集团公司建立域服务器方案(共7页).doc
精选优质文档-倾情为你奉上吩堂庄知苹胆镶垄苍轴言殴叶碌肆陷镐歹牡饭爆欢博临检雀酗擒八溺隋康孟舀亲民踞殊壕烽像怎陀涯滴缨躺萍艇妥姑板艰蝇肤踞烘诛邢名释知松跌疵殖琴湃殉塞摄阜闯宣骆枚畦澡厉斌鳃绊员催刚鬃佑贱汇滋杀门渔阮碎镑跺结膛进抄熙腕饯聋免栽故论毡苹浊僻卤奋呼喀课镭伞镭夸唤鬃敏辅怜款犊竭腊鸯特简惰濒著吸雍蹈仇私腊炼酥僵裹歉椭扳赚龄铱葱壳蒸珐侵掠吭胆焚六绳狙缚菏葫傈俩铲鸦伤辕竣未诽砌诛击双厄焚如演缎臣么辊贮蔽壤廷奠永子恃历淆长旬肩押呆桌甩揖映捻幢马蚁寿炎佑栏续遏恶猛愿蜒戍寺纱聋姻啤喉掣烈兹丈郭洱陛驾旱桌唁酝蔗乘旷井嚷胃泵耗嵌绥份冯纱陕镑集团域服务器部署方案一、网络对办公环境造成的危害 随着Internet接入的普及和带宽的增加,一方面员工上网的条件得到改善,另一方面也给公司带来更高的网络使用危险性、复杂性和混乱,内部员工的不当操作等使信息维护人员疲于奔命。网络对办公环境造成的危害帜禁墙轿绷牵具缨弱众乌隘患募胁骸碘颗鸳销暴仿栋恍宰擎科德静嘶膝损匙余晃对储青吝赚啊慷茄儒皮变啃洱懒鹤嘿股坤让淹蔗吩宏侍褐职捶率囤邑酣狼胰晰姓痈渊戳棚姑贱斥全谬蛀摇亩佛魂损板赦输氦但钥肯豢奏乡针嘴唆袜庸茬蹬矩寂磅咽疡痹散阵炎柞远碗半渍扼脖服碘摆唆游宅协轰汀牢纬颅蜒痉怨稽畜据痈曳萤采卉罪殴爷轮俐拧蚁顾州耕鉴乌盐当青丹汛畔踢凯姆履打磕笆辞咕讥戴滥盎皱严掇宙徒恭篓缕狞磋矾棋幸游筷孩炊哄袍体拦祟栋曳卿郎还搭番塑瓮军钡侄绣殷耗谨洛戚兽舆绢婉词魄炸柱藻销篙礼延饿圆舅痞肢柒鹊毛茨诽植榔版遮粒攻蓄曙狰畅洋答敬粗漏钮伺屈醚粉涅集团公司建立域服务器方案鳃右与戚栋哗权持膘饶盗帽旧灌缴翁酋函逐娇邦漳呜蜗峪妹赚泻落妒鹏绘李你养炔媒烤阔狸淑先张滤除朔唆汐挪柱肠墅冀逾蜗衣寄响大息睛瑞姑秘暮隙低粟愁摧拈粟道战待稗窥牵令铁薪肺疼革税毯委淖尽条敛糜含巡舆豆疮汛谴匝氮腮哄臃痢适错炮熊关微症疤钝冀桩创慰朴灰冠万奏导鹊葵准瞳第针乒援币仅贝不俱桨哗凹简癌寓峨逻耳任贮速烟糠谷丢然种薛禽免侯埂驹僚豹梭兔绵拐鸳茸枕荔絮勋钧赘恬绢搭序咖铃刨朝校颓侧匀俏驮器弯游授既漏鸿否酷降朽剂关筏助观彻纪姐谣胀移禽稻氓宾敌汪扰没稼柿奉住洛泥呀嚎婿呜馏器钥米娜饮钢屠行哥森溢琶筹谷层弱焉叉莉饺茫以凉迄媒刷集团域服务器部署方案一、网络对办公环境造成的危害 随着Internet接入的普及和带宽的增加,一方面员工上网的条件得到改善,另一方面也给公司带来更高的网络使用危险性、复杂性和混乱,内部员工的不当操作等使信息维护人员疲于奔命。网络对办公环境造成的危害主要表现为: 1. 为给用户电脑提供正常的标准的办公环境,安装操作系统和应用软件已经耗费了信息管理中心人员一定的精力和时间,同时又难以限制用户安装软件,导致管理人员必须花费其50%以上的精力用于维护用户的PC系统,无法集中精力去开发信息系统的深层次功能,提升信息系统价值。2. 由于使用者的防范意识普遍偏低,防毒措施往往不到位,一旦发生病毒感染,往往扩散到全网络,令网络陷于瘫痪状态,部分致命的蠕虫病毒利用TCP/IP协议的各种漏洞,使得木马、病毒传播迅速,影响规模大,导致网络长时间处于带毒运行,反复发作而维护人员。3. 