域用戶(hù)本地管理員權(quán)限控制系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)

摘 要：武器裝備科研生產(chǎn)單位保密資格認(rèn)證要求企業(yè)內(nèi)部涉密網(wǎng)絡(luò)普通域用戶(hù)不應(yīng)具有本地管理員權(quán)限，用戶(hù)安裝軟件需要經(jīng)過(guò)審批由系統(tǒng)管理員授權(quán)，使用完再由系統(tǒng)管理員取消授權(quán)，但在實(shí)際操作中由于用戶(hù)安裝軟件的時(shí)間不可控，無(wú)法做到閉環(huán)管理。本文結(jié)合本單位的實(shí)際需求，利用活動(dòng)目錄服務(wù)接口技術(shù)，設(shè)計(jì)了域用戶(hù)本地管理員權(quán)限控制系統(tǒng)，通過(guò)該系統(tǒng)管理員無(wú)需登錄活動(dòng)目錄平臺(tái)，就可實(shí)現(xiàn)域用戶(hù)軟件安裝權(quán)限的自動(dòng)添加和刪除，極大地提高了工作效率，具有一定的參考價(jià)值。

關(guān)鍵詞：活動(dòng)目錄；域用戶(hù)；活動(dòng)目錄服務(wù)接口；權(quán)限控制系統(tǒng)

中圖分類(lèi)號(hào)：TP316

各科研單位內(nèi)部涉密網(wǎng)絡(luò)大多采用活動(dòng)目錄管理平臺(tái)，通過(guò)該平臺(tái)實(shí)現(xiàn)了信息資源的統(tǒng)一管理和共享[1]，但該平臺(tái)在域用戶(hù)本地管理員權(quán)限控制方面無(wú)法做到權(quán)限的自動(dòng)添加和刪除。為了滿(mǎn)足武器裝備科研生產(chǎn)單位保密資格認(rèn)證要求，各科研單位內(nèi)部涉密網(wǎng)絡(luò)普通域用戶(hù)默認(rèn)取消本地管理員權(quán)限，用戶(hù)安裝軟件需要經(jīng)過(guò)審批后，由系統(tǒng)管理員登錄活動(dòng)目錄平臺(tái)授權(quán)，人工操作效率低維護(hù)量大，而且無(wú)法做到權(quán)限的閉環(huán)管理。在這樣的需求背景下，開(kāi)發(fā)了域用戶(hù)本地管理員權(quán)限控制系統(tǒng)，以快速高效的實(shí)現(xiàn)涉密網(wǎng)絡(luò)域用戶(hù)本地管理員授權(quán)及權(quán)限到期自動(dòng)刪除。

1 系統(tǒng)功能及設(shè)計(jì)思路

1.1 系統(tǒng)功能

系統(tǒng)由服務(wù)端和客戶(hù)端程序組成，服務(wù)端程序采用B/S（Browser/Server）結(jié)構(gòu)，系統(tǒng)管理員通過(guò)登錄驗(yàn)證，實(shí)現(xiàn)普通域用戶(hù)本地管理員權(quán)限的添加、刪除和查詢(xún)；客戶(hù)端采用C/S（Client/Server）結(jié)構(gòu)，實(shí)現(xiàn)普通域用戶(hù)本地管理員授權(quán)到期權(quán)限的自動(dòng)刪除。

1.2 設(shè)計(jì)思路

系統(tǒng)管理員通過(guò)身份驗(yàn)證進(jìn)入系統(tǒng)，輸入域用戶(hù)名、授權(quán)日期、授權(quán)周期或撤銷(xiāo)日期等字段，系統(tǒng)自動(dòng)獲取域用戶(hù)在活動(dòng)目錄層次結(jié)構(gòu)數(shù)據(jù)庫(kù)中的顯示名、所屬部門(mén)等信息，然后將授權(quán)信息錄入到授權(quán)信息數(shù)據(jù)庫(kù)中，同時(shí)把該域用戶(hù)自動(dòng)加入到活動(dòng)目錄的本地管理員組，這樣就實(shí)現(xiàn)了權(quán)限的添加。遍歷授權(quán)信息數(shù)據(jù)庫(kù)中的所有記錄，刪除撤銷(xiāo)日期與今天日期匹配的記錄，同時(shí)在活動(dòng)目錄中移除這些域用戶(hù)的本地管理員權(quán)限，這樣就實(shí)現(xiàn)了權(quán)限的批量刪除。

