一、 解決方案為了更好地進(jìn)行網(wǎng)絡(luò)管理，合理分配和使用網(wǎng)絡(luò)資源，規(guī)范，引導(dǎo)用戶安全使用辦公電腦，加強(qiáng)對(duì)用戶帳號(hào)，密碼策略，用戶訪問(wèn)權(quán)限以及文件安全管理機(jī)制，我司建議采用域控制器與文件服務(wù)器相結(jié)合的管理模

一、 解決方案

為了更好地進(jìn)行網(wǎng)絡(luò)管理，合理分配和使用網(wǎng)絡(luò)資源，規(guī)范，引導(dǎo)用戶安全使用辦公電腦，加強(qiáng)對(duì)用戶帳號(hào)，密碼策略，用戶訪問(wèn)權(quán)限以及文件安全管理機(jī)制，我司建議采用域控制器與文件服務(wù)器相結(jié)合的管理模式。

二、 域的概述

1 域控制器的定義

域”的真正含義指的是服務(wù)器控制網(wǎng)絡(luò)上的計(jì)算機(jī)能否加入的計(jì)算機(jī)組合。一提到組合勢(shì)必需要嚴(yán)格的控制。所以實(shí)行嚴(yán)格的管理對(duì)網(wǎng)絡(luò)安全是非常必要的。在對(duì)等網(wǎng)模式下任何一臺(tái)電腦只要接入網(wǎng)絡(luò)，其他機(jī)器就都可以訪問(wèn)共享資源，如共享上網(wǎng)等。盡管對(duì)等網(wǎng)絡(luò)上的共享文件可以加訪問(wèn)密碼，但是非常容易被破解。不過(guò)在“域”模式下，至少有一臺(tái)服務(wù)器負(fù)責(zé)每一臺(tái)聯(lián)入網(wǎng)絡(luò)的電腦和用戶的驗(yàn)證工作，相當(dāng)于一個(gè)單位的門(mén)衛(wèi)一樣，稱(chēng)為“域控制器（Domain Controller簡(jiǎn)寫(xiě)為DC ）”。

2 域控制器的好處

1 戶帳號(hào)與密碼管理

域控制器中包含了由這個(gè)域的賬戶、密碼、屬于這個(gè)域的計(jì)算機(jī)等信息構(gòu)成的數(shù)據(jù)庫(kù)。當(dāng)電腦聯(lián)入網(wǎng)絡(luò)時(shí)，域控制器首先要鑒別這臺(tái)電腦是否是屬于這個(gè)域的，用戶使用的登錄賬號(hào)是否存在、密碼是否正確。如果以上信息有一樣不正確，那么域控制器就會(huì)拒絕這個(gè)用戶從這臺(tái)電腦登錄。不能登錄用戶就不能訪問(wèn)服務(wù)器上有權(quán)限保護(hù)的資源他只能以對(duì)等網(wǎng)用戶的方式訪問(wèn)Windows 共享出來(lái)的資源，這樣就在一定程度上保護(hù)了網(wǎng)絡(luò)上的資源。

2 戶文件安全性

域控制器中包含了每個(gè)人的專(zhuān)用文件夾，并對(duì)文件夾設(shè)定了用戶訪問(wèn)權(quán)限，每個(gè)人只可以訪問(wèn)到自己的專(zhuān)用文件夾，而管理員擁有對(duì)所有文件夾的訪問(wèn)權(quán)限，并進(jìn)行統(tǒng)一的管理，同時(shí)可對(duì)指定文件夾進(jìn)行讀、寫(xiě)限制，并給予統(tǒng)一的帳號(hào)和密碼進(jìn)行訪問(wèn)，從而大大提高了用戶文件的安全性實(shí)現(xiàn)了文件資源的合理分配和使用，便于管理員對(duì)網(wǎng)絡(luò)進(jìn)行統(tǒng)一的管理。

