搭建微軟網(wǎng)絡(luò)域管理搭建微軟網(wǎng)絡(luò)域管理環(huán)境前的準(zhǔn)備工作為了提高大型網(wǎng)絡(luò)的管理效率與安全性，微軟提出了一個通過域來管理企業(yè)局域網(wǎng)的思路。通過域可以實(shí)現(xiàn)在一個統(tǒng)一的平臺上對企業(yè)網(wǎng)絡(luò)采取一些統(tǒng)一的管理策略，這

搭建微軟網(wǎng)絡(luò)域管理

搭建微軟網(wǎng)絡(luò)域管理環(huán)境前的準(zhǔn)備工作

為了提高大型網(wǎng)絡(luò)的管理效率與安全性，微軟提出了一個通過域來管理企業(yè)局域網(wǎng)的思路。通過域可以實(shí)現(xiàn)在一個統(tǒng)一的平臺上對企業(yè)網(wǎng)絡(luò)采取一些統(tǒng)一的管理策略，這也一直是網(wǎng)絡(luò)管理員所追求的目標(biāo)。不過域?qū)τ谄髽I(yè)的網(wǎng)絡(luò)環(huán)境要求比較高。在搭建微軟網(wǎng)絡(luò)域管理環(huán)境之前所需要做的一些準(zhǔn)備工作。

第一項(xiàng)工作：為域設(shè)計(jì)一個好名字

若要訪問WINDOWS 的域，一般是通過域名進(jìn)行訪問，而不是通過域控制器的IP 地址。所以，在部署微軟的域環(huán)境之前，則必須給這個域提個名字。這個名字可不能隨便取，必須符合微軟的域命名規(guī)則。

第二項(xiàng)工作：部署DNS 服務(wù)器

在部署域管理環(huán)境的時候，域控制器會將自己登記到DNS 服務(wù)器中去。如此做的目的，就是讓其他客戶端可以通過我們上面所取的名字訪問到這臺域控制器。所以，在企業(yè)的網(wǎng)絡(luò)中必須有一臺DNS 服務(wù)器，否則的話，域控制器在安裝的過程中就會以失敗告終。 一是在安裝域控制器的時候，可以同時安裝DNS 服務(wù)器。在將某臺服務(wù)器升級為域控制器的時候，如果這臺服務(wù)器沒有安裝DSN 服務(wù)器的時候，則會自動在這臺服務(wù)器上安裝微軟的DNS 服務(wù)器，同時，也會自動在DSN 服務(wù)器內(nèi)建立一個以我們上面設(shè)計(jì)的域名一樣

的空間，如A.COM 。而且，會自動能啟用安全更新功能，當(dāng)然，其

安全等級選項(xiàng)是“只有安全的”。若采用這種方式部署DNS 服務(wù)器的，

必須先將這臺機(jī)器的中DNS 服務(wù)器地址改過來。在TCP/IP屬性設(shè)

置框中，除了設(shè)置IP 地址、默認(rèn)網(wǎng)關(guān)、子網(wǎng)掩碼之外，還可以設(shè)置

DSN 服務(wù)器地址。若想在這臺服務(wù)器上安裝DNS 服務(wù)器的話，則必

須把這個DNS 地址清空，或者指定為本機(jī)的IP 地址，否則，會出現(xiàn)

一些故障。

二是使用獨(dú)立的DNS 服務(wù)器。在部署域管理環(huán)境的時候，我們

也可以采用，而且也是積極建議的，使用獨(dú)立的DNS 服務(wù)器。這可

以使企業(yè)正在使用的，也可以新建一臺DNS 服務(wù)器。然后，再DNS

服務(wù)器為這個域建立一個區(qū)域，并啟動自動更新功能。然后在安裝域

控制器的時候，把域控制器的DNS 地址指向這臺DNS 服務(wù)器。

域管理的優(yōu)點(diǎn)

