域帐户管理实战中的四个建议

 

第一：若没有邮箱服务器，则按人事部门的员工编号进行编码
　　对于域帐户管理中，很关键的一个步骤在于对域帐户如何进行命名，或者说，对于域帐户如何进行编码。
　　对于域帐户的编码来说，一般需要满足三个原则。
　　一是易于输入的原则。因为企业每次登录系统的时候，有时候出于安全性的考虑，都要求企业员工输入域用户名与密码。这跟单机不同。单机有时会为了提高开机效率，可以设置自动登录。但是这个安全性太差，所以，在域用户管理中往往是不采纳的。而是要求用户手工的输入域用户名与密码。此时，就需要我们在设计域用户名的时候，遵循简单的原则，便于用户输入。

　　二是要遵循唯一性原则。虽然，在域名设计中，全名唯一性即可。不过，笔者在域名的设计过程中，还是遵循前缀唯一性的原则。也就是说，在不考虑后缀的前期下，也要保持唯一性。这主要也是为了提高用户输入账户名的效率考虑的。

　　三是在设计名字的过程中，最好不要采用特殊字符，因为特殊字母为大大降低用户名的输入效率。如笔者在域名设计的过程中，有人提议利用英文名加姓的形式定义用户名。如利用jane_zhang的形式在进行命名。但是，笔者发现，“_”这个特殊字母输入不怎么方便。对于经常接触电脑的员工来说，可能比较熟悉;但是对于大部分员工输入这个字符都会有问题。为此，后来我把这个“_”该为“.”号。因为输入_这个符号的话，需要按两个键，而输入“.”号的话，则需要采用一个键。不要小看这一个小小的差别，对于大部分企业员工来说，是一个很大的改善。

　　对于域用户命名的时候，除了要遵守以上三个原则外，还需要考虑实际的应用问题。
　　如企业若在内部没有部署邮箱服务器，或者虽然部署了企业自己的邮箱服务器，但是，没有跟服务器进行有效集成的话，则最好在设计域帐户名字的时候，能够跟人事部门的相关资料进行结合。因为人事在编写人事信息档案的时候，他们的员工编号可以保证信息的唯一性。如笔者认识一个朋友，他也是搞域管理的，他们企业的域帐户名就是全部利用员工编号来编码的。如SA001表示销售部门的一个员工，PR001则表示采购部门对一个员工。一方面，员工对自己的编号也是熟悉的，输入起来也方便。二是在人事管理系统中需要登记这个信息，而在这个系统中对这个编号也有唯一性的要求。为此，网络管理员之需要根据人事管理员提供的资料建议用户资料即可。

　　不过，有时候企业同时具有邮箱服务器，而这个邮箱服服务器若需要利用活动目录中的用户信息的话，则在设计域帐户的时候，就不能沿用员工编码。因为若采用没有实际含义的员工编码作为域帐户的话，有一个非常大的缺陷。就是内部员工可能会清楚这些编码的含义，但是，若把这些名字当作邮件地址发送给外部用户，如客户或者供应商，则他们看起来好像是读天书一样。所以，若活动目录中用户名字不仅是登录域的帐户名，也是企业员工带邮件地址的话，则就需要注意，这个名字编码的时候，要更加的科学。笔者现在的企业，编码的时候是员工的名字加部门编码进行编写。如pengliang.sa就表示销售部门的彭亮员工。加上部门后缀，一方面可以区别员工的身份，另外，还可以有效的避免帐户名字的重复性。一举多得，何乐而不为呢。

第二：详细设置用户信息，对于帐户管理具有很大的实用价值
　　在建立域用户的时候，还会让你输入用户的一些详细信息，如用户所属的部门、用户的中文名字等等。虽然这些信息在输入帐户信息的时候，不是必须填写的选项。但是，笔者在建立帐户信息的时候，还是会把这些信息填入进去，因为，这些信息其实仍然是很有用的。

