集團域服務器部署方案一、網絡對辦公環(huán)境造成的危害隨著Internet 接入的普及和帶寬的增加，一方面員工上網的條件得到改善，另一方面也給公司帶來更高的網絡使用危險性、復雜性和混亂，內部員工的不當操作等

集團域服務器部署方案

一、網絡對辦公環(huán)境造成的危害

隨著Internet 接入的普及和帶寬的增加，一方面員工上網的條件得到改善，另一方面也給公司帶來更高的網絡使用危險性、復雜性和混亂，內部員工的不當操作等使信息維護人員疲于奔命。網絡對辦公環(huán)境造成的危害主要表現為：

1. 為給用戶電腦提供正常的標準的辦公環(huán)境，安裝操作系統和應用軟件已經耗費了信息管理中心人員一定的精力和時間，同時又難以限制用戶安裝軟件，導致管理人員必須花費其50以上的精力用于維護用戶的PC 系統，無法集中精力去開發(fā)信息系統的深層次功能，提升信息系統價值。

2. 由于使用者的防范意識普遍偏低，防毒措施往往不到位，一旦發(fā)生病毒感染，往往擴散到全網絡，令網絡陷于癱瘓狀態(tài)，部分致命的蠕蟲病毒利用TCP/IP協議的各種漏洞，使得木馬、病毒傳播迅速，影響規(guī)模大，導致網絡長時間處于帶毒運行，反復發(fā)作而維護人員。

3. 部分網站網頁含有惡意代碼，強行在用戶電腦上安裝各種網絡搜索引擎插件、廣告插件或中文域名插件等，增加了辦公電腦大量的資源消耗，導致計算機反應緩慢；

4. 個別員工私自安裝從網絡下載安裝的軟件，這些從網絡上下載的軟件安裝包多數附帶各種插件、木馬和病毒，并在安裝過程中用戶不知情的情況下強行安裝在辦公電腦上，增加了辦公電腦大量的資源消耗，導致計算機反應緩慢，甚至被遠程控制；

5. 局域網共享，包括默認共享（無意），文件共享（有意），一些病毒比如ARP 通過廣播四處泛濫，影響到整個片區(qū)辦公電腦的正常工作；

6. 部分員工使用公司計算機上網聊天、聽歌、看電影、打游戲，部分員工全天24小時啟用P2P 軟件下載音樂和影視文件，由于flashget 、迅雷和BT 等軟件并發(fā)線程多，導致大量帶寬被部分員工占用，網絡速度緩慢，導致應用軟件系統無法正常開展業(yè)務，即便是嚴格的計算機使用管理制度也很難保障企業(yè)中的計算機只用于企業(yè)業(yè)務本身，PC 的業(yè)務專注性、管控能力不強。

二、網絡管理和維護策略

針對以上這些因素，我們可以通過域服務器來統一定義客戶端機器的安全策略，規(guī)范，引導用戶安全使用辦公電腦。

域服務器的作用

1. 安全集中管理 統一安全策略

2. 軟件集中管理 按照公司要求限定所有機器只能運行必需的辦公軟件。

3. 環(huán)境集中管理 利用AD 可以統一客戶端桌面,IE,TCP/IP等設置

4. 活動目錄是企業(yè)基礎架構的根本，為公司整體統一管理做基礎 其它OA 服務器，防病毒服務器，補丁分發(fā)服務器，文件服務器等服務依賴于域服務器。 建立域管理

1，建立域控制器，并規(guī)定所有辦公電腦必須加入域，接受域控制器的管理，同時嚴格控制用戶的權限。集團的員工帳號只有標準user 權限。不允許信息系統管理員泄露域管理員密碼和本地管理員密碼。

在如今各種流氓插件、廣告插件、木馬和病毒霸道橫行的網絡環(huán)境中，普通

員工只具備標準的power user權限，實際上是對公環(huán)境有效的保護。

辦公PC 必須嚴格遵守OU 命名規(guī)則，同時實現實名負責制。指定員工對該PC 負責，這不但是固定資產管理的要求，也是網絡安全管理的要求。對PC 實施員工實名負責是至關重要的，一旦發(fā)現該員工電腦中毒和在廣播病毒包，信息系統管理員能準確定位，迅速做出反應，避免擴大影響。

2：在防火墻上只開放常用或業(yè)務系統需要的端口，如80、25、21、110、443，其它端口一律封鎖，有效實施對P2P 和BT 軟件的封鎖。

3：接入網絡的計算機必須接受信息中心的管理。通過在防火墻上設置相關的策略，允許經信息中心核準的某些IP 組可以在本機上直接訪問Internet ，或某些IP 組只能連接局域網的應用服務器，對于不遵守OU 命名規(guī)則的機器IP 和沒有經過信息系統管理員授權的機器IP ，不允許訪問Internet 和Intranet ，只能單機使用。