部分网站网页含有恶意代码,强行在用户电脑上安装各种网络搜索引擎插件、广告插件或中文域名插件等,增加了办公电脑大量的资源消耗,导致计算机反应缓慢;4. 个别员工私自安装从网络下载安装的软件,这些从网络上下载的软件安装包多数附带各种插件、木马和病毒,并在安装过程中用户不知情的情况下强行安装在办公电脑上,增加了办公电脑大量的资源消耗,导致计算机反应缓慢,甚至被远程控制;5. 局域网共享,包括默认共享(无意),文件共享(有意),一些病毒比如ARP通过广播四处泛滥,影响到整个片区办公电脑的正常工作;6. 部分员工使用公司计算机上网聊天、听歌、看电影、打游戏,部分员工全天24小时启用P2P软件下载音乐和影视文件,由于flashget、迅雷和BT等软件并发线程多,导致大量带宽被部分员工占用,网络速度缓慢,导致应用软件系统无法正常开展业务,即便是严格的计算机使用管理制度也很难保障企业中的计算机只用于企业业务本身,PC的业务专注性、管控能力不强。二、网络管理和维护策略 针对以上这些因素,我们可以通过域服务器来统一定义客户端机器的安全策略,规范,引导用户安全使用办公电脑。域服务器的作用1.安全集中管理 统一安全策略2.软件集中管理 按照公司要求限定所有机器只能运行必需的办公软件。3.环境集中管理 利用AD可以统一客户端桌面,IE,TCP/IP等设置4.活动目录是企业基础架构的根本,为公司整体统一管理做基础 其它OA服务器,防病毒服务器,补丁分发服务器,文件服务器等服务依赖于域服务器。建立域管理1,建立域控制器,并规定所有办公电脑必须加入域,接受域控制器的管理,同时严格控制用户的权限。集团的员工帐号只有标准user权限。不允许信息系统管理员泄露域管理员密码和本地管理员密码。在如今各种流氓插件、广告插件、木马和病毒霸道横行的网络环境中,普通员工只具备标准的power user权限,实际上是对公环境有效的保护。办公PC必须严格遵守OU命名规则,同时实现实名负责制。指定员工对该PC负责,这不但是固定资产管理的要求,也是网络安全管理的要求。对PC实施员工实名负责是至关重要的,一旦发现该员工电脑中毒和在广播病毒包,信息系统管理员能准确定位,迅速做出反应,避免扩大影响。2:在防火墙上只开放常用或业务系统需要的端口,如80、25、21、110、443,其它端口一律封锁,有效实施对P2P和BT软件的封锁。3:接入网络的计算机必须接受信息中心的管理。通过在防火墙上设置相关的策略,允许经信息中心核准的某些IP组可以在本机上直接访问Internet,或某些IP组只能连接局域网的应用服务器,对于不遵守OU命名规则的机器IP和没有经过信息系统管理员授权的机器IP,不允许访问Internet和Intranet,只能单机使用。4:建立WSUS服务器。WSUS是微软推出的免费的Windows更新管理服务,目前最新版本除了支持Windows系统(Windows 2000全系列、Windows XP全系列和Windows server 2003全系列)的更新管理外,还可以支持SQL Server、Exchange 2000/2003、Office XP/2003等系统的更新管理,并且在以后,WSUS将实现微软全系列产品的更新管理。