一、 解決方案為了更好地進行網(wǎng)絡(luò)管理，合理分配和使用網(wǎng)絡(luò)資源，規(guī)范，引導(dǎo)用戶安全使用辦公電腦，加強對用戶帳號，密碼策略，用戶訪問權(quán)限以及文件安全管理機制，我司建議采用域控制器與文件服務(wù)器相結(jié)合的管理模

一、 解決方案

為了更好地進行網(wǎng)絡(luò)管理，合理分配和使用網(wǎng)絡(luò)資源，規(guī)范，引導(dǎo)用戶安全使用辦公電腦，加強對用戶帳號，密碼策略，用戶訪問權(quán)限以及文件安全管理機制，我司建議采用域控制器與文件服務(wù)器相結(jié)合的管理模式。

二、 域的概述

1 域控制器的定義

域”的真正含義指的是服務(wù)器控制網(wǎng)絡(luò)上的計算機能否加入的計算機組合。一提到組合勢必需要嚴格的控制。所以實行嚴格的管理對網(wǎng)絡(luò)安全是非常必要的。在對等網(wǎng)模式下任何一臺電腦只要接入網(wǎng)絡(luò)，其他機器就都可以訪問共享資源，如共享上網(wǎng)等。盡管對等網(wǎng)絡(luò)上的共享文件可以加訪問密碼，但是非常容易被破解。不過在“域”模式下，至少有一臺服務(wù)器負責每一臺聯(lián)入網(wǎng)絡(luò)的電腦和用戶的驗證工作，相當于一個單位的門衛(wèi)一樣，稱為“域控制器（Domain Controller簡寫為DC ）”。

2 域控制器的好處

1 戶帳號與密碼管理

域控制器中包含了由這個域的賬戶、密碼、屬于這個域的計算機等信息構(gòu)成的數(shù)據(jù)庫。當電腦聯(lián)入網(wǎng)絡(luò)時，域控制器首先要鑒別這臺電腦是否是屬于這個域的，用戶使用的登錄賬號是否存在、密碼是否正確。如果以上信息有一樣不正確，那么域控制器就會拒絕這個用戶從這臺電腦登錄。不能登錄用戶就不能訪問服務(wù)器上有權(quán)限保護的資源他只能以對等網(wǎng)用戶的方式訪問Windows 共享出來的資源，這樣就在一定程度上保護了網(wǎng)絡(luò)上的資源。

2 戶文件安全性

域控制器中包含了每個人的專用文件夾，并對文件夾設(shè)定了用戶訪問權(quán)限，每個人只可以訪問到自己的專用文件夾，而管理員擁有對所有文件夾的訪問權(quán)限，并進行統(tǒng)一的管理，同時可對指定文件夾進行讀、寫限制，并給予統(tǒng)一的帳號和密碼進行訪問，從而大大提高了用戶文件的安全性實現(xiàn)了文件資源的合理分配和使用，便于管理員對網(wǎng)絡(luò)進行統(tǒng)一的管理。

3) 用戶權(quán)限的分配

為了更好地對網(wǎng)絡(luò)進行統(tǒng)一管理，減輕管理員的負擔，域控制器中包含了對用戶使用權(quán)限的分配情況。在域控制器中，域用戶沒有權(quán)限安裝任何軟件，他必須經(jīng)過域管理員同意后并授予一定的權(quán)限方可對軟件進行安裝，卸載等操作。同時，避免了下載或安裝一

些來歷不明的程序而引起病毒感染或系統(tǒng)文件受損，造成用戶數(shù)據(jù)丟失等問題的出現(xiàn)，從而，大大提高了用戶數(shù)據(jù)安全性。