1、權(quán)限管理比較集中，管理成本大大下降。

1.1：域環(huán)境，所有網(wǎng)絡(luò)資源，包括用戶，均是在域控制器上維護(hù)，

便于集中管理。所有用戶只要登入到域，在域內(nèi)均能進(jìn)行身份驗(yàn)證，

管理人員可以較好的管理計(jì)算機(jī)資源，管理網(wǎng)絡(luò)的成本大大降低。

1.2：防止公司員工在客戶端亂裝軟件, 能夠增強(qiáng)客戶端安全性、減

少客戶端故障，降低維護(hù)成本。

2、安全性加強(qiáng)。

2.1有利于企業(yè)的一些保密資料的管理, 比如說某個盤某個人可以進(jìn)，但另一個人就不可以進(jìn)；哪一個文件只讓哪個人看；或者讓某些人可以看, 但不可以刪/改/移等。

2.2可以封掉客戶端的USB 端口，防止公司機(jī)密資料的外泄。

3、使用漫游賬戶和文件夾重定向技術(shù)，個人賬戶的工作文件及數(shù)據(jù)等可以存儲在服務(wù)器上，統(tǒng)一進(jìn)行備份、管理，用戶的數(shù)據(jù)更加安全、有保障。當(dāng)客戶機(jī)故障時，只需使用其他客戶機(jī)安裝相應(yīng)軟件以用戶帳號登錄即可，用戶會發(fā)現(xiàn)自己的文件仍然在“原來的位置”（比如，我的文檔），沒有丟失，從而可以更快地進(jìn)行故障修復(fù)。

卷影副本技術(shù)可以讓用戶自行找回文件以前的版本或者誤刪除的文件（限保存過的32個版本）。在服務(wù)器離線時（故障或其他情況），“脫機(jī)文件夾”技術(shù)會自動讓用戶使用文件的本地緩存版本繼續(xù)工作，并在注銷或登錄系統(tǒng)時與服務(wù)器上的文件同步，保證用戶的工作不會被打斷。

4、方便用戶使用各種資源?？捎晒芾韱T指派登錄腳本映射分布式文件系統(tǒng)根目錄，統(tǒng)一管理。用戶登錄后就可以像使用本地盤符一樣，使用網(wǎng)絡(luò)上的資源，且不需再次輸入密碼，用戶也只需記住一對用戶名/密碼即可。

并且各種資源的訪問、讀取、修改權(quán)限均可設(shè)置，不同的賬戶可以有不同的訪問權(quán)限。即使資源位置改變，用戶也不需任何操作，只需管理員修改鏈接指向并設(shè)置相關(guān)權(quán)限即可，用戶甚至不會意識到資源位置的改變，不用像從前那樣，必須記住哪些資源在哪臺服務(wù)器上。

5、SMS （System Management Server ）能夠分發(fā)應(yīng)用程序、系統(tǒng)補(bǔ)丁等，用戶可以選擇安裝，也可以由系統(tǒng)管理員指派自動安裝。并能集中管理系統(tǒng)補(bǔ)?。ㄈ鏦indows Updates），不需每臺客戶端服務(wù)器都下載同樣的補(bǔ)丁，從而節(jié)省大量網(wǎng)絡(luò)帶寬。

企業(yè)上網(wǎng)行為管理解決方案 信息化引發(fā)企業(yè)對網(wǎng)絡(luò)管理需求增長，行為審計(jì)的實(shí)際意義

隨著Internet 的接入的普及和帶寬的增加，一方面員工上網(wǎng)的條件得到改善，另一方面也給企業(yè)帶來更高的網(wǎng)絡(luò)使用危險性、復(fù)雜性和混亂。在全世界網(wǎng)絡(luò)使用情況的調(diào)查中發(fā)現(xiàn)，非法使用郵件、瀏覽非法Web 網(wǎng)站、下載音樂、電影等數(shù)字文件，或者在線觀看收聽流媒體的員工正在增加，令網(wǎng)絡(luò)管理者頭疼不已。這些員工隨意使用網(wǎng)絡(luò)將導(dǎo)致三個問題：(1)工作效率低下、(2)網(wǎng)絡(luò)性能惡化、(3)網(wǎng)絡(luò)違法行為。