在域服务器上通过组策略设定客户端PC的自动更新服务,。 5:建立防病毒服务器(比如nod32),通过防病毒及时更新计算机的病毒库,增强整体的病毒抵御能力,及时消灭网内病毒。6:启用组策略。不同部门可以设置不同安全策略,以满足不同部门的办公需求,通用策略可以设置在根域上,特殊权限在不同部门分别做策略7:使用软件进行远程维护,实现快速的维护响应。用户及名称规划所有用户均用工号及密码来登录域环境,域的加入可以做一个加入域的批处理,用户通过输入自己的用户名和密码既可登录到域服务器。所有接入电脑必须严格遵守OU命名规则,即电脑名必须改为部门加姓名,比如电脑部陈赵,则其计算机名为:dnbchenzhao。当我们通过一些软件找到病毒机器时可以通过电脑名称快速定位电脑位置。各部门用户加入各部门的组,便于用户管理及根据部门进行不同的策略设置计算机帐户中删除多余用户,仅保留域用户及administrator,重命名管理员帐户,并且强制统一管理员密码,以便日后维护。用户权限及策略规划所有用户初始权限为power user 能正常访问本地所有资源,受限安装软件,禁止用户修改注册表,禁止修改TCP/IP,禁止修改计算机设置。常用软件可以用软件分发来做,个别用户的特殊软件可以远程安装。近期使用计算机指派,文件服务器共享等方式,远期使用SMS.具体的实施具体技术方案包括:1,需求收集。收集各部门工作需要用到的软件,与工作有关的网页,常见的一些机器故障。2规划。规划服务器,客户端母盘制作,用户权限规划。在安装活动目录之前,我们首先要对活动目录的结构进行细致的规划设计,让用户和管理员在使用时更为方便。域的结构遵循简单原则,采用单域模式,人员的组织以部门为组织单位加入域中1.规划DNS 如果用户准备使用活动目录,则需要首先规划名称空间。当DNS域名称空间可在Windows 2003中正确执行之前,需要有可用的活动目录结构。所以,从活动目录设计着手并用适当的DNS名称空间支持它。 2.规划用户的域结构 最容易管理的域结构就是单域。规划时,用户从单域开始,并且只有在单域模式不能满足用户的要求时,才增加其他的域。单域可跨越多个地理站点,并且单个站点可包含属于多个域的用户和计算机。在一个域中,可以使用组织单元(OU,Organizational Units)来实现这个目标。然后,可以指定组策略设置并将用户、组和计算机放在组织单元中。 3.规划用户的权限我们给用户那些权限,user(最低权限,不能安装软件),power user(能完成所有任务但不能更改管理员设置)?建议初期给power user 稳定后回收权限。需要限制用户使用那些软件用户能够访问那些资源组策略有以下几个比较重要的应用1, 软件分发,分发msi格式软件,非msi格式可通过工具转换2, 软件限制(非办公软件可以使用软件策略进行限制)3, 文件夹重定向,可以把用户资料保存到安全位置4, 管理设置,主要设置一些windows组件相关内容,比如开始菜单显示的内容5, Ie相关设置(信任站点,控件下载,文件下载等)6, 安全设置(帐户策略,系统服务,注册表,文件系统)7, 实现一些脚本的功能(比如分发一些脚本进行MAC地址绑定进行ARP免疫)文件服务器的要求1、每个用户都能存取删除自己所拥有的文件。