文檔_項目二_任務(wù)二_集團公司建立域服務(wù)器方案

1、集團域服務(wù)器部署方案養(yǎng)湖南工業(yè)職業(yè)技術(shù)學院網(wǎng)絡(luò)技術(shù)專業(yè)教學資源庫11. 網(wǎng)絡(luò)對辦公環(huán)境造成的危害2. 網(wǎng)絡(luò)管理和維護策略域服務(wù)器的作用.2.1.12.12.1.22.1.32.1.4安全集中管理軟件集中管理環(huán)境集中管理活動目錄.2.22.32.42.5建立域管理用戶及名稱規(guī)劃.用戶權(quán)限及策略規(guī)劃具體的實施2.5.12.5.22.5.32.5.4具體技術(shù)方案包括：. 文件服務(wù)器的要求 部署 測試 建立各類使用及維護文檔。2.5.52.5.6 6.檢測域2.5.7域的備份2.5.8效果養(yǎng)湖南工業(yè)職業(yè)技術(shù)學院網(wǎng)絡(luò)技術(shù)專業(yè)教學資源庫1. 網(wǎng)絡(luò)對辦公環(huán)境造成的危害隨著In ternet接入的普及和帶寬的

2、增加，一方面員工上網(wǎng)的條件得到改善，另一方面也 給公司帶來更高的網(wǎng)絡(luò)使用危險性、復(fù)雜性和混亂，內(nèi)部員工的不當操作等使信息維護人員 疲于奔命。網(wǎng)絡(luò)對辦公環(huán)境造成的危害主要表現(xiàn)為：1. 為給用戶電腦提供正常的標準的辦公環(huán)境，安裝操作系統(tǒng)和應(yīng)用軟件已經(jīng)耗費了信息 管理中心人員一定的精力和時間，同時又難以限制用戶安裝軟件，導(dǎo)致管理人員必須花費其 50%以上的精力用于維護用戶的 PC系統(tǒng)，無法集中精力去開發(fā)信息系統(tǒng)的深層次功能，提 升信息系統(tǒng)價值。2. 由于使用者的防范意識普遍偏低，防毒措施往往不到位，一旦發(fā)生病毒感染，往往擴散到全網(wǎng)絡(luò)，令網(wǎng)絡(luò)陷于癱瘓狀態(tài)，部分致命的蠕蟲病毒利用TCP/IP協(xié)議的各種漏

3、洞，使得木馬、病毒傳播迅速，影響規(guī)模大，導(dǎo)致網(wǎng)絡(luò)長時間處于帶毒運行，反復(fù)發(fā)作而維護人員。3. 部分網(wǎng)站網(wǎng)頁含有惡意代碼，強行在用戶電腦上安裝各種網(wǎng)絡(luò)搜索引擎插件、廣告插 件或中文域名插件等，增加了辦公電腦大量的資源消耗，導(dǎo)致計算機反應(yīng)緩慢；4. 個別員工私自安裝從網(wǎng)絡(luò)下載安裝的軟件，這些從網(wǎng)絡(luò)上下載的軟件安裝包多數(shù)附帶 各種插件、木馬和病毒，并在安裝過程中用戶不知情的情況下強行安裝在辦公電腦上，增加 了辦公電腦大量的資源消耗，導(dǎo)致計算機反應(yīng)緩慢，甚至被遠程控制；5. 局域網(wǎng)共享，包括默認共享（無意），文件共享（有意），一些病毒比如ARP通過廣播 四處泛濫，影響到整個片區(qū)辦公電腦的正常工作；6.

4、 部分員工使用公司計算機上網(wǎng)聊天、聽歌、看電影、打游戲，部分員工全天24小時啟用P2P軟件下載音樂和影視文件，由于flashget、迅雷和BT等軟件并發(fā)線程多，導(dǎo)致大量 帶寬被部分員工占用，網(wǎng)絡(luò)速度緩慢，導(dǎo)致應(yīng)用軟件系統(tǒng)無法正常開展業(yè)務(wù)，即便是嚴格的計算機使用管理制度也很難保障企業(yè)中的計算機只用于企業(yè)業(yè)務(wù)本身，PC的業(yè)務(wù)專注性、管控能力不強。2. 網(wǎng)絡(luò)管理和維護策略針對以上這些因素，我們可以通過域服務(wù)器來統(tǒng)一定義客戶端機器的安全策略，規(guī)范, 引導(dǎo)用戶安全使用辦公電腦。2.1域服務(wù)器的作用 2.1.1安全集中管理統(tǒng)一安全策略2.1.2軟件集中管理按照公司要求限定所有機器只能運行必需的辦公軟件。2