作為一個開放的網(wǎng)絡(luò)系統(tǒng)，運(yùn)行狀況愈來愈復(fù)雜。IT 管理者如何及時了解網(wǎng)絡(luò)運(yùn)行基本狀況，并對網(wǎng)絡(luò)整體狀況作出基本的分析，發(fā)現(xiàn)可能存在的問題（如病毒，木馬造成的網(wǎng)絡(luò)異常）快速的故障定位，這一切都是網(wǎng)信息安全管理的挑戰(zhàn)。

網(wǎng)絡(luò)資源的不合理使用，并導(dǎo)致工作效率下降

根據(jù)IDC 最新數(shù)據(jù)報(bào)導(dǎo)，全球企業(yè)員工平均每天有超過四分之一的上班時間用來在線聊天，瀏覽娛樂、色情、賭博網(wǎng)站，或處理個人事務(wù)；員工從互聯(lián)網(wǎng)下載各種信息，而在那些用于下載信息的時間中，62％用于軟件下載，11％的時間用于下載音樂，只有25％用于下載與寫報(bào)告和文件相關(guān)的資料。

互聯(lián)網(wǎng)上的內(nèi)容太豐富了，對企業(yè)員工有太多的誘惑，很多的員工沉溺其中，無法自拔，常常把自己的本職工作放在一邊，導(dǎo)致企業(yè)整體工作效率沒有提升反而下降。 調(diào)查數(shù)據(jù)顯示以下為影響工作效率主要的互聯(lián)網(wǎng)行為，它們與工作無關(guān)而且可能導(dǎo)致更多的問題（比如網(wǎng)絡(luò)安全等）：

·瀏覽色情網(wǎng)站；

·瀏覽游戲、音樂等娛樂網(wǎng)站，下載大量與工作無關(guān)的音樂文件，在線聽音樂，在線看視頻圖像等，不僅耽誤工作，而且占用大量的網(wǎng)絡(luò)帶寬資源，影響其他人員使用公司的資源；

·瀏覽相關(guān)財(cái)經(jīng)網(wǎng)站，利用公司的資源在線買賣私人股票或?yàn)g覽相關(guān)信息；

·瀏覽“在線”購物和拍賣網(wǎng)站；

·瀏覽賭博網(wǎng)站；

·使用即時信息交流軟件如ICQ 、QQ 、AOL 、MSN 、Yahoo ；

網(wǎng)絡(luò)資源的不公平使用，帶來嚴(yán)重的帶寬問題

許多上網(wǎng)人員不停地下載大容量的文件，比如大量的MP3音樂文件；或者在線聽音樂、看視頻電影、新聞等行為，嚴(yán)重占用網(wǎng)絡(luò)帶寬，造成網(wǎng)絡(luò)堵塞，上網(wǎng)速度下降，影響其他員工的正常上網(wǎng)行為。 管理人員奇怪企業(yè)大量投資的專線接入速度一天比一天慢；IT 部門經(jīng)常遭到抱怨，要求提升上網(wǎng)的帶寬；而有趣的是抱怨的人中包括那些下載音樂文件或看視頻電影的員工。

上網(wǎng)給企業(yè)帶來的泄密或信息系統(tǒng)破壞等安全問題

任何企業(yè)都擔(dān)心自己內(nèi)部的機(jī)密信息流露出去，而互聯(lián)網(wǎng)偏偏又方便信息的交流和傳遞。通過互聯(lián)網(wǎng)，任何數(shù)字文件都可以方便地發(fā)送出企業(yè)的內(nèi)部網(wǎng)，正因?yàn)槿绱藝夂芏喙径紝ζ髽I(yè)內(nèi)部的電子郵件系統(tǒng)實(shí)施定期的檢查。但郵件的檢查并不全面，因?yàn)橛泻芏嗝赓M(fèi)的郵件系統(tǒng)可以利用，它們的使用只要用瀏覽器就可以；此外即時信息交流軟件也可以使用戶繞過電子郵件系統(tǒng)而直接發(fā)送信息到企業(yè)外部。 不受限制的上網(wǎng)行為將帶來更多的安全問題，比如下載的文件中帶有病毒或其它有破壞性的程序；ICQ 、OICQ 等軟件的使用有可能招到網(wǎng)絡(luò)黑客的襲擊，硬盤里的資料和數(shù)據(jù)被竊取或破壞。 網(wǎng)絡(luò)資源的非法使用，使企業(yè)有可能陷入法律糾紛