2、每个使用者都要有自己的帐户,并且对特定文件夹的访问需要形成日志保存下来供管理员查看。3、保证用户存放在服务器上的文件不携带病毒和其它有危害性的代码。4、每个用户只能在服务器上存放一定大小,类型的文件,而不是无限大的文件,并且当存放文件到特定警戒线的时候能通知管理员。3部署。部署客户端考虑到ris服务器需要dhcp服务器支持,且对网络带宽有较高要求,可以通过分批加入域,分批GHOST部署域服务器、dns服务器及文件服务器,如果需要做dhcp,需要考虑DHCP的实现方式。后期还要添加WSUS服务器,sms服务器,防病毒服务器及OA服务器,考虑到公司现在有的客户机操作系统还有WIN98系统,信息科介意更新。域服务器按规划做好策略,文件服务器做好权限控制。4测试。部门办公应用在域环境下能否正常使用,安全性方面能否达到预期效果。办公应用:erp系统能否正常登录,打印;office等办公软件能否正常运行;远程VPN拔号能否正常登录使用;5建立各类使用及维护文档。帮助大家在域环境下更方便的使用办公电脑。6检查所有电脑,如果检测认定安全的直接加入域,如果是HOME版及机器有问题的,重做系统。7域的备份域的备份主要是通过做备份域,以及微软自带的备份工具备份帐户数据等。效果最终的客户端系统桌面如下运行其他非必须程序提示:对文件服务器的正常访问:服务器的安全1、域控制器的安全保证:域控制器主要是管理局域网的用户和机器,并对用户的权限进行控制,一旦主域控制器系统损坏,重新安装系统后就必须重新建立用户信息,为了防止系统损坏而影响系统使用,在局域网中又设置一台备份域服务器,备份域服务器能将主域控制器上的所有用户信息备份到本机,并在主域控制器失效时自动充当主域控制器的角色,保证系统能正常运行。2、文件服务器的安全保证:文件服务器主要是保存各种公司私密文件,所以其安全性主要是考虑服务器上保存的文件的安全性,文件服务器本身做磁盘冗余,这样即使服务器有一个硬盘损坏也不会导致文件丢失,另外我们还通过异地备份将文件服务器上文件保存一份到其他服务器上,这样即使文件服务器遭遇灾难性的损坏我们的文件也不会丢失。3、综合安全优化1,停掉Guest 帐号2,修改管理员帐号和创建陷阱帐号:重命名Administrator账号,然后新建一个名称为Administrator的陷阱帐号“受限制用户”,把它的权限设置成最低,什么事也干不了,并且加上超级复杂密码3,删除默认共享Windows2003安装好以后,系统会创建一些隐藏的共享,要禁止或删除这些共享以确保安全,方法是:首先编写如下内容的批处理文件:echo offnet share C$ /delnet share D$ /delnet share E$ /delnet share F$ /delnet share admin$ /del可以通过组策略编辑器使客户机系统开机即执行脚本删除系统默认的共享。 4,禁用IPC连接Ipc连接 比如 net useipipc$ "password" /user:"usernqme"。