Active Directory(AD)由一组逻辑和物理组件组成，提供集中管理和存储组织的用户对象、计算机对象、组成员关系和安全边界的逻辑数据结构。

什么是活动目录域控制？AD域控制是基于轻量级目录访问协议，对企业网络中的资源(用户、计算机、服务器、数据库、共享文件、共享打印机等)进行合理、安全、高效的管理。一般来说，就是解决单点登录，简化认证，完成不同用户资源之间的共享，集中管理办公室资源。与以前在很多客户端重复的设置一样，只需在域控制器上设置一次，即可减少管理员的工作量，降低企业IT环境的维护成本。

企业部署AD域控制是提高IT桌面支持效率的重要技术手段，它可以集中桌面管理、标准化客户端软件、标准化对企业内多个部门和用户的数据存储和共享访问、提高用户的便利性和高效协作，以及增强企业IT环境的可靠性和安全性。

用户桌面管理集中化通过将企业中的所有客户端计算机集成到域控制中，对这些计算机和用户进行统一管理。为了规范计算机名称、用户帐户管理，系统采用统一的命名规范，每台计算机在网络内有唯一的计算机名称，每台用户在网络内有唯一的登录名，用户帐户在所属部门的目录中创建，明确部门架构，便于以后的维护和管理。

1)客户端台式机、IE和系统设置的集成配置

2)用户名、计算机名使用标准化命名

3)使用所有域中发布的资源的一次性登录权限

4)为用户映射公共磁盘、部门磁盘、专用磁盘

5)对用户使用PowerUser/Users组权限，并将操作所需的特殊权限要求调整为Administrators权限

6)自动部署、升级和删除应用程序

7)设置密码安全策略并定期更改密码

8)禁止未经授权安装和操作软件

9)禁止未经授权更改计算机和IP

10)禁止未经授权添加/删除应用程序、更改系统配置

十一)其他战略和管理措施

客户端软件标准化客户端软件标准化有助于有效避免软件和应用程序的验证、可靠性、业务要求、版权授权、软件带来的潜在IT问题和版权带来的法律风险。

1)为部门、特定用户(包括操作系统、防病毒软件、OA软件、工具软件等)创建标准软件安装和配置列表。今后，对于业务所需的特殊软件，必须向情报部门提出申请，获得同意后才能安装。对于移动用户或出差员工，请安装VPN客户端。

2)客户端软件统计数据：根据办公室/生产所需应用程序的统计数据清点标准软件

3)客户端软件配置：根据企业的实际IT情况，对计算机名称、操作系统、办公软件、防病毒、其他IT应用程序软件和程序进行统一配置和规范说明，管理员可以安装或安装软件，最终用户无权安装系统和应用程序。

数据集中存储和共享对公司的数据进行统一存储和共享，对不同部门和用户的共享资料进行不同管理要求的文件权限管理，共享资料在域环境中更加可靠。权限审核从根本上解决了局域网共享无法访问服务器的情况。

1)通过组策略/脚本和文件夹重定向，实施指向文件服务器共享文件夹User-Data(X驱动器)的“我的文档”目录，在文件服务器上进行集成管理和存储用户个人数据。

2)在文件服务器共享部门公共文件目录Dept-Data(Y盘)中专门存放部门内的公共共享文件，限制部门工作人员只能查看该部门的文件夹。

3)文件服务器共享公司公共文件目录PUB-数据(Z盘)中专门保存公司公共文件。

4)在服务器上计划分区，为分区设置磁盘配额，从而合理利用磁盘空间。

5)部署分布式文件系统(DFS)，允许用户从多台服务器访问文件，而无需知道存储文件的服务器。

内部网安全和企业防病毒1、确保内部网安全系统。

集中管理所有计算机和用户，控制用户权限的使用，防止病毒、特洛伊木马和恶意程序造成的损坏和传播。说话的话，AD域控制就像为一栋建筑物安排警卫一样。注册认证通过后才能允许。

许你进入，没有通过的只能徘徊在门外。极大的增加了公司内部的安全性！

1) 逐步改变桌面终端设备维护的随意性和不规范，推行按照规范的流程与技术要求开展内网安全建设工作。

2) 制定桌面终端安全制度，强调桌面终端的安全运行，尽量做到桌面终端管理深化、细化、责任到人。

3) 实现桌面终端安全访问、病毒防范、安全接入、补丁更新等安全策略的标准化管理。

4) 周期性对桌面终端运行状态的数据采集、分析、统计等，对不符合规定的找出具体的原因并提供解决措施。

二、企业防病毒

在企业内部部署控制中心和企业版终端进行统一升级与更新，可以极大的节省总出口带宽，企业版终端根据控制中心制定的安全策略，进行体检、杀毒和修复漏洞等安全操作。

1) 按企业安装指定的企业防病毒软件或使用360企业版

2) 下发统一杀毒、修复漏洞等策略，确保终端安全

3) 对安全防护集中控制与统一管理，全面掌控企业内部安全

4) 降低企业总带宽出口，提升网络应用率

总结：

根据以上可以看出，加域的好处不仅仅是统一认证，而是信息架构和系统管理的统一，统一意味着简化，意味着故障点少，意味着管理成本低，意味着木桶的所有木板都一样长。企业防病毒系统能力就会得到充分发挥，因为他既是完整的防病毒系统，也是一个统一的系统，如此才能全面的管理和防控。

所以，你认为企业需不需要部署AD域控呢？（欢迎评论回复）

---

• 绿层IT：领先的企业级IT服务商。
• ID：green_admin
• 版权作品，未经绿层IT授权，严禁转载，违者将被追究法律责任