組建域服務(wù)器----域服務(wù)器部署方案一、網(wǎng)絡(luò)對辦公、學(xué)習(xí)環(huán)境造成的危害隨著Internet 接入的普及和帶寬的增加，一方面師生上網(wǎng)的條件得到改善，另一方面也給學(xué)校帶來更高的網(wǎng)絡(luò)使用危險性、復(fù)雜性和混亂

組建域服務(wù)器

----域服務(wù)器部署方案

一、網(wǎng)絡(luò)對辦公、學(xué)習(xí)環(huán)境造成的危害

隨著Internet 接入的普及和帶寬的增加，一方面師生上網(wǎng)的條件得到改善，另一方面也給學(xué)校帶來更高的網(wǎng)絡(luò)使用危險性、復(fù)雜性和混亂，內(nèi)部員工的不當(dāng)操作等使信息維護人員疲于奔命。網(wǎng)絡(luò)對辦公環(huán)境造成的危害主要表現(xiàn)為：

1、 為給用戶電腦提供正常的標(biāo)準(zhǔn)的辦公環(huán)境，安裝操作系統(tǒng)和應(yīng)用軟件已經(jīng)耗費了信息管理中心人員一定的精力和時間，同時又難以限制用戶安裝軟件，導(dǎo)致管理人員必須花費其50以上的精力用于維護用戶的PC 系統(tǒng)，無法集中精力去開發(fā)信息系統(tǒng)的深層次功能，提升信息系統(tǒng)價值。

2、 由于使用者的防范意識普遍偏低，防毒措施往往不到位，一旦發(fā)生病毒感染，往往擴散到整個網(wǎng)絡(luò)，令網(wǎng)絡(luò)陷于癱瘓狀態(tài)，部分致命的蠕蟲病毒利用TCP/IP協(xié)議的各種漏洞，使得木馬、病毒傳播迅速，影響規(guī)模大，導(dǎo)致網(wǎng)絡(luò)長時間處于帶毒運行，反復(fù)發(fā)作而維護人員疲于維護。

3、 部分網(wǎng)站網(wǎng)頁含有惡意代碼，強行在用戶電腦上安裝各種網(wǎng)絡(luò)搜索引擎插件、廣告插件或中文域名插件等，增加了辦公電腦大量的資源消耗，導(dǎo)致計算機反應(yīng)緩慢；

4、 個別教師和學(xué)生私自安裝從網(wǎng)絡(luò)下載安裝的軟件，這些從網(wǎng)絡(luò)上下載的軟件安裝包多數(shù)附帶各種插件、木馬和病毒，并在安裝過

程中用戶不知情的情況下強行安裝在辦公電腦上，增加了辦公電腦大量的資源消耗，導(dǎo)致計算機反應(yīng)緩慢，甚至被遠(yuǎn)程控制；

5、 局域網(wǎng)共享，包括默認(rèn)共享（無意），文件共享（有意），一些病毒比如ARP 通過廣播四處泛濫，影響到整個片區(qū)辦公電腦的正常工作。

6、 部分教師、學(xué)生使用學(xué)校計算機上網(wǎng)聊天、聽歌、看電影、打游戲，部分教師全天24小時啟用P2P 軟件下載音樂和影視文件，由于flashget 、迅雷和BT 等軟件并發(fā)線程多，導(dǎo)致大量帶寬被部分教師、學(xué)生占用，網(wǎng)絡(luò)速度緩慢，導(dǎo)致應(yīng)用軟件系統(tǒng)無法正常開展業(yè)務(wù)，即便是嚴(yán)格的計算機使用管理制度也很難保障企業(yè)中的計算機只用于企業(yè)業(yè)務(wù)本身，PC 的業(yè)務(wù)專注性、管控能力不強。

二、網(wǎng)絡(luò)管理和維護策略

針對以上這些因素，我們可以通過域服務(wù)器來統(tǒng)一定義客戶端機器的安全策略，規(guī)范，引導(dǎo)用戶安全使用辦公電腦。

（一）域服務(wù)器的作用

1、安全集中管理，統(tǒng)一安全策略

2、軟件集中管理 ，按照學(xué)校要求限定所有機器只能運行必需的辦公軟件。

3、環(huán)境集中管理，利用AD 可以統(tǒng)一客戶端桌面,IE,TCP/IP等設(shè)置

4、活動目錄是企業(yè)基礎(chǔ)架構(gòu)的根本，為學(xué)校整體統(tǒng)一管理做基礎(chǔ) 其它isa,exchange, 防病毒服務(wù)器，補丁分發(fā)服務(wù)器，文件服務(wù)

