允谟鑼ο蟮膯蝹€屬性進行選擇性訪問的權(quán)限。例如,可以授予所有用戶查看網(wǎng)絡(luò)中用戶姓名和電話號碼的權(quán)限,而與此同時卻限制對用戶對象所有其他屬性的訪問。默認(rèn)情況下,權(quán)限是可繼承的。指定給某特定對象的權(quán)限會自動應(yīng)用于該對象的所有子對象。
- AD域控制器為安全策略提供應(yīng)用程序的存儲和范圍。安全策略可以包括賬戶信息,諸如域的密碼限制或?qū)δ程囟ㄓ蛸Y源的權(quán)利。安全策略通過組策略來執(zhí)行。管理員可將某些特殊管理權(quán)利分派到其他個人或組。這種權(quán)限分派允許明確誰具有管理部分網(wǎng)絡(luò)的權(quán)限??梢詫⑻厥獠糠值墓芾矸峙山o單個管理員,而不必?fù)碛袑Υ蟛糠志W(wǎng)絡(luò)具有廣泛權(quán)限的管理員。
域管理的優(yōu)點
權(quán)限管理比較集中,管理成本大大下降。
- 域環(huán)境,所有網(wǎng)絡(luò)資源,包括用戶,均是在域控制器上維護,便于集中管理。所有用戶只要登入到域,在域內(nèi)均能進行身份驗證,管理人員可以較好的管理計算機資源,管理網(wǎng)絡(luò)的成本大大降低。
- 防止公司員工在客戶端亂裝軟件, 能夠增強客戶端安全性、減少客戶端故障,降低維護成本。
安全性加強
- 有利于企業(yè)的一些保密資料的管理,比如說某個盤某個人可以進,但另一個人就不可以進;哪一個文件只讓哪個人看;或者讓某些人可以看,但不可以刪/改/移等。
可以封掉客戶端的USB端口,防止公司機密資料的外泄。 - 使用漫游賬戶和文件夾重定向技術(shù),個人賬戶的工作文件及數(shù)據(jù)等可以存儲在服務(wù)器上,統(tǒng)一進行備份、管理,用戶的數(shù)據(jù)更加安全、有保障。當(dāng)客戶機故障時,只需使用其他客戶機安裝相應(yīng)軟件以用戶帳號登錄即可,用戶會發(fā)現(xiàn)自己的文件仍然在“原來的位置”(比如,我的文檔),沒有丟失,從而可以更快地進行故障修復(fù)。
- 卷影副本技術(shù)可以讓用戶自行找回文件以前的版本或者誤刪除的文件(限保存過的32個版本)。在服務(wù)器離線時(故障或其他情況),“脫機文件夾”技術(shù)會自動讓用戶使用文件的本地緩存版本繼續(xù)工作,并在注銷或登錄系統(tǒng)時與服務(wù)器上的文件同步,保證用戶的工作不會被打斷。
- 方便用戶使用各種資源。可由管理員指派登錄腳本映射分布式文件系統(tǒng)根目錄,統(tǒng)一管理。用戶登錄后就可以像使用本地盤符一樣,使用網(wǎng)絡(luò)上的資源,且不需再次輸入密碼,用戶也只需記住一對用戶名/密碼即可。
- 各種資源的訪問、讀取、修改權(quán)限均可設(shè)置,不同的賬戶可以有不同的訪問權(quán)限。即使資源位置改變,用戶也不需任何操作,只需管理員修改鏈接指向并設(shè)置相關(guān)權(quán)限即可,用戶甚至不會意識到資源位置的改變,不用像從前那樣,必須記住哪些資源在哪臺服務(wù)器上。
- SMS(System Management Server)能夠分發(fā)應(yīng)用程序、系統(tǒng)補丁等,用戶可以選擇安裝,也可以由系統(tǒng)管理員指派自動安裝。并能集中管理系統(tǒng)補?。ㄈ鏦indows Updates),不需每臺客戶端服務(wù)器都下載同樣的補丁,從而節(jié)省大量網(wǎng)絡(luò)帶寬。
微信掃碼 | 加入我們
相關(guān)案例:
2021-煜企智能提供Kubernetes虛擬化與云計算解決方案