　　如就以员工尊称来说吧。在使用EXCHANGE服务器的时候，若跟活动目录的组结合，则可以实现邮件群发的功能。那么在邮件群发的时候，我们这个称呼如何定义呢?有时候，我们需要在邮件群发的时候，利用尊称作为开头的称呼。此时，我们就可以利用函数，去读取每个帐户中的尊称，而在邮件群发的时候，实现这个功能。

　　类似的应用还有很多。所以，在建立帐户的时候，笔者建议，网络管理员就多敲几个字，把相关的信息填写完整。或许，在以后的工作中，就因为平时的这么点时间，就可以给我们的工作带来很大的方便。

　　第三：为了加强域帐号的安全性，采用账号锁定管理

　　在我们使用银行卡的时候，当我们输入密码错误连续超过三次的时候，这张卡就会被锁住。银行卡用户若需要使用这张卡的时候，就必须带上身份证到银行去重新激活这个卡号。如此的设计，只要是为了保证卡内资金的安全性。
　　在域帐户管理的时候，为了提高账户的安全性，也可以采用这种管理策略。

　　如笔者公司内部有一些比较敏感的账号，如产品开发部经理的帐户，他可以访问企业网络中的一些比较敏感的资料，如新产品研发计划、产品外观设计书等等。这些资料若一旦泄露出去或者给非法人员进行访问，可能会给企业打来很大的损失。为此，我们为这些资料设置了比较高的安全策略。从域管理账户角度讲，我们就采用了跟银行卡类似的锁定管理。当研发经理密码连续输入三次错误的话，则域控制器会认为有人在试图猜测他的密码，所以，会把这个账户锁掉。若研发部门经理还需要采用这个用户名的话，则必须重新向网络管理员申请激活这个账号，否则的话，被锁定的帐户是不能够再次登陆系统的。 　　故，笔者建议，网络管理员可以根据自己公司网络安全要求的不同，也可以采用这个账号锁定策略。不过一般来说，没有必要为所有的帐户都采用这种管理方法。因为根据笔者的了解，企业中的大部分员工的帐户都没有访问企业机密信息的权限，所以，对于这种小权限的用户，就没有必要采用这么严格的安全策略了。否则的话，网络管理员是自己找自己的麻烦。而对于一些权限比较大的用户，或者具有一些敏感资料访问权限的用户，则就需要设置这个账号锁定策略，可以最大限度的提高这个账户的安全性。

第四：把系统升级到2000以上操作系统，便于用户登录

　　众所周知，对于2000以前的操作系统与2000以后的操作系统，在使用域账户登陆的方式是不同的。对于2000以前的操作系统来说，必须使用域全称才能够利用域帐户登陆本机与公司网络。而对于2000以及2000以后的操作系统，则可以直接采用域账户简称，也就是说不用后缀即可以登陆到系统以及企业网络。

　　对于企业员工来说，他们总希望用户名简单一点，这可以提高他们的登陆效率。为此，为了满足用户这个小小的要求，最好能够升级企业的操作系统。如笔者还是在部署2000的域控制器的时候，公司内部还有少数的98电脑。在采用域控制器网络管理环境之后，用户像我反映，每次登录系统或者网络都需要输入域用户名的全称，他们觉得很麻烦，操作起来一点都不方便。他们希望，仍然能够按照以前的操作，不用输入@后缀就可以登录到域环境中去。确实，对于不怎么熟悉键盘的员工，让他们输入@这个特殊字符，确实有一点难度。后来笔者就把他们的操作系统升级到了2000。其实，这个过程也很简单，一般只需要升级操作系统即可。若觉得升级后操作系统运行速度慢的话，大不了给他们加一点内存，基本可以解决问题。

　　所以，从提高用户满意度、提高他们的工作效率出发，笔者还是建议网络管理员稍微辛苦一点，把所有的2000以前的操作系统，尽量都升级为2000。这一个小小的改进，可以提高用户的满意度。

　　不过，这里还需要强调一点，要实用域用户名简称登陆域的话，则必须保证这个域内名字的唯一性。这在上篇的域账户管理原理中笔者也举例说明了其中的原因，这里就不做过多的阐述了。