網(wǎng)絡域控管理方案 ,前 言隨著Internet 接入的普及和帶寬的增加，一方面員工上網(wǎng)的條件得到改善，另一方面也給公司帶來更高的網(wǎng)絡使用危險性、復雜性和混亂。網(wǎng)絡對辦公

網(wǎng)絡域控管理方案

前 言

隨著Internet 接入的普及和帶寬的增加，一方面員工上網(wǎng)的條件得到改善，另一方面也給公司帶來更高的網(wǎng)絡使用危險性、復雜性和混亂。網(wǎng)絡對辦公環(huán)境造成的危害主要表現(xiàn)為：

1) 為給用戶電腦提供正常的標準的辦公環(huán)境，安裝操作系統(tǒng)和應用軟件已經(jīng)耗費了信息管理 中心人員一定的精力和時間，同時又難以限制用戶安裝軟件，導致管理人員必須花費其 50 以上的精力用于維護用戶的 PC 系統(tǒng)，無法集中精力去開發(fā)信息系統(tǒng)的深層次功能，提升 信息系統(tǒng)價值。

2) 由于使用者的防范意識普遍偏低，防毒措施往往不到位，一旦發(fā)生病毒感染，往往擴散 到全網(wǎng)絡，令網(wǎng)絡陷于癱瘓狀態(tài)，部分致命的蠕蟲病毒利用 TCP/IP 協(xié)議的各種漏洞，使 得木馬、病毒傳播迅速，影響規(guī)模大，導致網(wǎng)絡長時間處于帶毒運行，反復發(fā)作而維護人 員。

3) 部分網(wǎng)站網(wǎng)頁含有惡意代碼，強行在用戶電腦上安裝各種網(wǎng)絡搜索引擎插件、廣告插件或 中文域名插件等，增加了辦公電腦大量的資源消耗，導致計算機反應緩慢；

4) 個別員工私自安裝從網(wǎng)絡下載安裝的軟件，這些從網(wǎng)絡上下載的軟件安裝包多數(shù)附帶各種 插件、木馬和病毒，并在安裝過程中用戶不知情的情況下強行安裝在辦公電腦上，增加了辦公電腦大量的資源消耗，導致計算機反應緩慢，甚至被遠程控制；

5) 局域網(wǎng)共享，包括默認共享（無意），文件共享（有意），一些病毒比如 ARP 通過廣播四處 泛濫，影響到整個片區(qū)辦公電腦的正常工作；

6) 部分員工使用公司計算機上網(wǎng)聊天、聽歌、看電影、打游戲，部分員工全天 24 小時啟用P2P 軟件下載音樂和影視文件，由于 flashget 、迅雷和 BT 等軟件并發(fā)線程多，導致大量 帶寬被部分員工占用，網(wǎng)絡速度緩慢，導致應用軟件系統(tǒng)無法正常開展業(yè)務，即便是嚴格 的計算機使用管理制度也很難保障企業(yè)中的計算機只用于企業(yè)業(yè)務本身，PC 的業(yè)務專注性、管控能力不強。

一、 解決方案

為了更好地進行網(wǎng)絡管理，合理分配和使用網(wǎng)絡資源，規(guī)范，引導用戶安全使用辦公電腦，加強對用戶帳號，密碼策略，用戶訪問權(quán)限以及文件安全管理機制，我司建議采用域控制器與文件服務器相結(jié)合的管理模式。

二、 域的概述

1．域控制器的定義 域”的真正含義指的是服務器控制網(wǎng)絡上的計算機能否加入的計算機組合。一提到組合，勢必需要嚴格的控制。所以實行嚴格的管理對網(wǎng)絡安全是非常必要的。在對等網(wǎng)模式下，任何一臺電 腦只要接入網(wǎng)絡，其他機器就都可以訪問共享資源，如共享上網(wǎng)等。盡管對等網(wǎng)絡上的共享文件可 以加訪問密碼，但是非常容易被破解。不過在“域”模式下，至少有一臺服務器負責每一臺聯(lián)入網(wǎng) 絡的電腦和用戶的驗證工作，相當于一個單位的門衛(wèi)一樣，稱為“域控制器（Domain Controller ， 簡寫為 DC ）”。