5、.1.3環(huán)境集中管理利用AD可以統(tǒng)一客戶端桌面，IE,TCP/IP等設(shè)置2.1.4活動目錄是企業(yè)基礎(chǔ)架構(gòu)的根本，為公司整體統(tǒng)一管理做基礎(chǔ)，其它 0A服務(wù)器，防病毒服務(wù)器, 補丁分發(fā)服務(wù)器，文件服務(wù)器等服務(wù)依賴于域服務(wù)器。2.2建立域管理1. 建立域控制器，并規(guī)定所有辦公電腦必須加入域，接受域控制器的管理，同時嚴格控 制用戶的權(quán)限。集團的員工帳號只有標準user權(quán)限。不允許信息系統(tǒng)管理員泄露域管理員密 碼和本地管理員密碼。在如今各種流氓插件、廣告插件、木馬和病毒霸道橫行的網(wǎng)絡(luò)環(huán)境中，普通員工只具備 標準的Power user權(quán)限，實際上是對公環(huán)境有效的保護。辦公PC必須嚴格遵守OU命名規(guī)則，同時

6、實現(xiàn)實名負責制。指定員工對該PC負責，這不但是固定資產(chǎn)管理的要求，也是網(wǎng)絡(luò)安全管理的要求。對PC實施員工實名負責是至關(guān)重要的，一旦發(fā)現(xiàn)該員工電腦中毒和在廣播病毒包，信息系統(tǒng)管理員能準確定位，迅速做出 反應(yīng)，避免擴大影響。80、25、21、110、443，其它端2. 在防火墻上只開放常用或業(yè)務(wù)系統(tǒng)需要的端口，如 口一律封鎖，有效實施對 P2P和BT軟件的封鎖。3. 接入網(wǎng)絡(luò)的計算機必須接受信息中心的管理。通過在防火墻上設(shè)置相關(guān)的策略，允許經(jīng)信息中心核準的某些IP組可以在本機上直接訪問In ternet，或某些IP組只能連接局域網(wǎng)的 應(yīng)用服務(wù)器，對于不遵守OU命名規(guī)則的機器IP和沒有經(jīng)過信息系統(tǒng)管

7、理員授權(quán)的機器IP， 不允許訪問In ternet和Intranet，只能單機使用。Win dows server4. 建立WSUS服務(wù)器。WSUS是微軟推出的免費的 Windows更新管理服務(wù)，目前最新 版本除了支持 Windows系統(tǒng)（Windows 2000全系列、Windows XP全系列和在域服務(wù)器上2003 全系列）的更新管理外，還可以支持 SQL Server、Exchange 2000/2003、Office XP/2003 等系統(tǒng)的更新管理，并且在以后， WSUS將實現(xiàn)微軟全系列產(chǎn)品的更新管理。通過組策略設(shè)定客戶端PC的自動更新服務(wù)，。5. 建立防病毒服務(wù)器（比如nod32）

8、，通過防病毒及時更新計算機的病毒庫，增強整體的 病毒抵御能力，及時消滅網(wǎng)內(nèi)病毒。6. 啟用組策略。不同部門可以設(shè)置不同安全策略，以滿足不同部門的辦公需求，通用策 略可以設(shè)置在根域上，特殊權(quán)限在不同部門分別做策略7. 使用radmin軟件進行遠程維護，實現(xiàn)快速的維護響應(yīng)。2.3用戶及名稱規(guī)劃所有用戶均用工號及密碼來登錄域環(huán)境，域的加入可以做一個加入域的批處理，用戶通 過輸入自己的用戶名和密碼既可登錄到域服務(wù)器。所有接入電腦必須嚴格遵守 OU命名規(guī)則，即電腦名必須改為部門加姓名，比如電腦部 陳趙，則其計算機名為：dnbchenzhao。當我們通過一些軟件找到病毒機器時可以通過電腦 名稱快速定位電腦