4：建立WSUS 服務器。WSUS 是微軟推出的免費的Windows 更新管理服務，目前最新版本除了支持Windows 系統（Windows 2000全系列、Windows XP 全系列和Windows server 2003全系列）的更新管理外，還可以支持SQL Server 、Exchange 2000/2003、Office XP/2003等系統的更新管理，并且在以后，WSUS 將實現微軟全系列產品的更新管理。在域服務器上通過組策略設定客戶端PC 的自動更新服務，。

5：建立防病毒服務器（比如nod32），通過防病毒及時更新計算機的病毒庫，增強整體的病毒抵御能力，及時消滅網內病毒。

6：啟用組策略。不同部門可以設置不同安全策略，以滿足不同部門的辦公需求，通用策略可以設置在根域上，特殊權限在不同部門分別做策略

7：使用radmin 軟件進行遠程維護，實現快速的維護響應。

用戶及名稱規(guī)劃

所有用戶均用工號及密碼來登錄域環(huán)境，域的加入可以做一個加入域的批處理，用戶通過輸入自己的用戶名和密碼既可登錄到域服務器。

所有接入電腦必須嚴格遵守OU 命名規(guī)則，即電腦名必須改為部門加姓名，比如電腦部陳趙，則其計算機名為：dnbchenzhao 。當我們通過一些軟件找到病毒機器時可以通過電腦名稱快速定位電腦位置。

各部門用戶加入各部門的組，便于用戶管理及根據部門進行不同的策略設置 計算機帳戶中刪除多余用戶，僅保留域用戶及administrator ，重命名管理員帳戶，并且強制統一管理員密碼，以便日后維護。

用戶權限及策略規(guī)劃

所有用戶初始權限為power user 能正常訪問本地所有資源，受限安裝軟件，禁止用戶修改注冊表，禁止修改TCP/IP，禁止修改計算機設置。

常用軟件可以用軟件分發(fā)來做，個別用戶的特殊軟件可以遠程安裝。近期使用計算機指派, 文件服務器共享等方式，遠期使用SMS.

具體的實施

具體技術方案包括：

1，需求收集。

收集各部門工作需要用到的軟件，與工作有關的網頁，常見的一些機器故障。

2．規(guī)劃。規(guī)劃服務器，客戶端母盤制作，用戶權限規(guī)劃。

在安裝活動目錄之前，我們首先要對活動目錄的結構進行細致的規(guī)劃設計，讓用戶和管理員在使用時更為方便。域的結構遵循簡單原則，采用單域模式，人員的

組織以部門為組織單位加入域中

1. 規(guī)劃DNS

如果用戶準備使用活動目錄，則需要首先規(guī)劃名稱空間。當DNS 域名稱空間可在Windows 2003中正確執(zhí)行之前，需要有可用的活動目錄結構。所以，從活動目錄設計著手并用適當的DNS 名稱空間支持它。

2. 規(guī)劃用戶的域結構

最容易管理的域結構就是單域。規(guī)劃時，用戶從單域開始，并且只有在單域模式不能滿足用戶的要求時，才增加其他的域。單域可跨越多個地理站點，并且單個站點可包含屬于多個域的用戶和計算機。在一個域中，可以使用組織單元(OU，Organizational Units)來實現這個目標。然后，可以指定組策略設置并將用戶、組和計算機放在組織單元中。

3. 規(guī)劃用戶的權限

我們給用戶那些權限,user （最低權限，不能安裝軟件），power user（能完成所有任務但不能更改管理員設置）？建議初期給power user 穩(wěn)定后回收權限。 需要限制用戶使用那些軟件