2 系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)

本系統(tǒng)以Microsoft Visual Studio 2008為開(kāi)發(fā)平臺(tái)，以Microsoft SQL Server 2000為數(shù)據(jù)庫(kù)，使用C#編程語(yǔ)言，利用活動(dòng)目錄服務(wù)接口技術(shù)[1]，按照軟件設(shè)計(jì)規(guī)范開(kāi)發(fā)的。

2.1 服務(wù)端程序的設(shè)計(jì)與實(shí)現(xiàn)

系統(tǒng)管理員進(jìn)入域用戶(hù)本地管理員權(quán)限系統(tǒng)登錄頁(yè)面，輸入具有管理權(quán)限的域用戶(hù)名和密碼，驗(yàn)證成功，進(jìn)入本地管理員授權(quán)列表，列表顯示出已授權(quán)域用戶(hù)信息，如圖1所示。在該頁(yè)面可以添加授權(quán)、刪除授權(quán)和查詢(xún)授權(quán)。

圖1 域用戶(hù)本地管理員列表

（1）添加授權(quán)：點(diǎn)擊“添加授權(quán)”按鈕，輸入域用戶(hù)名，域控服務(wù)器中若存在此域用戶(hù)，系統(tǒng)會(huì)自動(dòng)獲取該域用戶(hù)的顯示名和所屬部門(mén)，然后錄入授權(quán)日期、授權(quán)期限或撤銷(xiāo)日期等信息，單擊“確定”按鈕，本地管理員權(quán)限添加完成。當(dāng)該域用戶(hù)已經(jīng)屬于本地管理員組時(shí)，系統(tǒng)會(huì)提示該域用戶(hù)已經(jīng)屬于本地管理員組。添加完本地管理員，在活動(dòng)目錄平臺(tái)該域用戶(hù)隸屬于項(xiàng)中多了一項(xiàng)Local Admin Group。

（2）刪除授權(quán)：?jiǎn)螕簟皠h除授權(quán)”按鈕，彈出刪除確認(rèn)窗口，單擊“確定”按鈕，本地管理員權(quán)限刪除完成，在活動(dòng)目錄平臺(tái)該域用戶(hù)隸屬于項(xiàng)中少了一項(xiàng)Local Admin Group。

（3）查詢(xún)授權(quán)：在查詢(xún)框中輸入域用戶(hù)名，單擊“搜索”按鈕，可搜索到該域用戶(hù)的授權(quán)記錄，單擊“清空”按鈕，可搜索所有授權(quán)的用戶(hù)記錄。

2.2 客戶(hù)端程序的設(shè)計(jì)與實(shí)現(xiàn)

批量刪除授權(quán)：將客戶(hù)端程序編譯成可執(zhí)行文件，在域控服務(wù)器上設(shè)置任務(wù)計(jì)劃，每天定期執(zhí)行該任務(wù)，系統(tǒng)會(huì)自動(dòng)刪除授權(quán)到期域用戶(hù)的本地管理員權(quán)限。

2.3 數(shù)據(jù)庫(kù)設(shè)計(jì)

該系統(tǒng)涉及到兩個(gè)數(shù)據(jù)表，分別是系統(tǒng)登錄驗(yàn)證表和系統(tǒng)授權(quán)信息表。系統(tǒng)登錄驗(yàn)證表存儲(chǔ)系統(tǒng)登錄用戶(hù)等相關(guān)信息，系統(tǒng)授權(quán)信息表存儲(chǔ)授權(quán)相關(guān)的字段，字段設(shè)置如表1。