器等服務(wù)依賴于域服務(wù)器。

（二）建立域管理

1、建立域控制器，并規(guī)定所有辦公、學(xué)生電腦必須加入域，接受域控制器的管理，同時嚴(yán)格控制用戶的權(quán)限。汕尾發(fā)電廠的教師帳號只有標(biāo)準(zhǔn)user 權(quán)限。不允許信息系統(tǒng)管理員泄露域管理員密碼和本地管理員密碼。

在如今各種流氓插件、廣告插件、木馬和病毒霸道橫行的網(wǎng)絡(luò)環(huán)境中，普通教師只具備標(biāo)準(zhǔn)的power user權(quán)限，實際上是對公環(huán)境有效的保護。

辦公、學(xué)生PC 必須嚴(yán)格遵守OU 命名規(guī)則，同時實現(xiàn)實名負(fù)責(zé)制。指定教師對該PC 負(fù)責(zé)，這不但是固定資產(chǎn)管理的要求，也是網(wǎng)絡(luò)安全管理的要求。對PC 實施教師實名負(fù)責(zé)是至關(guān)重要的，一旦發(fā)現(xiàn)該教師電腦中毒和在廣播病毒包，信息系統(tǒng)管理員能準(zhǔn)確定位，迅速做出反應(yīng)，避免擴大影響。

2、PC 維護包干到戶。

管理員在實際工作中可能存在拿本地管理員權(quán)限作為人情，這其實是一種自殺行為。任何一個具備管理管理員權(quán)限的教師，即使是管理員，使用Administrator 權(quán)限上網(wǎng)，稍有不慎，便掉入網(wǎng)絡(luò)陷阱。為避免這種情況，對PC 維護人員，采取區(qū)域包干到戶的管理，同時區(qū)域負(fù)責(zé)人的域用戶帳號具備該區(qū)域內(nèi)所有辦公、學(xué)生電腦本地管理員的權(quán)限；如果區(qū)域負(fù)責(zé)人他愿意增加本地電腦管理員權(quán)限，增加的風(fēng)險和工作量將由他自己承擔(dān)。所有辦公、學(xué)生電腦的本地管理員密

碼由域控制器負(fù)責(zé)人掌握、設(shè)定或變更。

3、在防火墻上只開放常用或業(yè)務(wù)系統(tǒng)需要的端口，如80、25、21、110、443，其它端口一律封鎖，有效實施對P2P 和BT 軟件的封鎖。

4、接入網(wǎng)絡(luò)的計算機必須接受信息中心的管理。通過在防火墻上設(shè)置相關(guān)的策略，允許經(jīng)信息中心核準(zhǔn)的某些IP 組可以在本機上直接訪問Internet ，或某些IP 組只能連接局域網(wǎng)的應(yīng)用服務(wù)器，對于不遵守OU 命名規(guī)則的機器IP 和沒有經(jīng)過信息系統(tǒng)管理員授權(quán)的機器IP ，不允許訪問Internet 和Intranet ，只能單機使用。

5、建立WSUS 服務(wù)器。WSUS 是微軟推出的免費的Windows 更新管理服務(wù)，目前最新版本除了支持Windows 系統(tǒng)（Windows 2000全系列、Windows XP全系列和Windows server 2003全系列）的更新管理外，還可以支持SQL Server、Exchange 2000/2003、Office XP/2003等系統(tǒng)的更新管理，并且在以后，WSUS 將實現(xiàn)微軟全系列產(chǎn)品的更新管理。在域服務(wù)器上通過組策略設(shè)定客戶端PC 的自動更新服務(wù)器。

6、建立防病毒服務(wù)器（比如諾頓），通過防病毒及時更新計算機的病毒庫，增強整體的病毒抵御能力，及時消滅網(wǎng)內(nèi)病毒。

7、啟用組策略。檢查用戶的計算機是否具備了相應(yīng)的安全策略。只有符合相應(yīng)的安全策略的計算機才允許訪問外部網(wǎng)絡(luò)，不具備相應(yīng)安全條件的用戶計算機，不允許上網(wǎng)。這樣從根本上提高了企業(yè)用戶計算機的安全性，減少了企業(yè)用戶遭受蠕蟲、病毒、木馬以及間諜軟

件的風(fēng)險。

8、主干設(shè)備上做數(shù)據(jù)過濾，屏蔽掉非辦公、學(xué)生應(yīng)用的數(shù)據(jù)流。

9、使用DameWare NT Utilities軟件進行遠(yuǎn)程維護，實現(xiàn)快速的維護響應(yīng)。

10、借助于入侵檢測防御系統(tǒng)，使得管理員可以根據(jù)記錄進行統(tǒng)計分析，發(fā)現(xiàn)有潛在危險的辦公、學(xué)生計算機，可以有針對性地進行預(yù)防性檢查。

