域服務器部署方案一、網絡對辦公環(huán)境造成的危害隨著Internet 接入的普及和帶寬的增加，一方面員工上網的條件得到改善，另一方面也給公司帶來更高的網絡使用危險性、復雜性和混亂，內部員工的不當操作等使信

域服務器部署方案

一、網絡對辦公環(huán)境造成的危害

隨著Internet 接入的普及和帶寬的增加，一方面員工上網的條件得到改善，另一方面也給公司帶來更高的網絡使用危險性、復雜性和混亂，內部員工的不當操作等使信息維護人員疲于奔命。網絡對辦公環(huán)境造成的危害主要表現為：

1. 為給用戶電腦提供正常的標準的辦公環(huán)境，安裝操作系統(tǒng)和應用軟件已經耗費了信息管理中心人員一定的精力和時間，同時又難以限制用戶安裝軟件，導致管理人員必須花費其50以上的精力用于維護用戶的PC 系統(tǒng)，無法集中精力去開發(fā)信息系統(tǒng)的深層次功能，提升信息系統(tǒng)價值。

2. 由于使用者的防范意識普遍偏低，防毒措施往往不到位，一旦發(fā)生病毒感染，往往擴散到全網絡，令網絡陷于癱瘓狀態(tài)，部分致命的蠕蟲病毒利用TCP/IP協議的各種漏洞，使得木馬、病毒傳播迅速，影響規(guī)模大，導致網絡長時間處于帶毒運行，反復發(fā)作而維護人員。

3. 部分網站網頁含有惡意代碼，強行在用戶電腦上安裝各種網絡搜索引擎插件、廣告插件或中文域名插件等，增加了辦公電腦大量的資源消耗，導致計算機反應緩慢；

4. 個別員工私自安裝從網絡下載安裝的軟件，這些從網絡上下載的軟件安裝包多數附帶各種插件、木馬和病毒，并在安裝過程中用戶不知情的情況下強行安裝在辦公電腦上，增加了辦公電腦大量的資源消耗，導致計算機反應緩慢，甚至被遠程控制；

5. 局域網共享，包括默認共享（無意），文件共享（有意），一些病毒比如ARP 通過廣播四處泛濫，影響到整個片區(qū)辦公電腦的正常工作；

6. 部分員工使用公司計算機上網聊天、聽歌、看電影、打游戲，部分員工全天24小時啟用P2P 軟件下載音樂和影視文件，由于flashget 、迅雷和BT 等軟件并發(fā)線程多，導致大量帶寬被部分員工占用，網絡速度緩慢，導致應用軟件系統(tǒng)無法正常開展業(yè)務，即便是嚴格的計算機使用管理制度也很難保障企業(yè)中的計算機只用于企業(yè)業(yè)務本身，PC 的業(yè)務專注性、管控能力不強。

二、網絡管理和維護策略

針對以上這些因素，我們可以通過域服務器來統(tǒng)一定義客戶端機器的安全策略，規(guī)范，引導用戶安全使用辦公電腦。

域服務器的作用

1. 安全集中管理 統(tǒng)一安全策略

2. 軟件集中管理 按照公司要求限定所有機器只能運行必需的辦公軟件。

3. 環(huán)境集中管理 利用AD 可以統(tǒng)一客戶端桌面,IE,TCP/IP等設置

4. 活動目錄是企業(yè)基礎架構的根本，為公司整體統(tǒng)一管理做基礎 其它isa,exchange, 防病毒服務器，補丁分發(fā)服務器，文件服務器等服務依賴于域服務器。

建立域管理

1，建立域控制器，并規(guī)定所有辦公電腦必須加入域，接受域控制器的管理，同時嚴格控制用戶的權限。汕尾發(fā)電廠的員工帳號只有標準user 權限。不允許信息系統(tǒng)管理員泄露域管理員密碼和本地管理員密碼。

在如今各種流氓插件、廣告插件、木馬和病毒霸道橫行的網絡環(huán)境中，普通員工只具備標準的power user權限，實際上是對公環(huán)境有效的保護。

辦公PC 必須嚴格遵守OU 命名規(guī)則，同時實現實名負責制。指定員工對該

PC 負責，這不但是固定資產管理的要求，也是網絡安全管理的要求。對PC 實施員工實名負責是至關重要的，一旦發(fā)現該員工電腦中毒和在廣播病毒包，信息系統(tǒng)管理員能準確定位，迅速做出反應，避免擴大影響。