三、 文件共享服務(wù)器概述

在企業(yè)的網(wǎng)絡(luò)中，最常用的功能莫過于“共享文件”了。財務(wù)部門需要當月員工的考勤信息人事部門可能不會親自拿過，而是在網(wǎng)絡(luò)上共享，生產(chǎn)部門的生產(chǎn)報表也不會用書面的資料分發(fā)，而是放在網(wǎng)絡(luò)的共享文件夾下，誰需要的話，就自己去查看就可以了，等等。類似的需求還有很多?？梢?，共享文件的功能，提高了企業(yè)辦公的效率，使企業(yè)局域網(wǎng)應(yīng)用中的一個不可缺的功能。但是，由于共享文件夾管理不當，往往也給企業(yè)帶來了一些安全上的風險。如某些共享文件莫名其妙的被刪除或者修改，有些對于企業(yè)來說數(shù)據(jù)保密的內(nèi)容在網(wǎng)絡(luò)上被共享，所有員工都可以訪問，共享文件成為病毒、木馬等傳播的最好載體等等。所以，共享文件若管理不當會造成比較嚴重的后果。另外，若把企業(yè)的共享文件分散在各個用戶終端管理的話，有一個問題就是用戶對于共享操作的熟悉程度不同或者安全觀念有差異。所以，很難從部署一個統(tǒng)一的文件共享安全策略。如分散在用戶主機的共享文件，員工一般不會定期對其進行備份，以防止因為意外損害而進行及時恢復(fù)，一般也不會設(shè)置具體的訪問權(quán)限，如只允許一些特定的員工訪問等等。因為這些操作的話，一方面可能需要一些專業(yè)知識，另一方面設(shè)置企業(yè)也比較繁瑣。所以，即使我們出了相關(guān)的制度，但是，員工一般很難遵守。

所以，建議部署一個文件共享服務(wù)器，來統(tǒng)一管理共享文件。采取這種策略的話，有如下好處：

1) 可以定時的對共享文件進行備份，從而減少因為意外修改或者刪除而導(dǎo)致的損失。若能夠把共享文件夾都放在文件服務(wù)器上，則我們就可以定時的對文件服務(wù)器上的文件進行備份。如此的話，即使因為權(quán)限設(shè)置不合理，導(dǎo)致文件被意外修改或者刪除，有時會員工自己也會在不經(jīng)意中刪除不該刪的文件，遇到這種情況的時候，則我們可以通過文件恢復(fù)作業(yè)，把原有的文件恢復(fù)過來，從而減少這些不必要的損失。

2) 是可以統(tǒng)一制定文件訪問權(quán)限策略。在共享文件服務(wù)器上，我們可以根據(jù)各個員工的需求，在文件服務(wù)中預(yù)先設(shè)置一些文件夾，并設(shè)置好具體的權(quán)限。如此的話，放到共享文件服務(wù)器中的文件就自動繼承了文件服務(wù)器文件夾的訪問權(quán)限，從而實現(xiàn)統(tǒng)一管理文件訪問權(quán)限的目的。如對于一些全公司都可以訪問的行政通知類文件，我們可以為此設(shè)立一個通知類文件夾，這個文件夾只有行政人員具有讀寫權(quán)限，而其他職工都只有只讀權(quán)限。如此的話其他員工就不能夠?qū)@些通知進行更改或者刪除。所以，對共享文件

夾進行統(tǒng)一的管理可以省去用戶每次設(shè)置權(quán)限的麻煩，從而提高共享文件的安全性。

3) 可以統(tǒng)一進行防毒管理。對于共享文件來說，我們除了要關(guān)心其數(shù)據(jù)是否為泄露或者非法訪問外，另外一個問題就是共享文件是否會被病毒感染。病毒或者木馬是危害企業(yè)網(wǎng)絡(luò)安全的第一把殺手，而共享文件又是其很好的載體。若能夠有效的解決共享文件的病毒木馬感染問題，必定可以有效的抑制病毒或者木馬在企業(yè)網(wǎng)絡(luò)中為非作歹。而我們?nèi)裟軌蛟谄髽I(yè)中統(tǒng)一部署文件服務(wù)器，則我們就可以利用下班的空閑時間，對文件服務(wù)器上的共享文件統(tǒng)一進行殺毒，以保證共享文件服務(wù)器上的文件都是干凈的，沒有被木馬或者病毒所感染，從而避免其成為病毒或者木馬的有效載體。綜上所述，共享文件夾以及共享文件的安全性問題是企業(yè)網(wǎng)絡(luò)安全管理中的一個比較薄弱的環(huán)節(jié)，但是又是一個十分重要的環(huán)節(jié)。相信做好這件工作，必定可以提高企業(yè)網(wǎng)絡(luò)的利用價值減少網(wǎng)絡(luò)安全事故。