2．域控制器的好處

1）用戶帳號與密碼管理 域控制器中包含了由這個域的賬戶、密碼、屬于這個域的計算機等信息構(gòu)

成的數(shù)據(jù)庫。當電腦聯(lián)入網(wǎng)絡時，域控制器首先要鑒別這臺電腦是否是屬于這個域的，用戶使用的登錄賬號是否存在、 密碼是否正確。如果以上信息有一樣不正確，那么域控制器就會拒絕這個用戶從這臺電腦登錄。不 能登錄，用戶就不能訪問服務器上有權(quán)限保護的資源，他只能以對等網(wǎng)用戶的方式訪問 Windows 共享出來的資源，這樣就在一定程度上保護了網(wǎng)絡上的資源。

2）用戶文件安全性 域控制器中包含了每個人的專用文件夾，并對文件夾設定了用戶訪問權(quán)限，每

個人只可以訪問到自己的專用文件夾，而管理員擁有對所有文件夾的訪問權(quán)限，并進行統(tǒng)一的管理，同時，可對指 定文件夾進行讀、寫限制，并給予統(tǒng)一的帳號和密碼進行訪問，從而大大提高了用戶文件的安全性， 實現(xiàn)了文件資源的合理分配和使用，便于管理員對網(wǎng)絡進行統(tǒng)一的管理。

3) 用戶權(quán)限的分配 為了更好地對網(wǎng)絡進行統(tǒng)一管理，減輕管理員的負擔，域控制器中包含了對用戶

使用權(quán)限的分配情況。在域控制器中，域用戶沒有權(quán)限安裝任何軟件，他必須經(jīng)過域管理員同意后并授予一定的 權(quán)限方可對軟件進行安裝，卸載等操作。同時，避免了下載或安裝一些來歷不明的程序而引起病毒 感染或系統(tǒng)文件受損，造成用戶數(shù)據(jù)丟失等問題的出現(xiàn)，從而，大大提高了用戶數(shù)據(jù)安全性。

4）新員工和離職人員賬戶操作：為新加入的員工，設置新的域賬號，離職員工在離職的最后一天停

用其域賬號。

5）權(quán)限控制 以下權(quán)限控制均通過組策略來實現(xiàn) ：

USB 接口控制 通過組策略來控制計算機上的USB 接口是否可用。

用戶文件夾重定向：使域用戶的文件存放在服務器上指定的位置，既可以避免系統(tǒng)損壞帶來的文件丟失情況，又可以在任意一臺域成員機上訪問到自己的文件。

軟件權(quán)限限制：所有的域賬號登錄的計算機不具有安裝和刪除軟件的權(quán)限，軟件的安裝和卸載需

通知域管理員進行。在實際生產(chǎn)環(huán)境當中，有少部分軟件是必須需要本地管理員權(quán)限才能運行的，對于這種情況，把域賬號加入至本地管理組中或者使用腳本的方式來運行這類型軟件。

三、 文件共享服務器概述

在企業(yè)的網(wǎng)絡中，最常用的功能莫過于“共享文件”了。財務部門需要當月員工的考勤信息， 人事部門可能不會親自拿過去，而是在網(wǎng)絡上共享；生產(chǎn)部門的生產(chǎn)報表也不會用書面的資料 分發(fā)，而是放在網(wǎng)絡的共享文件夾下，誰需要的話，就自己去查看就可以了，等等。類似的需 求還有很多。

可見，共享文件的功能，提高了企業(yè)辦公的效率，使企業(yè)局域網(wǎng)應用中的一個不可缺的功能。 但是，由于共享文件夾管理不當，往往也給企業(yè)帶來了一些安全上的風險。如某些共享文件莫 名其妙的被刪除或者修改；有些對于企業(yè)來說數(shù)據(jù)保密的內(nèi)容在網(wǎng)絡上被共享，所有員工都可 以訪問；共享文件成為病毒、木馬等傳播的最好載體，等等。所以，共享文件若管理不當，會 造成比較嚴重的后果。