2：PC 維護包干到戶。

管理員在實際工作中可能存在拿本地管理員權限作為人情，這其實是一種自殺行為。任何一個具備管理管理員權限的員工，即使是管理員，使用Administrator 權限上網，稍有不慎，便掉入網絡陷阱。為避免這種情況，對PC 維護人員，采取區(qū)域包干到戶的管理，同時區(qū)域負責人的域用戶帳號具備該區(qū)域內所有辦公電腦本地管理員的權限；如果區(qū)域負責人他愿意增加本地電腦管理員權限，增加的風險和工作量將由他自己承擔。所有辦公電腦的本地管理員密碼由域控制器負責人掌握、設定或變更。

3：在防火墻上只開放常用或業(yè)務系統(tǒng)需要的端口，如80、25、21、110、443，其它端口一律封鎖，有效實施對P2P 和BT 軟件的封鎖。

4：接入網絡的計算機必須接受信息中心的管理。通過在防火墻上設置相關的策略，允許經信息中心核準的某些IP 組可以在本機上直接訪問Internet ，或某些IP 組只能連接局域網的應用服務器，對于不遵守OU 命名規(guī)則的機器IP 和沒有經過信息系統(tǒng)管理員授權的機器IP ，不允許訪問Internet 和Intranet ，只能單機使用。

5：建立WSUS 服務器。WSUS 是微軟推出的免費的Windows 更新管理服務，目前最新版本除了支持Windows 系統(tǒng)（Windows 2000全系列、Windows XP 全系列和Windows server 2003全系列）的更新管理外，還可以支持SQL Server 、Exchange 2000/2003、Office XP/2003等系統(tǒng)的更新管理，并且在以后，WSUS 將實現微軟全系列產品的更新管理。在域服務器上通過組策略設定客戶端PC 的自動更新服務，。

6：建立防病毒服務器（比如諾頓），通過防病毒及時更新計算機的病毒庫，增強整體的病毒抵御能力，及時消滅網內病毒。

7：啟用組策略。檢查用戶的計算機是否具備了相應的安全策略。只有符合相應的安全策略的計算機才允許訪問外部網絡，不具備相應安全條件的用戶計算機，不允許上網。這樣從根本上提高了企業(yè)用戶計算機的安全性，減少了企業(yè)用戶遭受蠕蟲、病毒、木馬以及間諜軟件的風險。

8：主干設備上做數據過濾，屏蔽掉非辦公應用的數據流。

9：使用DameWare NT Utilities軟件進行遠程維護，實現快速的維護響應。 10：借助于入侵檢測防御系統(tǒng)，使得管理員可以根據記錄進行統(tǒng)計分析，發(fā)現有潛在危險的辦公計算機，可以有針對性地進行預防性檢查。

整體規(guī)劃：

最上面是單域zhongyu.com

下面創(chuàng)建OU ：zydx

Zydx 下面創(chuàng)建以下幾個OU

Groups ：這里是所有的部門

Users ：這里是所有用戶

Servers ：服務器群，比如病毒服務器，補丁分發(fā)服務器，isa 服務器

Mobiles ：所有的移動電腦

Workstations ：所有工作站

It ：特殊組，一些管理員和特殊用戶。

不同部門可以設置不同安全策略，以滿足不同部門的辦公需求，通用策略可以設置在根域上，特殊權限在不同部門分別做策略。

用戶及名稱規(guī)劃

所有用戶均用工號及密碼來登錄域環(huán)境，域的加入可以做一個加入域的批處理，用戶通過輸入自己的用戶名和密碼既可登錄到域服務器。

所有接入電腦必須嚴格遵守OU 命名規(guī)則，即電腦名必須改為部門加工號，比如電腦部易小輝，則其計算機名為：dnb236294。當我們通過一些軟件找到病毒機器時可以通過電腦名稱快速定位電腦位置，通過工號可以及時聯系責任人進行處理。

各部門用戶加入各部門的組，便于用戶管理及根據部門進行不同的策略設置 計算機帳戶中刪除多余用戶，僅保留域用戶及administrator ，重命名管理員帳戶，并且強制統(tǒng)一管理員密碼，以便日后維護。

用戶權限及策略規(guī)劃

所有用戶初始權限為power user 能正常訪問本地所有資源，受限安裝軟件，禁止用戶修改注冊表，禁止修改TCP/IP，禁止修改計算機設置。

常用軟件可以用軟件分發(fā)來做，個別用戶的特殊軟件可以遠程安裝。近期使用計算機指派, 文件服務器共享等方式，遠期使用SMS.