9、位置。各部門用戶加入各部門的組，便于用戶管理及根據(jù)部門進行不同的策略設(shè)置。計算機帳戶中刪除多余用戶，僅保留域用戶及administrator，重命名管理員帳戶，并且強制統(tǒng)一管理員密碼，以便日后維護。2.4用戶權(quán)限及策略規(guī)劃所有用戶初始權(quán)限為power user能正常訪問本地所有資源，受限安裝軟件，禁止用戶 修改注冊表，禁止修改TCP/IP ,禁止修改計算機設(shè)置。常用軟件可以用軟件分發(fā)來做，個別用戶的特殊軟件可以遠程安裝。近期使用計算機指 派，文件服務(wù)器共享等方式，遠期使用 SMS.2.5具體的實施 2.5.1具體技術(shù)方案包括:（1）需求收集。收集各部門工作需要用到的軟件，與工作有關(guān)的網(wǎng)頁，常見

10、的一些機器故障。（2）規(guī)劃規(guī)劃服務(wù)器，客戶端母盤制作，用戶權(quán)限規(guī)劃。在安裝活動目錄之前，我們首先要對活動目錄的結(jié)構(gòu)進行細致的規(guī)劃設(shè)計，讓用戶和管 理員在使用時更為方便。域的結(jié)構(gòu)遵循簡單原則，采用單域模式，人員的組織以部門為組織 單位加入域中。 規(guī)劃DNS如果用戶準備使用活動目錄，則需要首先規(guī)劃名稱空間。當DNS域名稱空間可在Windows 2003中正確執(zhí)行之前，需要有可用的活動目錄結(jié)構(gòu)。所以，從活動目錄設(shè)計著手 并用適當?shù)腄NS名稱空間支持它。規(guī)劃時，用戶從單域開始，并且只有在單域模式不能滿 單域可跨越多個地理站點，并且單個站點可包含屬于多可以使用組織單元（0U，Organizational

11、 Units）來實現(xiàn)這 規(guī)劃用戶的域結(jié)構(gòu)最容易管理的域結(jié)構(gòu)就是單域。 足用戶的要求時，才增加其他的域。 個域的用戶和計算機。在一個域中， 個目標。然后，可以指定組策略設(shè)置并將用戶、組和計算機放在組織單元中。 規(guī)劃用戶的權(quán)限我們給用戶那些權(quán)限，user （最低權(quán)限，不能安裝軟件），Power user （能完成所有任務(wù) 但不能更改管理員設(shè)置）？建議初期給 power user穩(wěn)定后回收權(quán)限。A. 需要限制用戶使用那些軟件。B. 用戶能夠訪問那些資源。C. 組策略有以下幾個比較重要的應(yīng)用：軟件分發(fā)，分發(fā)msi格式軟件，非msi格式可通過工具轉(zhuǎn)換軟件限制(非辦公軟件可以使用軟件策略進行限制)文件夾重

12、定向，可以把用戶資料保存到安全位置管理設(shè)置，主要設(shè)置一些windows組件相關(guān)內(nèi)容，比如開始菜單顯示的內(nèi)容Ie相關(guān)設(shè)置(信任站點，控件下載，文件下載等)安全設(shè)置(帳戶策略，系統(tǒng)服務(wù)，注冊表，文件系統(tǒng))實現(xiàn)一些腳本的功能(比如分發(fā)一些腳本進行 MAC地址綁定進行ARP免疫) 2.5.2文件服務(wù)器的要求(1 )每個用戶都能存取刪除自己所擁有的文件。(2) 每個使用者都要有自己的帳戶，并且對特定文件夾的訪問需要形成日志保存下來供 管理員查看。(3) 保證用戶存放在服務(wù)器上的文件不攜帶病毒和其它有危害性的代碼。(4) 每個用戶只能在服務(wù)器上存放一定大小，類型的文件，而不是無限大的文件，并且 當存放文件