3) 用戶權(quán)限的分配

為了更好地對(duì)網(wǎng)絡(luò)進(jìn)行統(tǒng)一管理，減輕管理員的負(fù)擔(dān)，域控制器中包含了對(duì)用戶使用權(quán)限的分配情況。在域控制器中，域用戶沒(méi)有權(quán)限安裝任何軟件，他必須經(jīng)過(guò)域管理員同意后并授予一定的權(quán)限方可對(duì)軟件進(jìn)行安裝，卸載等操作。同時(shí)，避免了下載或安裝一

些來(lái)歷不明的程序而引起病毒感染或系統(tǒng)文件受損，造成用戶數(shù)據(jù)丟失等問(wèn)題的出現(xiàn)，從而，大大提高了用戶數(shù)據(jù)安全性。

三、 文件共享服務(wù)器概述

在企業(yè)的網(wǎng)絡(luò)中，最常用的功能莫過(guò)于“共享文件”了。財(cái)務(wù)部門(mén)需要當(dāng)月員工的考勤信息人事部門(mén)可能不會(huì)親自拿過(guò)，而是在網(wǎng)絡(luò)上共享，生產(chǎn)部門(mén)的生產(chǎn)報(bào)表也不會(huì)用書(shū)面的資料分發(fā)，而是放在網(wǎng)絡(luò)的共享文件夾下，誰(shuí)需要的話，就自己去查看就可以了，等等。類(lèi)似的需求還有很多?？梢?jiàn)，共享文件的功能，提高了企業(yè)辦公的效率，使企業(yè)局域網(wǎng)應(yīng)用中的一個(gè)不可缺的功能。但是，由于共享文件夾管理不當(dāng)，往往也給企業(yè)帶來(lái)了一些安全上的風(fēng)險(xiǎn)。如某些共享文件莫名其妙的被刪除或者修改，有些對(duì)于企業(yè)來(lái)說(shuō)數(shù)據(jù)保密的內(nèi)容在網(wǎng)絡(luò)上被共享，所有員工都可以訪問(wèn)，共享文件成為病毒、木馬等傳播的最好載體等等。所以，共享文件若管理不當(dāng)會(huì)造成比較嚴(yán)重的后果。另外，若把企業(yè)的共享文件分散在各個(gè)用戶終端管理的話，有一個(gè)問(wèn)題就是用戶對(duì)于共享操作的熟悉程度不同或者安全觀念有差異。所以，很難從部署一個(gè)統(tǒng)一的文件共享安全策略。如分散在用戶主機(jī)的共享文件，員工一般不會(huì)定期對(duì)其進(jìn)行備份，以防止因?yàn)橐馔鈸p害而進(jìn)行及時(shí)恢復(fù)，一般也不會(huì)設(shè)置具體的訪問(wèn)權(quán)限，如只允許一些特定的員工訪問(wèn)等等。因?yàn)檫@些操作的話，一方面可能需要一些專(zhuān)業(yè)知識(shí)，另一方面設(shè)置企業(yè)也比較繁瑣。所以，即使我們出了相關(guān)的制度，但是，員工一般很難遵守。

所以，建議部署一個(gè)文件共享服務(wù)器，來(lái)統(tǒng)一管理共享文件。采取這種策略的話，有如下好處：

1) 可以定時(shí)的對(duì)共享文件進(jìn)行備份，從而減少因?yàn)橐馔庑薷幕蛘邉h除而導(dǎo)致的損失。若能夠把共享文件夾都放在文件服務(wù)器上，則我們就可以定時(shí)的對(duì)文件服務(wù)器上的文件進(jìn)行備份。如此的話，即使因?yàn)闄?quán)限設(shè)置不合理，導(dǎo)致文件被意外修改或者刪除，有時(shí)會(huì)員工自己也會(huì)在不經(jīng)意中刪除不該刪的文件，遇到這種情況的時(shí)候，則我們可以通過(guò)文件恢復(fù)作業(yè)，把原有的文件恢復(fù)過(guò)來(lái)，從而減少這些不必要的損失。