用戶能夠訪問那些資源

組策略有以下幾個比較重要的應用

1，軟件分發(fā)，分發(fā)msi 格式軟件，非msi 格式可通過工具轉換

2，軟件限制（非辦公軟件可以使用軟件策略進行限制）

3，文件夾重定向，可以把用戶資料保存到安全位置

4，管理設置, 主要設置一些windows 組件相關內容，比如開始菜單顯示的內容 5，Ie 相關設置（信任站點，控件下載，文件下載等）

6，安全設置（帳戶策略，系統服務，注冊表，文件系統）

7，實現一些腳本的功能（比如分發(fā)一些腳本進行MAC 地址綁定進行ARP 免疫） 文件服務器的要求

1、每個用戶都能存取刪除自己所擁有的文件。

2、每個使用者都要有自己的帳戶，并且對特定文件夾的訪問需要形成日志保存下來供管理員查看。

3、保證用戶存放在服務器上的文件不攜帶病毒和其它有危害性的代碼。

4、每個用戶只能在服務器上存放一定大小, 類型的文件，而不是無限大的文件，并且當存放文件到特定警戒線的時候能通知管理員。

3．部署。

部署客戶端

考慮到ris 服務器需要dhcp 服務器支持，且對網絡帶寬有較高要求，可以通過分批加入域，分批GHOST

部署域服務器、dns 服務器及文件服務器，如果需要做dhcp ，需要考慮DHCP 的實現方式。后期還要添加WSUS 服務器，sms 服務器，防病毒服務器及OA 服務器，考慮到公司現在有的客戶機操作系統還有WIN98系統，信息科介意更新。域服務器按規(guī)劃做好策略，文件服務器做好權限控制。

4．測試。

部門辦公應用在域環(huán)境下能否正常使用，安全性方面能否達到預期效果。

辦公應用：erp 系統能否正常登錄，打?。籵ffice 等辦公軟件能否正常運行；遠程VPN 拔號能否正常登錄使用；

5．建立各類使用及維護文檔。

幫助大家在域環(huán)境下更方便的使用辦公電腦。

6．檢查所有電腦，如果檢測認定安全的直接加入域，如果是HOME 版及機器有問題的，重做系統。

7．域的備份

域的備份主要是通過做備份域，以及微軟自帶的備份工具備份帳戶數據等。 效果

最終的客戶端系統桌面如下

運行其他非必須程序提示：

對文件服務器的正常訪問：

服務器的安全

1、域控制器的安全保證：域控制器主要是管理局域網的用戶和機器，并對

用戶的權限進行控制，一旦主域控制器系統損壞，重新安裝系統后就必須重新建立用戶信息，為了防止系統損壞而影響系統使用，在局域網中又設置一臺備份域服務器，備份域服務器能將主域控制器上的所有用戶信息備份到本機，并在主域控制器失效時自動充當主域控制器的角色，保證系統能正常運行。

2、文件服務器的安全保證：文件服務器主要是保存各種公司私密文件，所以其安全性主要是考慮服務器上保存的文件的安全性，文件服務器本身做磁盤冗余，這樣即使服務器有一個硬盤損壞也不會導致文件丟失，另外我們還通過異地備份將文件服務器上文件保存一份到其他服務器上，這樣即使文件服務器遭遇災難性的損壞我們的文件也不會丟失。

3、綜合安全優(yōu)化

1，停掉Guest 帳號

2，修改管理員帳號和創(chuàng)建陷阱帳號：

重命名Administrator 賬號，然后新建一個名稱為Administrator 的陷阱帳號“受限制用戶”，把它的權限設置成最低，什么事也干不了，并且加上超級復雜密碼

3，刪除默認共享

Windows2003安裝好以后，系統會創(chuàng)建一些隱藏的共享，要禁止或刪除這些共享以確保安全，方法是：首先編寫如下內容的批處理文件：

@echo off

net share C$ /del

net share D$ /del

net share E$ /del

net share F$ /del

net share admin$ /del

可以通過組策略編輯器使客戶機系統開機即執(zhí)行腳本刪除系統默認的共享。 4，禁用IPC 連接

Ipc 連接 比如 net useipipc$ "password" /user:"usernqme"。可以通過修改注冊表來禁用IPC 連接。打開注冊表編輯器。找到HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLsa中的restrictanonymous 子鍵，將其值改為1即可禁用IPC 連接。

重新設置遠程可訪問的注冊表路徑

5，設置遠程可訪問的注冊表路徑為空，這樣可以有效地防止黑客利用掃描器通過遠程注冊表讀取計算機的系統信息及其它信息。打開組策略編輯器，然后選擇“計算機配置”→“Windows 設置”→“安全選項”→“網絡訪問：可遠程訪問的注冊表路徑”及“網絡訪問：可遠程訪問的注冊表”，將設置遠程可訪問的注冊表路徑和子路徑內容設置為空即可。

6，關閉不需要的端口

7，關閉不需要的服務

服務提供了核心操作系統功能，如Web 服務、事件日志記錄、文件服務、幫助和支持、打印、加密和錯誤報告，并不是所有默認服務都是我們需要的。我們不需要的可以停用、禁用，來釋放系統資源。

8，鎖住注冊表

9，運行防病毒軟件

10, 備份