表1 系統(tǒng)授權(quán)信息表

字段名類(lèi)型長(zhǎng)度默認(rèn)值描述

idint4 內(nèi)部id號(hào)

accountnamevarchar20 域用戶(hù)

displaynamevarchar50 顯示名

departmentvarchar50 所屬部門(mén)

proposervarchar20 申請(qǐng)人

startdatedatetime8 授權(quán)日期

enddatedatetime 撤銷(xiāo)日期

periodvarchar20一周授權(quán)期限

opevarchar20 操作人

isgroupint40是否為本地管理員（0-否1-是）

distnamevarchar300 OU完整路徑名

flagint41權(quán)限加入方式（0-后臺(tái)1-系統(tǒng)）

3 系統(tǒng)關(guān)鍵技術(shù)分析

3.1 活動(dòng)目錄信息提取

該系統(tǒng)需要提取活動(dòng)目錄層次結(jié)構(gòu)的數(shù)據(jù)信息，使用GetUserDeptName等方法獲取域用戶(hù)中文顯示名和所屬部門(mén)等信息[2]。

static public string GetUserDisplayName（string sAMAccountName）

{ string s；

DirectoryEntry entry=new DirectoryEntry（）；

DirectorySearcher ds=new DirectorySearcher（entry）；

ds.Filter=\"（（（objectCategory=person）（objectClass=user））（sAMAccountName=\"+sAMAccountName+\"））\"；

ds.PropertiesToLoad.Add（\"displayName\"）；

ds.SearchScope=SearchScope.Subtree；

try

{SearchResult result=ds.FindOne（）；

s=result.GetDirectoryEntry（）.InvokeGet（\"displayName\"）.ToString（）；

return（s）；

}

}

3.2 本地管理員權(quán)限添加代碼

系統(tǒng)將指定域用戶(hù)添加到Local Admin Group中，使用了AddUserToGroup方法。

public static void AddUserToGroup（string sAMAccountName，string groupName）

{

DirectoryEntry oGroup=GetDirectoryEntryOfGroup（groupName）；

DirectoryEntry oUser=GetDirectoryEntry（sAMAccountName）；

Group.Properties[\"member\"].Add（oUser.Properties[\"distinguishedName\"].Value）；

oGroup.CommitChanges（）；

oGroup.Close（）；

oUser.Close（）；

}

3.3 本地管理員權(quán)限刪除代碼

系統(tǒng)將指定域用戶(hù)從Local Admin Group組中刪除，使用了RemoveUserFromGroup方法。

public static void RemoveUserFromGroup（string sAMAccountName，string groupName）

{

DirectoryEntry oGroup=GetDirectoryEntryOfGroup（groupName）；

DirectoryEntry oUser=GetDirectoryEntry（sAMAccountName）；oGroup.Properties[\"member\"].Remove（oUser.Properties[\"distinguishedName\"].Value）；

oGroup.CommitChanges（）；

oGroup.Close（）；

oUser.Close（）；

}

4 結(jié)束語(yǔ)

該系統(tǒng)用戶(hù)界面友好、操作簡(jiǎn)單，具有良好的擴(kuò)展性，自投入實(shí)際運(yùn)行，極大地提高了辦公效率，減低了維護(hù)成本，同時(shí)保證了域用戶(hù)授權(quán)信息的準(zhǔn)確性。而且該系統(tǒng)可與單位的辦公自動(dòng)化系統(tǒng)中各項(xiàng)審批表單集成，實(shí)現(xiàn)電子審批的閉環(huán)管理。

參考文獻(xiàn)：

[1]潘景新.應(yīng)用ADSI實(shí)現(xiàn)Windows賬戶(hù)與權(quán)限的批量管理[J].韶關(guān)學(xué)院學(xué)報(bào)，2008（09）.

[2]鄭小長(zhǎng).基于ADSI技術(shù)的網(wǎng)絡(luò)考試系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)[J].福建電腦，2012（09）.

作者簡(jiǎn)介：祝鳳杰（1978-），女，黑龍江齊齊哈爾人，工程師，學(xué)士學(xué)位，研究方向：計(jì)算機(jī)軟件開(kāi)發(fā)、信息安全技術(shù)研究；范輝華（1974-），男，湖北武漢人，高級(jí)工程師，碩士，研究方向：計(jì)算機(jī)軟件開(kāi)發(fā)、信息安全技術(shù)研究。

作者單位：武漢第二船舶設(shè)計(jì)研究所，武漢 430064