在國內(nèi)，法律規(guī)定了很多網(wǎng)站是非法的，比如有色情內(nèi)容的、與反動政治相關(guān)的、與迷信和犯罪相關(guān)的等等。使用專線接入互聯(lián)網(wǎng)后，

企業(yè)內(nèi)部網(wǎng)某種程度上成了一種“公共”上網(wǎng)場所，很多與法律相違背的行為都有可能發(fā)生在內(nèi)部網(wǎng)中。事實(shí)上，這是很多企業(yè)要加強(qiáng)網(wǎng)絡(luò)行為管理的最初的原因。另外一個日漸顯露出來的問題是網(wǎng)絡(luò)黑客利用企業(yè)專線入網(wǎng)的條件，實(shí)施非法的網(wǎng)絡(luò)攻擊，發(fā)送病毒文件等，這都給企業(yè)上網(wǎng)帶來了很多可能引起法律糾紛的隱患。 企業(yè)目前缺乏有效的工具在相關(guān)事情發(fā)生后提供數(shù)字化證據(jù)。

企業(yè)缺乏對網(wǎng)絡(luò)資源使用進(jìn)行量化的標(biāo)準(zhǔn)和工具

網(wǎng)絡(luò)資源作為一種電子化的資源，在是通過企業(yè)內(nèi)部的局域網(wǎng)共享的，網(wǎng)絡(luò)中的每個登錄用戶都能使用。專線上網(wǎng)后，到底是哪些人在使用該資源，使用的程度如何，如果要進(jìn)行相關(guān)的成本核算，并把專線接入的成本劃到企業(yè)內(nèi)部的每個成本中心，怎樣做才是最有效呢？ 互聯(lián)網(wǎng)或者說信息技術(shù)確實(shí)是一個“神奇”的東西，在不同的人、不同的組織、不同的企業(yè)環(huán)境中，它帶來的影響是充滿矛盾的，能提高企業(yè)的工作效率、增加企業(yè)的競爭力、降低企業(yè)運(yùn)營成本；另一方面，它卻能降低企業(yè)的工作效率、給企業(yè)帶來很多威脅和安全隱患。那么，到底要不要用它？答案其實(shí)很簡單，肯定要用，但是必須對它實(shí)施有效的管理，就象管理其它的企業(yè)資源一樣。

金盾上網(wǎng)行為管理系統(tǒng)的主要功能

一． 多重身份認(rèn)證

·支持本地認(rèn)證、LDAP 服務(wù)器、RADIUS 服務(wù)器、 AD 、802.1X 等多種認(rèn)證體系

·支持多種認(rèn)證方式：WEB 認(rèn)證，專用客戶端、PPPOE 認(rèn)證、802.1X 、用戶名 口令、用戶名 口令 計(jì)算機(jī)特征、用戶名 口 IP MAC、用戶名 口令 IP MAC 計(jì)算機(jī)特征、支持動態(tài)令牌身份認(rèn)證（可選）

·支持強(qiáng)制用戶下線

·認(rèn)證頁面和認(rèn)證后首頁可定制重定向

·可定制用戶自動過期，注銷時間

·認(rèn)證客戶端可自動升級，認(rèn)證客戶端可自動升級

二． 全面行為審計(jì)