具體的實施

具體技術方案包括：

1，需求收集。

收集各部門工作需要用到的軟件，與工作有關的網頁，常見的一些機器故障。

2．規(guī)劃。規(guī)劃服務器，客戶端母盤制作，用戶權限規(guī)劃。

在安裝活動目錄之前，我們首先要對活動目錄的結構進行細致的規(guī)劃設計，讓用戶和管理員在使用時更為方便。域的結構遵循簡單原則，采用單域模式，人員的組織以部門為組織單位加入域中

1. 規(guī)劃DNS

如果用戶準備使用活動目錄，則需要首先規(guī)劃名稱空間。當DNS 域名稱空間可在Windows 2003中正確執(zhí)行之前，需要有可用的活動目錄結構。所以，從活動目錄設計著手并用適當的DNS 名稱空間支持它。

2. 規(guī)劃用戶的域結構

最容易管理的域結構就是單域。規(guī)劃時，用戶從單域開始，并且只有在單域模式不能滿足用戶的要求時，才增加其他的域。單域可跨越多個地理站點，并且單個站點可包含屬于多個域的用戶和計算機。在一個域中，可以使用組織單元(OU，Organizational Units)來實現這個目標。然后，可以指定組策略設置并將用戶、組和計算機放在組織單元中。

3. 規(guī)劃用戶的權限

我們給用戶那些權限,user （最低權限，不能安裝軟件），power user（能完成所有任務但不能更改管理員設置）？建議初期給power user 穩(wěn)定后回收權限。 需要限制用戶使用那些軟件

用戶能夠訪問那些資源

組策略有以下幾個比較重要的應用

1，軟件分發(fā)，分發(fā)msi 格式軟件，非msi 格式可通過工具轉換

2，軟件限制（非辦公軟件可以使用軟件策略進行限制）

3，文件夾重定向，可以把用戶資料保存到安全位置

4，管理設置, 主要設置一些windows 組件相關內容，比如開始菜單顯示的內容 5，Ie 相關設置（信任站點，控件下載，文件下載等）

6，安全設置（帳戶策略，系統(tǒng)服務，注冊表，文件系統(tǒng)）

7，實現一些腳本的功能（比如分發(fā)一些腳本進行MAC 地址綁定進行ARP 免疫） 文件服務器的要求

1、每個用戶都能存取刪除自己所擁有的文件。

2、每個使用者都要有自己的帳戶，并且對特定文件夾的訪問需要形成日志保存下來供管理員查看。

3、保證用戶存放在服務器上的文件不攜帶病毒和其它有危害性的代碼。

4、每個用戶只能在服務器上存放一定大小, 類型的文件，而不是無限大的文件，并且當存放文件到特定警戒線的時候能通知管理員。

4. 母盤制作相關問題

A ，那些軟件是必須安裝的

B ，系統(tǒng)做那些優(yōu)化

C ，安全設置（ie 安全設置，共享安全設置等）

D ，避免sid 問題

3．部署。

部署客戶端

考慮到ris 服務器需要dhcp 服務器支持，且對網絡帶寬有較高要求，可以通過分批加入域，分批GHOST

部署域服務器、dns 服務器及文件服務器，如果需要做dhcp ，需要張工，徐工考慮DHCP 的實現方式。后期還要添加WSUS 服務器，sms 服務器，諾頓防病毒服務器及vpn 服務器，因為所有客戶機操作系統(tǒng)都為XP ，沒有98或者其他系統(tǒng)，個人認為wins 服務器在域環(huán)境下沒有必要。域服務器按規(guī)劃做好策略，文件服務器做好權限控制。