(三) 整體規(guī)劃：

最上面是單域zhongyu.com

下面創(chuàng)建OU ：zydx

Zydx 下面創(chuàng)建以下幾個OU

Groups ：這里是所有的部門

Users ：這里是所有用戶

Servers ：服務(wù)器群，比如病毒服務(wù)器，補丁分發(fā)服務(wù)器，isa 服務(wù)器

Mobiles ：所有的移動電腦

Workstations ：所有工作站

It ：特殊組，一些管理員和特殊用戶。

不同部門可以設(shè)置不同安全策略，以滿足不同部門的辦公、學(xué)生需求，通用策略可以設(shè)置在根域上，特殊權(quán)限在不同部門分別做策略。

（四）用戶及名稱規(guī)劃

所有用戶均用工號及密碼來登錄域環(huán)境，域的加入可以做一個加

入域的批處理，用戶通過輸入自己的用戶名和密碼既可登錄到域服務(wù)器。

所有接入電腦必須嚴(yán)格遵守OU 命名規(guī)則，即電腦名必須改為部門加工號，比如電腦部易小輝，則其計算機名為：dnb236294。當(dāng)我們通過一些軟件找到病毒機器時可以通過電腦名稱快速定位電腦位置，通過工號可以及時聯(lián)系責(zé)任人進行處理。

各部門用戶加入各部門的組，便于用戶管理及根據(jù)部門進行不同的策略設(shè)置

計算機帳戶中刪除多余用戶，僅保留域用戶及administrator ，重命名管理員帳戶，并且強制統(tǒng)一管理員密碼，以便日后維護。

（五）用戶權(quán)限及策略規(guī)劃

所有用戶初始權(quán)限為power user 能正常訪問本地所有資源，受限安裝軟件，禁止用戶修改注冊表，禁止修改TCP/IP，禁止修改計算機設(shè)置。

常用軟件可以用軟件分發(fā)來做，個別用戶的特殊軟件可以遠(yuǎn)程安裝。近期使用計算機指派, 文件服務(wù)器共享等方式，遠(yuǎn)期使用SMS.

（六）具體的實施

具體技術(shù)方案包括：

1、需求收集。

收集各部門工作需要用到的軟件，與工作有關(guān)的網(wǎng)頁，常見的一些機器故障。

2、規(guī)劃。規(guī)劃服務(wù)器，客戶端母盤制作，用戶權(quán)限規(guī)劃。

（七）、安裝活動目錄

在安裝活動目錄之前，我們首先要對活動目錄的結(jié)構(gòu)進行細(xì)致的規(guī)劃設(shè)計，讓用戶和管理員在使用時更為方便。域的結(jié)構(gòu)遵循簡單原則，采用單域模式，人員的組織以部門為組織單位加入域中。

1、規(guī)劃DNS

如果用戶準(zhǔn)備使用活動目錄，則需要首先規(guī)劃名稱空間。當(dāng)DNS 域名稱空間可在Windows 2003中正確執(zhí)行之前，需要有可用的活動目錄結(jié)構(gòu)。所以，從活動目錄設(shè)計著手并用適當(dāng)?shù)腄NS 名稱空間支持它。

2、規(guī)劃用戶的域結(jié)構(gòu)

最容易管理的域結(jié)構(gòu)就是單域。規(guī)劃時，用戶從單域開始，并且只有在單域模式不能滿足用戶的要求時，才增加其他的域。單域可跨越多個地理站點，并且單個站點可包含屬于多個域的用戶和計算機。在一個域中，可以使用組織單元(OU，Organizational Units) 來實現(xiàn)這個目標(biāo)。然后，可以指定組策略設(shè)置并將用戶、組和計算機放在組織單元中。

3、規(guī)劃用戶的權(quán)限

我們給用戶那些權(quán)限,user （最低權(quán)限，不能安裝軟件），power user （能完成所有任務(wù)但不能更改管理員設(shè)置）？建議初期給power user 穩(wěn)定后回收權(quán)限。