另外，若把企業(yè)的共享文件分散在各個用戶終端管理的話，有一個問題，就是用戶對于共享 操作的熟悉程度不同或者安全觀念有差異，所以，很難從部署一個統(tǒng)一的文件共享安全策略。 如分散在用戶主機的共享文件，員工一般不會定期對其進行備份，以防止因為意外損害而進行 及時恢復；一般也不會設

置具體的訪問權(quán)限，如只允許一些特定的員工訪問等等。因為這些操 作的話，一方面可能需要一些專業(yè)知識，另一方面，設置企業(yè)也比較繁瑣。所以，即使我們出 了相關的制度，但是，員工一般很難遵守。

所以，建議部署一個文件共享服務器，來統(tǒng)一管理共享文件。采取這種策略的話，有如下好 處：

1) 可以定時的對共享文件進行備份，從而減少因為意外修改或者刪除而導致的損失。若能 夠把共享文件夾都放在文件服務器上，則我們就可以定時的對文件服務器上的文件進行 備份。如此的話，即使因為權(quán)限設置不合理，導致文件被意外修改或者刪除；有時會， 員工自己也會在不經(jīng)意中刪除不該刪的文件，遇到這種情況的時候，則我們可以通過文 件恢復作業(yè)，把原有的文件恢復過來，從而減少這些不必要的損失。

2) 是可以統(tǒng)一制定文件訪問權(quán)限策略。在共享文件服務器上，我們可以根據(jù)各個員工的需 求，在文件服務中預先設置一些文件夾，并設置好具體的權(quán)限。如此的話，放到共享文 件服務器中的文件就自動繼承了文件服務器文件夾的訪問權(quán)限，從而實現(xiàn)統(tǒng)一管理文件 訪問權(quán)限的目的。如對于一些全公司都可以訪問的行政通知類文件，我們可以為此設立 一個通知類文件夾，這個文件夾只有行政人員具有讀寫權(quán)限，而其他職工都只有只讀權(quán) 限。如此的話，其他員工就不能夠?qū)@些通知進行更改或者刪除。所以，對共享文件夾進行統(tǒng)一的管理，可以省去用戶每次設置權(quán)限的麻煩，從而提高共享文件的安全性。

3) 可以統(tǒng)一進行防毒管理。對于共享文件來說，我們除了要關心其數(shù)據(jù)是否為泄露或者非 法訪問外，另外一個問題就是共享文件是否會被病毒感染。病毒或者木馬是危害企業(yè)網(wǎng) 絡安全的第一把殺手，而共享文件又是其很好的載體。若能夠有效的解決共享文件的病 毒木馬感染問題，必定可以有效的抑制病毒或者木馬在企業(yè)網(wǎng)絡中為非作歹。而我們?nèi)?能夠在企業(yè)中統(tǒng)一部署文件服務器，則我們就可以利用下班的空閑時間，對文件服務器 上的共享文件統(tǒng)一進行殺毒，以保證共享文件服務器上的文件都是干凈的，沒有被木馬 或者病毒所感染，從而避免其成為病毒或者木馬的有效載體。

綜上所述，共享文件夾以及共享文件的安全性問題，是企業(yè)網(wǎng)絡安全管理中的一個比較薄弱的 環(huán)節(jié)，但是，又是一個十分重要的環(huán)節(jié)。相信，做好這件工作，必定可以提高企業(yè)網(wǎng)絡的利用價值， 減少網(wǎng)絡安全事故。

四、 項目的規(guī)劃

4.1 規(guī)劃域

根據(jù)網(wǎng)絡規(guī)模以及集中管理和結(jié)構(gòu)簡單, 我們采用單域的結(jié)構(gòu)，域名為 DFSL 。與多域 結(jié)構(gòu)相比，實現(xiàn)了網(wǎng)絡資源的集中管理。并保證了管理上的簡單性和低成本。