2) 是可以統(tǒng)一制定文件訪問(wèn)權(quán)限策略。在共享文件服務(wù)器上，我們可以根據(jù)各個(gè)員工的需求，在文件服務(wù)中預(yù)先設(shè)置一些文件夾，并設(shè)置好具體的權(quán)限。如此的話，放到共享文件服務(wù)器中的文件就自動(dòng)繼承了文件服務(wù)器文件夾的訪問(wèn)權(quán)限，從而實(shí)現(xiàn)統(tǒng)一管理文件訪問(wèn)權(quán)限的目的。如對(duì)于一些全公司都可以訪問(wèn)的行政通知類(lèi)文件，我們可以為此設(shè)立一個(gè)通知類(lèi)文件夾，這個(gè)文件夾只有行政人員具有讀寫(xiě)權(quán)限，而其他職工都只有只讀權(quán)限。如此的話其他員工就不能夠?qū)@些通知進(jìn)行更改或者刪除。所以，對(duì)共享文件

夾進(jìn)行統(tǒng)一的管理可以省去用戶每次設(shè)置權(quán)限的麻煩，從而提高共享文件的安全性。

3) 可以統(tǒng)一進(jìn)行防毒管理。對(duì)于共享文件來(lái)說(shuō)，我們除了要關(guān)心其數(shù)據(jù)是否為泄露或者非法訪問(wèn)外，另外一個(gè)問(wèn)題就是共享文件是否會(huì)被病毒感染。病毒或者木馬是危害企業(yè)網(wǎng)絡(luò)安全的第一把殺手，而共享文件又是其很好的載體。若能夠有效的解決共享文件的病毒木馬感染問(wèn)題，必定可以有效的抑制病毒或者木馬在企業(yè)網(wǎng)絡(luò)中為非作歹。而我們?nèi)裟軌蛟谄髽I(yè)中統(tǒng)一部署文件服務(wù)器，則我們就可以利用下班的空閑時(shí)間，對(duì)文件服務(wù)器上的共享文件統(tǒng)一進(jìn)行殺毒，以保證共享文件服務(wù)器上的文件都是干凈的，沒(méi)有被木馬或者病毒所感染，從而避免其成為病毒或者木馬的有效載體。綜上所述，共享文件夾以及共享文件的安全性問(wèn)題是企業(yè)網(wǎng)絡(luò)安全管理中的一個(gè)比較薄弱的環(huán)節(jié)，但是又是一個(gè)十分重要的環(huán)節(jié)。相信做好這件工作，必定可以提高企業(yè)網(wǎng)絡(luò)的利用價(jià)值減少網(wǎng)絡(luò)安全事故。

四、 項(xiàng)目的規(guī)劃

4.1規(guī)劃域

根據(jù)網(wǎng)絡(luò)規(guī)模以及集中管理和結(jié)構(gòu)簡(jiǎn)單, 我們采用單域的結(jié)構(gòu)域名為hl.local 。與多域結(jié)構(gòu)相比實(shí)現(xiàn)了網(wǎng)絡(luò)資源的集中管理。并保證了管理上的簡(jiǎn)單性和低成本。在域內(nèi)部按照部門(mén)名稱(chēng)劃分OU ，例如行政部，人事部，工程部，銷(xiāo)售部，財(cái)務(wù)部用與存儲(chǔ)和管理各個(gè)部門(mén)的用戶帳戶組以及打印機(jī)。整個(gè)域結(jié)構(gòu)與公司管理結(jié)構(gòu)相匹配可以實(shí)現(xiàn)公司資源的層次管理。

4.2規(guī)劃用戶帳戶和組

在各個(gè)部門(mén)的ou 中分別為該部門(mén)員工創(chuàng)建唯一的域用戶帳戶，帳戶名為張三 員工姓名的拼音。例如“zhangsan ”, 初始密碼為“zhangsan@hl.local”并要求域用戶帳戶在下次登陸時(shí)更改密碼。密碼最小長(zhǎng)度為8并且要符合復(fù)雜性要求。然后為每個(gè)部門(mén)創(chuàng)建全局組，命名如下所示，并將同部門(mén)的員工帳戶分別加入各個(gè)部門(mén)的全局組中。 用戶組規(guī)劃表樣例：