需要限制用戶使用那些軟件

用戶能夠訪問那些資源

組策略有以下幾個比較重要的應(yīng)用：

1、軟件分發(fā)，分發(fā)msi 格式軟件，非msi 格式可通過工具轉(zhuǎn)換

2、軟件限制（非辦公、學(xué)生軟件可以使用軟件策略進行限制）

3、文件夾重定向、可以把用戶資料保存到安全位置

4、管理設(shè)置, 主要設(shè)置一些windows 組件相關(guān)內(nèi)容，比如開始菜單顯示的內(nèi)容

5、Ie 相關(guān)設(shè)置（信任站點，控件下載，文件下載等）

6、安全設(shè)置（帳戶策略，系統(tǒng)服務(wù)，注冊表，文件系統(tǒng)）

7、 實現(xiàn)一些腳本的功能（比如分發(fā)一些腳本進行MAC 地址綁定進行ARP 免疫）

（八）文件服務(wù)器的要求

1、每個用戶都能存取刪除自己所擁有的文件。

2、每個使用者都要有自己的帳戶，并且對特定文件夾的訪問需要形成日志保存下來供管理員查看。

3、保證用戶存放在服務(wù)器上的文件不攜帶病毒和其它有危害性的代碼。

4、每個用戶只能在服務(wù)器上存放一定大小, 類型的文件，而不是無限大的文件，并且當(dāng)存放文件到特定警戒線的時候能通知管理員。

5、母盤制作相關(guān)問題

A 、那些軟件是必須安裝的

B 、系統(tǒng)做那些優(yōu)化

C 、安全設(shè)置（ie 安全設(shè)置，共享安全設(shè)置等）

D 、避免sid 問題

6、部署。

⑴部署客戶端

考慮到ris 服務(wù)器需要dhcp 服務(wù)器支持，且對網(wǎng)絡(luò)帶寬有較高要求，可以通過分批加入域，分批GHOST

⑵部署域服務(wù)器、dns 服務(wù)器及文件服務(wù)器，如果需要做dhcp ，需要張工，徐工考慮DHCP 的實現(xiàn)方式。后期還要添加WSUS 服務(wù)器，sms 服務(wù)器，諾頓防病毒服務(wù)器及vpn 服務(wù)器，因為所有客戶機操作系統(tǒng)都為XP ，沒有98或者其他系統(tǒng)，個人認(rèn)為wins 服務(wù)器在域環(huán)境下沒有必要。域服務(wù)器按規(guī)劃做好策略，文件服務(wù)器做好權(quán)限控制。

7、測試。

部門辦公、學(xué)生應(yīng)用在域環(huán)境下能否正常使用，安全性方面能否達(dá)到預(yù)期效果。

辦公、學(xué)生應(yīng)用：erp 系統(tǒng)能否正常登錄，打??；office 軟件能否正常運行；bbs 能否正常登錄使用；

8、建立各類使用及維護文檔。

幫助大家在域環(huán)境下更方便的使用辦公、學(xué)生電腦。

9、檢查所有電腦，如果檢測認(rèn)定安全的直接加入域，如果是HOME 版及機器有問題的，重做系統(tǒng)。

10、域的備份

域的備份主要是通過做備份域，以及微軟自帶的備份工具備份帳數(shù)據(jù)等。

三、服務(wù)器的安全

1、域控制器的安全保證：域控制器主要是管理局域網(wǎng)的用戶和機器，并對用戶的權(quán)限進行控制，一旦主域控制器系統(tǒng)損壞，重新安裝系統(tǒng)后就必須重新建立用戶信息，為了防止系統(tǒng)損壞而影響系統(tǒng)使用，在局域網(wǎng)中又設(shè)置一臺備份域服務(wù)器，備份域服務(wù)器能將主域控制器上的所有用戶信息備份到本機，并在主域控制器失效時自動充當(dāng)主域控制器的角色，保證系統(tǒng)能正常運行。

2、文件服務(wù)器的安全保證：文件服務(wù)器主要是保存各種公司私密文件，所以其安全性主要是考慮服務(wù)器上保存的文件的安全性，文件服務(wù)器本身做磁盤冗余，這樣即使服務(wù)器有一個硬盤損壞也不會導(dǎo)致文件丟失，另外我們還通過異地備份將文件服務(wù)器上文件保存一份到其他服務(wù)器上，這樣即使文件服務(wù)器遭遇災(zāi)難性的損壞我們的文件也不會丟失。

3、綜合安全優(yōu)化

⑴停掉Guest 帳號

⑵修改管理員帳號和創(chuàng)建陷阱帳號：

重命名Administrator 賬號，然后新建一個名稱為Administrator 的陷阱帳號“受限制用戶”，把它的權(quán)限設(shè)置成最低，什么事也干不了，并且加上超級復(fù)雜密碼

⑶刪除默認(rèn)共享

Windows2003安裝好以后，系統(tǒng)會創(chuàng)建一些隱藏的共享，要禁止或刪除這些共享以確保安全，方法是：首先編寫如下內(nèi)容的批處理文