13、到特定警戒線的時候能通知管理員。2.5.3部署考慮到ris服務(wù)器需要dhcP服務(wù)器支持，且對網(wǎng)絡(luò)帶寬有較高要求，可以通過分批加入 域，分批GHOST部署域服務(wù)器、dns服務(wù)器及文件服務(wù)器，如果需要做dhcp，需要考慮DHCP的實現(xiàn)方 式。后期還要添加 WSUS服務(wù)器，sms服務(wù)器，防病毒服務(wù)器及 0A服務(wù)器，考慮到公司現(xiàn) 在有的客戶機操作系統(tǒng)還有 WIN98系統(tǒng)，信息科介意更新。域服務(wù)器按規(guī)劃做好策略，文件 服務(wù)器做好權(quán)限控制。2.5.4測試部門辦公應(yīng)用在域環(huán)境下能否正常使用，安全性方面能否達到預(yù)期效果。辦公應(yīng)用：erp系統(tǒng)能否正常登錄，打印；office等辦公軟件能否正常運行；遠程 VPN

14、拔號能否正常登錄使用；2.5.5建立各類使用及維護文檔。幫助大家在域環(huán)境下更方便的使用辦公電腦。2.5.6 6.檢測域檢查所有電腦，如果檢測認定安全的直接加入域，如果是 HOME版及機器有問題的，重 做系統(tǒng)。2.5.7域的備份域的備份主要是通過做備份域，以及微軟自帶的備份工具備份帳戶數(shù)據(jù)等。2.5.8效果CPtIL|- AM-cuj llfAdiR CiREUT :IE 3iw:IMW *vrs-m 【1 fcrrm.Ir1憐：讒TTF伽K liz.m.r. izi in.iH.i.u 3-ia.lU.L 123 g 承 5 W lUi IpzNr T Lr 12:11ZM4圖1最終的客戶端系

15、統(tǒng)桌面.TiriEMih謝片收AJJZiJir. U1 ILdlrSi u- AndL-Jvr. nJi e-d .WJE3f. 薊 M 怛!CWT. Ill nji-L*_L .iiEuiR dih DitulLb .圖2運行其他非必須程序提示mil-Xi-vl圖3對文件服務(wù)器的正常訪問(1)服務(wù)器的安全 域控制器的安全保證：域控制器主要是管理局域網(wǎng)的用戶和機器，并對用戶的權(quán)限進行控制,旦主域控制器系統(tǒng)損壞，重新安裝系統(tǒng)后就必須重新建立用戶信息，為了防止系 統(tǒng)損壞而影響系統(tǒng)使用，在局域網(wǎng)中又設(shè)置一臺備份域服務(wù)器，備份域服務(wù)器能將主域控制 器上的所有用戶信息備份到本機，并在主域控制器失效時自動

16、充當主域控制器的角色，保證 系統(tǒng)能正常運行。 文件服務(wù)器的安全保證：文件服務(wù)器主要是保存各種公司私密文件，所以其安全性主要是考慮服務(wù)器上保存的文件的安全性，文件服務(wù)器本身做磁盤冗余，這樣即使服務(wù)器有一 個硬盤損壞也不會導(dǎo)致文件丟失，另外我們還通過異地備份將文件服務(wù)器上文件保存一份到 其他服務(wù)器上，這樣即使文件服務(wù)器遭遇災(zāi)難性的損壞我們的文件也不會丟失。 綜合安全優(yōu)化A. 停掉Guest帳號B. 修改管理員帳號和創(chuàng)建陷阱帳號：重命名Administrator賬號，然后新建一個名稱為 Administrator的陷阱帳號“受限制用 戶”把它的權(quán)限設(shè)置成最低，什么事也干不了，并且加上超級復(fù)雜密碼C.

17、 刪除默認共享Windows2003安裝好以后，系統(tǒng)會創(chuàng)建一些隱藏的共享，要禁止或刪除這些共享以確保 安全，方法是：首先編寫如下內(nèi)容的批處理文件：echo offnet share C$ /delnet share D$ /delnet share E$ /delnet share F$ /delnet share adm in$ /del可以通過組策略編輯器使客戶機系統(tǒng)開機即執(zhí)行腳本刪除系統(tǒng)默認的共享。D. 禁用IPC連接Ipc 連接比女口 net useWipipc$ password /user:usernqme?？梢酝ㄟ^修改注冊表來禁用IPC連接。打開注冊表編輯器。找到 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLsa中的restrictanonymous子鍵，將其值改為1即可禁用IPC連接。重新設(shè)置遠程可訪問的注冊表路徑E. 設(shè)置遠程可訪問的注冊表路徑為空，這樣可以有效地防