4．測試。

部門辦公應用在域環(huán)境下能否正常使用，安全性方面能否達到預期效果。

辦公應用：erp 系統(tǒng)能否正常登錄，打印；office 軟件能否正常運行；bbs 能否正常登錄使用；

5．建立各類使用及維護文檔。

幫助大家在域環(huán)境下更方便的使用辦公電腦。

6．檢查所有電腦，如果檢測認定安全的直接加入域，如果是HOME 版及機器有問題的，重做系統(tǒng)。

7．域的備份

域的備份主要是通過做備份域，以及微軟自帶的備份工具備份帳戶數據等。 效果

最終的客戶端系統(tǒng)桌面如下

運行其他非必須程序提示：

對文件服務器的正常訪問：

瀏覽bbs ：

服務器的安全

1、域控制器的安全保證：域控制器主要是管理局域網的用戶和機器，并對用戶的權限進行控制，一旦主域控制器系統(tǒng)損壞，重新安裝系統(tǒng)后就必須重新建立用戶信息，為了防止系統(tǒng)損壞而影響系統(tǒng)使用，在局域網中又設置一臺備份域服務器，備份域服務器能將主域控制器上的所有用戶信息備份到本機，并在主域控制器失效時自動充當主域控制器的角色，保證系統(tǒng)能正常運行。

2、文件服務器的安全保證：文件服務器主要是保存各種公司私密文件，所以其安全性主要是考慮服務器上保存的文件的安全性，文件服務器本身做磁盤冗余，這樣即使服務器有一個硬盤損壞也不會導致文件丟失，另外我們還通過異地備份將文件服務器上文件保存一份到其他服務器上，這樣即使文件服務器遭遇災難性的損壞我們的文件也不會丟失。

3、綜合安全優(yōu)化

1，停掉Guest 帳號

2，修改管理員帳號和創(chuàng)建陷阱帳號：

重命名Administrator 賬號，然后新建一個名稱為Administrator 的陷阱帳號“受限制用戶”，把它的權限設置成最低，什么事也干不了，并且加上超級復雜密碼

3，刪除默認共享

Windows2003安裝好以后，系統(tǒng)會創(chuàng)建一些隱藏的共享，要禁止或刪除這些共享以確保安全，方法是：首先編寫如下內容的批處理文件：

@echo off

net share C$ /del

net share D$ /del

net share E$ /del

net share F$ /del

net share admin$ /del

可以通過組策略編輯器使客戶機系統(tǒng)開機即執(zhí)行腳本刪除系統(tǒng)默認的共享。 4，禁用IPC 連接

Ipc 連接 比如 net useipipc$ "password" /user:"usernqme"?？梢酝ㄟ^修改注冊表來禁用IPC 連接。打開注冊表編輯器。找到HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLsa中的restrictanonymous 子鍵，將其值改為1即可禁用IPC 連接。

重新設置遠程可訪問的注冊表路徑

5，設置遠程可訪問的注冊表路徑為空，這樣可以有效地防止黑客利用掃描器通過遠程注冊表讀取計算機的系統(tǒng)信息及其它信息。打開組策略編輯器，然后選擇“計算機配置”→“Windows 設置”→“安全選項”→“網絡訪問：可遠程訪問的注冊表路徑”及“網絡訪問：可遠程訪問的注冊表”，將設置遠程可訪問的注冊表路徑和子路徑內容設置為空即可。

6，關閉不需要的端口

7，關閉不需要的服務

服務提供了核心操作系統(tǒng)功能，如Web 服務、事件日志記錄、文件服務、幫助和支持、打印、加密和錯誤報告，并不是所有默認服務都是我們需要的。我們不需要的可以停用、禁用，來釋放系統(tǒng)資源。

8，鎖住注冊表

9，運行防病毒軟件

10, 備份

3、監(jiān)視服務器性能：

通過實時和日志方式來監(jiān)視服務器性能；

監(jiān)視服務器內存性能；

監(jiān)視服務器處理器性能；

監(jiān)視服務器磁盤性能；

監(jiān)視網絡性能。

4、建立完備的管理制度

為能跟上整改后的計算機網絡的管理與使用，需要逐步完善各類相應的管理制度，包括：

《計算機網絡管理辦法》

主要針對用戶對計算機的操作使用，管理及保護等進行闡述，明文規(guī)定不得進行哪些相關的操作及網絡訪問等；

《核心網絡設置管理辦法》

針對網絡設備、服務器等設置及管理做的詳細闡述；

《IT 管理員工作手冊》

崗位說明書，規(guī)范IT 管理人員的日常必要維護事項及操作方法，包括設備盤點登記表、設備健康卡，日常維護記錄表、工作日志、設備申購表、報廢表等； 《計算機維護指南》

主要針對分機構計算機用戶的自我計算機維護操作指南，主要包括：常用操作系統(tǒng)的安裝說明、常用病毒及網絡安全設置步驟、病毒