四、 項目的規(guī)劃

4.1規(guī)劃域

根據(jù)網(wǎng)絡(luò)規(guī)模以及集中管理和結(jié)構(gòu)簡單, 我們采用單域的結(jié)構(gòu)域名為hl.local 。與多域結(jié)構(gòu)相比實現(xiàn)了網(wǎng)絡(luò)資源的集中管理。并保證了管理上的簡單性和低成本。在域內(nèi)部按照部門名稱劃分OU ，例如行政部，人事部，工程部，銷售部，財務(wù)部用與存儲和管理各個部門的用戶帳戶組以及打印機。整個域結(jié)構(gòu)與公司管理結(jié)構(gòu)相匹配可以實現(xiàn)公司資源的層次管理。

4.2規(guī)劃用戶帳戶和組

在各個部門的ou 中分別為該部門員工創(chuàng)建唯一的域用戶帳戶，帳戶名為張三 員工姓名的拼音。例如“zhangsan ”, 初始密碼為“zhangsan@hl.local”并要求域用戶帳戶在下次登陸時更改密碼。密碼最小長度為8并且要符合復(fù)雜性要求。然后為每個部門創(chuàng)建全局組，命名如下所示，并將同部門的員工帳戶分別加入各個部門的全局組中。 用戶組規(guī)劃表樣例：

部門 全局組

行政部 Xingzheng

人事部 Renshi

銷售部 Xiaoshou

財務(wù)部 Caiwu

4.3 規(guī)劃文件服務(wù)器

a) 通過一臺專用的文件服務(wù)器存儲公共文件以及員工的工作文檔

b) 配置共享權(quán)限和NTFS 權(quán)限，權(quán)限的配置應(yīng)遵循AGDLP 規(guī)則

c) 啟用磁盤配額

d) 制定備份策略，按任務(wù)計劃自動執(zhí)行我們可以規(guī)劃類似以下的企業(yè)文件服務(wù)平臺，既能保證絕大部分員工在IT 部門提供的文件服務(wù)平臺上受益，又可最大程度保障數(shù)據(jù)文件安全。

五、 項目實施

5.1 服務(wù)器操作系統(tǒng)的安裝

服務(wù)器由于數(shù)量較少，可以單獨安裝Windows Server 2003 企業(yè)版. 對系統(tǒng)進行初始化設(shè)置并將計算名命名為:dc，使用ipconfig /all 以及ping 命令驗證網(wǎng)絡(luò)的連通性。最后使用Ghost 工具對系統(tǒng)進行全備份。

5.2 Windows域的創(chuàng)建

在dc 上執(zhí)行命令”dcpromo ”安裝AD 提升為域控制器。為該公司創(chuàng)建一個新域。域名為hl.local 。在安裝AD 的過程中安裝DNS 服務(wù)。

5.3根據(jù)部門劃分OU

為了匹配公司的管理模型，在域內(nèi)按照部門名稱劃分組織單位ou, 例如分別是行政部、人事部、銷售部、財務(wù)部。將來創(chuàng)建各個部門的用戶帳戶和組屬于各個部門ou 。使用AD 活動目錄里的“用戶和計算機”工具創(chuàng)建部門ou 。

5.4 創(chuàng)建用戶賬戶和組

使用【Active Directory 用戶和計算機】工具在各個部門的ou 中分別為該部門員工創(chuàng)建用戶帳戶，帳戶名為員工的員工姓名的拼音。例如張三“zhangsan “, 為每個部門創(chuàng)建全局組，將同部門的員工帳戶分別加入各個部門的全局組。注意，在創(chuàng)建完成之后要進行dc 的數(shù)據(jù)備份即系統(tǒng)的狀態(tài)數(shù)據(jù)。

5.5 配置域安全策略

單擊【開始】|【管理工具】|【域安全策略】打開域安全策略

密碼策略

密碼長度最小值為8 個字符

密碼必須符合復(fù)雜性要求

帳戶鎖定策略

帳戶鎖定閾值為5

賬戶鎖定時間為默認值30 分鐘

審核策略

賬戶登錄事件

對象訪問

5.6 配置文件服務(wù)器

根據(jù)不同用戶和不同部門創(chuàng)建共享文件夾

配置共享權(quán)限和NTFS 權(quán)限

啟用磁盤配額

六、 實施時間

整個項目實施難度不大，估計2-3個工作日即可完成。

七、 域控制器的軟硬件需求

1 操作系統(tǒng)

Windows 2003 Server 操作系統(tǒng)。

2 硬件配置