部門(mén) 全局組

行政部 Xingzheng

人事部 Renshi

銷(xiāo)售部 Xiaoshou

財(cái)務(wù)部 Caiwu

4.3 規(guī)劃文件服務(wù)器

a) 通過(guò)一臺(tái)專(zhuān)用的文件服務(wù)器存儲(chǔ)公共文件以及員工的工作文檔

b) 配置共享權(quán)限和NTFS 權(quán)限，權(quán)限的配置應(yīng)遵循AGDLP 規(guī)則

c) 啟用磁盤(pán)配額

d) 制定備份策略，按任務(wù)計(jì)劃自動(dòng)執(zhí)行我們可以規(guī)劃類(lèi)似以下的企業(yè)文件服務(wù)平臺(tái)，既能保證絕大部分員工在IT 部門(mén)提供的文件服務(wù)平臺(tái)上受益，又可最大程度保障數(shù)據(jù)文件安全。

五、 項(xiàng)目實(shí)施

5.1 服務(wù)器操作系統(tǒng)的安裝

服務(wù)器由于數(shù)量較少，可以單獨(dú)安裝Windows Server 2003 企業(yè)版. 對(duì)系統(tǒng)進(jìn)行初始化設(shè)置并將計(jì)算名命名為:dc，使用ipconfig /all 以及ping 命令驗(yàn)證網(wǎng)絡(luò)的連通性。最后使用Ghost 工具對(duì)系統(tǒng)進(jìn)行全備份。

5.2 Windows域的創(chuàng)建

在dc 上執(zhí)行命令”dcpromo ”安裝AD 提升為域控制器。為該公司創(chuàng)建一個(gè)新域。域名為hl.local 。在安裝AD 的過(guò)程中安裝DNS 服務(wù)。

5.3根據(jù)部門(mén)劃分OU

為了匹配公司的管理模型，在域內(nèi)按照部門(mén)名稱(chēng)劃分組織單位ou, 例如分別是行政部、人事部、銷(xiāo)售部、財(cái)務(wù)部。將來(lái)創(chuàng)建各個(gè)部門(mén)的用戶帳戶和組屬于各個(gè)部門(mén)ou 。使用AD 活動(dòng)目錄里的“用戶和計(jì)算機(jī)”工具創(chuàng)建部門(mén)ou 。

5.4 創(chuàng)建用戶賬戶和組

使用【Active Directory 用戶和計(jì)算機(jī)】工具在各個(gè)部門(mén)的ou 中分別為該部門(mén)員工創(chuàng)建用戶帳戶，帳戶名為員工的員工姓名的拼音。例如張三“zhangsan “, 為每個(gè)部門(mén)創(chuàng)建全局組，將同部門(mén)的員工帳戶分別加入各個(gè)部門(mén)的全局組。注意，在創(chuàng)建完成之后要進(jìn)行dc 的數(shù)據(jù)備份即系統(tǒng)的狀態(tài)數(shù)據(jù)。

5.5 配置域安全策略

單擊【開(kāi)始】|【管理工具】|【域安全策略】打開(kāi)域安全策略

密碼策略

密碼長(zhǎng)度最小值為8 個(gè)字符

密碼必須符合復(fù)雜性要求

帳戶鎖定策略

帳戶鎖定閾值為5

賬戶鎖定時(shí)間為默認(rèn)值30 分鐘

審核策略

賬戶登錄事件

對(duì)象訪問(wèn)

5.6 配置文件服務(wù)器

根據(jù)不同用戶和不同部門(mén)創(chuàng)建共享文件夾

配置共享權(quán)限和NTFS 權(quán)限

啟用磁盤(pán)配額

六、 實(shí)施時(shí)間

整個(gè)項(xiàng)目實(shí)施難度不大，估計(jì)2-3個(gè)工作日即可完成。

七、 域控制器的軟硬件需求

1 操作系統(tǒng)

Windows 2003 Server 操作系統(tǒng)。

2 硬件配置