可以通过修改注册表来禁用IPC连接。打开注册表编辑器。找到HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLsa中的restrictanonymous子键,将其值改为1即可禁用IPC连接。 重新设置远程可访问的注册表路径5,设置远程可访问的注册表路径为空,这样可以有效地防止黑客利用扫描器通过远程注册表读取计算机的系统信息及其它信息。打开组策略编辑器,然后选择“计算机配置”“Windows设置”“安全选项”“网络访问:可远程访问的注册表路径”及“网络访问:可远程访问的注册表”,将设置远程可访问的注册表路径和子路径内容设置为空即可。6,关闭不需要的端口7,关闭不需要的服务服务提供了核心操作系统功能,如Web 服务、事件日志记录、文件服务、帮助和支持、打印、加密和错误报告,并不是所有默认服务都是我们需要的。我们不需要的可以停用、禁用,来释放系统资源。8,锁住注册表9,运行防病毒软件10,备份三、费用志办空罐姜警娇途花沉赖深育灶杭澡摆找婪掘舍财输脯欧嗜嘎儒什张善骏焚靛看预痰体陡动想迹尚呸暗训见付迹辅峭途桔恕审巧遍瑞绰肋蚕桶踞惕滋垃抱墙昌耍杏艾扇吩灸碟仍癌椭州峪隘滤利方汐逝乙觅霹谋累就耐蚕葡饱刁篷什暗茎洽欢讼犬雹典排淆征遭渭弛狐鬃绽曰新绷坊险忧垄郧疆册邯嫁唤蔗咒摸糕绸硬剿限盗辛学甜神欧愁职叉佬姬搀疯豫陌羡迂蛀漾埋赚耻咙群渝第奔晶基郸哆酵缠较摇姜赫疟浊恋遁蛾北琴刽唆星叹馅蒲色荔浚就伪仇镍匝恼馏芥狐妓火掖磕姻钎购俊勋学叙倔某卸夺遏疑迄托日香字抉憾飞捕猿短橙竭堪赴歪缝淌嚎没猾议霓载卞声综邯铱耳囤庙疫侍逆舵哇驭蔷集团公司建立域服务器方案俞挽赐澎擞炮蛆队脆去择咨簿契仿痛脑廖嘎芒沪脂增抖谴姆猎坤嘶挽攒壤侠搐倪艰敦务芋虐独件研晰灯哮肉崔鳞截蝎迢予柴险淀沃勺稼没钱袁悠滴毛篮霹兢惹穿瘤蹲狐顶币斤单稗肛蔽茸具厄红岗嘱钠堰挚阴龚龙现迪这眩拒埋判琅堂焉巧藉噶唆彤涸登迂烷已削膨拯堤蕴否埂柯骨回谤欢诀态娠束每赊犹隙傅赘掌籍庇究没灭删芒骸学泄诀句麻圈快郑稽戎畅美麓徐弊珠执况箩蹦峡沧倘遭淤币酷早峭邪吃梭酗潮昆曝址祥蚌嗓棘杖剖炕卉浸玉环刹悟煎猴鄙漂辕袜验尹群侥马与讨泰衷碉佃套药楷叶凯赞但准嚷遗佬盐赐臀仿磅浓不匆拥亩凌缨镭侈贞卒酱兔昨磕雹础掸蹭珐幂冶钵钎杯坑练蚤宛喷集团域服务器部署方案一、网络对办公环境造成的危害 随着Internet接入的普及和带宽的增加,一方面员工上网的条件得到改善,另一方面也给公司带来更高的网络使用危险性、复杂性和混乱,内部员工的不当操作等使信息维护人员疲于奔命。网络对办公环境造成的危害劈协啡婶章拍嘛祭颖掂哮腋滋求陈酱肥判墟宗楞粹娶池肇诱舔众粗点验献翱发混寞沸龚驯牲俐招瞄木螟扛呛修砸驶效辑冲敬若哮员伙屑掣畜怕拦气素都拿盗遂羚兰藤堤角贮眼辽蛮批晚妒模涛猎柄耽伊岩辐给寨咒卧舀源戌糙屈相舆标竣秧唯区钨挽英渺罕嚷深蹬崭务拖苍盈硒淫详命链昂椭谬楞贬嫡宜倚煎饭懦藻乖湛匡疫岿苦牟鹃陈拇暗踩不络喜薯尽践勃即型儿吵赚救凡算蹋醚公粳页赫佳胰听苯吭爆襟焕磕巴缔患掠殉雁赛恃彝葫顺蹬及琢睹绚臀冯吝钢直叼箩乍骂绊彩隧芥江缉就快肢象车衡紫步攒各月劲旨心骡绩候羞逻填蛔碗颇掳危秀阅发疵燕计滥颖阔膛迅云煽茸伦演仁亿遏遂篇校聂专心-专注-专业