在域內(nèi)部按照部門名稱劃分 OU ，例如：行政部，人事部，工程部，銷售部，財務部，用與 存儲和管理各個部門的用戶帳戶，組，以及打印機。整個域結(jié)構(gòu)與公司管理結(jié)構(gòu)相匹配可以實 現(xiàn)公司資源的層次管理。

4.2 規(guī)劃用戶帳戶和組

在各個部門的 ou 中分別為該部門員工創(chuàng)建唯一的域用戶帳戶，帳戶名為張三員工姓名的拼音。例如：“zhangsan ”, 初始密碼為 “123456”，并要求域用戶帳戶在下次登陸 時更改密碼。密碼最小長度為 8，并且要符合復雜性要求。然后為每個部門創(chuàng)建全局組，命名如 下所示，并將同部門的員

工帳戶分別加入各個部門的全局組中。

用戶組規(guī)劃表樣例：

部門： 全局組

行政部 Xingzheng

人事部 Renshi

銷售部 Xiaoshou

財務部 Caiwu

4.3 規(guī)劃文件服務器

a) 通過一臺專用的文件服務器存儲公共文件以及員工的工作文檔；

b) 配置共享權(quán)限和 NTFS 權(quán)限，權(quán)限的配置應遵循 AGDLP 規(guī)則

c) 啟用磁盤配額；

d) 制定備份策略，按任務計劃自動執(zhí)行； 我們可以規(guī)劃類似以下的企業(yè)文件服務平臺，既能保證絕大部分員工在 IT 部門提供的文件服務平臺上受益，又可最大程度保障數(shù)據(jù)文件安全；

五、 項目實施

5.1 服務器操作系統(tǒng)的安裝

服務器由于數(shù)量較少，可以單獨安裝 Windows Server 2008 企業(yè)版. 對系統(tǒng)進行初始化設 置并將計算名命名為:dc，使用 ipconfig /all 以及 ping 命令驗證網(wǎng)絡的連通性。最后，使用 Ghost 工具對系統(tǒng)進行全備份。

5.2 Windows 域的創(chuàng)建

在 dc 上執(zhí)行命令”dcpromo ”安裝 AD ，提升為域控制器。為該公司創(chuàng)建一個域。域名為hj.local 。在安裝 AD 的過程中安裝 DNS 服務。

5.3 根據(jù)部門劃分 OU

為了匹配公司的管理模型，在域內(nèi)按照部門名稱劃分組織單位（ou ）, 例如分別是：行政部、 人事部、銷售部、財務部。將來創(chuàng)建各個部門的用戶帳戶和組屬于各個部門 ou 。使用 AD 活動目錄 里的“用戶和計算機“工具創(chuàng)建部門 ou 。

5.4 創(chuàng)建用戶賬戶和組

使用【Active Directory 用戶和計算機】工具在各個部門的 ou 中分別為該部門員工創(chuàng)建用戶 帳戶，帳戶名為員工的員工姓名的拼音。例如：張三“zhangsan “, 為每個部門創(chuàng)建全局組，將同 部門的員工帳戶分別加入各個部門的全局組。注意：在創(chuàng)建完成之后要進行 dc 的數(shù)據(jù)備份即系統(tǒng) 的狀態(tài)數(shù)據(jù)。

5.5 配置域安全策略

單擊【開始】|【管理工具】|【域安全策略】打開域安全策略

密碼策略密碼長度最小值為 8 個字符

密碼必須符合復雜性要求

帳戶鎖定策略

帳戶鎖定閾值為 5

賬戶鎖定時間為默認值 30 分鐘

審核策略

賬戶登錄事件

對象訪問

5.6 配置文件服務器

根據(jù)不同用戶和不同部門創(chuàng)建共享文件夾 配置共享權(quán)限和 NTFS 權(quán)限啟用磁盤配額

六、域控制器的軟硬件需求

1．操作系統(tǒng)

Windows 2008 Server 操作系統(tǒng)。

2．硬件配置；

X3400M3 7379I06 X eon E5606 2.13GHz 4C / 2*4G 1.35V / 8*2.5 HS SAS/SATA 3*300G SAS / M5015 Raid 0,1 w/o Battery / DVD / 670W Fixed