能夠?qū)徲?jì)企業(yè)員工的在線上網(wǎng)行為或本機(jī)應(yīng)用程序使用行為，記錄每個員工所有的上網(wǎng)行為諸如網(wǎng)絡(luò)連接、頁面訪問、收發(fā)電子郵件、即時通信、下載軟件、BT 工具等；并能妥善有效保存記錄，以供管理人員隨時查看。

·內(nèi)容審計(jì)和回放：對FTP 、郵件、聊天、WEB 訪問內(nèi)容、WEB 提交（BBSWebmail）、MSN 、ICQ 、 YAHOO 聊天、TELNET 內(nèi)容能記錄并進(jìn)行回放; 管理員可以對所有用戶增加及取消內(nèi)容記錄。

·內(nèi)容全文檢索：可根據(jù)關(guān)鍵字對郵件以及附件進(jìn)行關(guān)鍵字全文檢

索。

·靈活彈性搜索：按任意條件組合搜索功能，支持海量（上億條鏈接）檢索。

三． 詳細(xì)報(bào)告分析

通過各種報(bào)表，管理人員對內(nèi)部每個員工使用互聯(lián)網(wǎng)的情況了如指掌，針對上述網(wǎng)絡(luò)資源管理中的每個問題都能得到數(shù)據(jù)依據(jù)，做相關(guān)決策時更準(zhǔn)確。

四． 上網(wǎng)權(quán)限管理

可以按照個人、部門、系統(tǒng)、策略組、地址段等進(jìn)行互聯(lián)網(wǎng)訪問控制。

·可以設(shè)置允許訪問互聯(lián)網(wǎng)的時間段：工作時間，節(jié)假日以及自定義的任何時間。

·可以對訪問互聯(lián)網(wǎng)的每日總時間量和總流量進(jìn)行限制。 ·十個級別的過濾覆蓋服務(wù)、內(nèi)容和人員屬性。

·采用增強(qiáng)的身份驗(yàn)證機(jī)制使控制管理更加精確。

·增強(qiáng)的桌面應(yīng)用過濾功能更加強(qiáng)大。

五． 服務(wù)過濾 IM 的管理：可控制管理多種流行IM 軟件(QQ、MSN 、Yahoo 通、AIM(ICQ)、Skype 、網(wǎng)易泡泡、新浪、UC 、淘寶旺旺、飛信、IR C 等支持對MSN 、Yahoo 通聊天內(nèi)容的監(jiān)控)

P2P 管理：可控制管理多種P2P 軟件（BT 、eMule/eDonkey、迅雷（以及web 方式）、PP 點(diǎn)點(diǎn)通、Kugoo 、KaZaA （Fast Track ）、

Gnutella 、Vagaa 、 WinMX 、Winny 、Rayfile 、未知P2P 應(yīng)用(UDP) 等）

網(wǎng)絡(luò)娛樂：控制管理多種主流的網(wǎng)絡(luò)娛樂（流行網(wǎng)絡(luò)游戲、流行網(wǎng)絡(luò)電視、流行流媒體等）

炒股軟件：大智慧、指南針、同花順、證券之星、錢龍。。。 WEB 過濾：強(qiáng)大的互聯(lián)網(wǎng)上的信息資源非常豐富，您可以根據(jù)業(yè)務(wù)需要制定精細(xì)化Web 訪問策略，將非業(yè)務(wù)信息擋在門外。

六． 帶寬管理

帶寬（QOS ）管理：根據(jù)不同的部門、人和服務(wù)分配不同的帶寬通道，使他們得到不同的帶寬速度或保證，可以有效地阻止某些人濫用網(wǎng)絡(luò)資源而影響其他上網(wǎng)。支持基于用戶、時間段、應(yīng)用協(xié)議的帶寬分配策略 支持自定義帶寬通道，以及對應(yīng)的優(yōu)先級、速率上限和下限的設(shè)定支持對用戶/用戶組設(shè)置總帶寬支持對用戶組成員設(shè)置平均帶寬 支持對應(yīng)用協(xié)議設(shè)置總帶寬。

金盾上網(wǎng)行為管理系統(tǒng)實(shí)施效果

一． 實(shí)現(xiàn)對網(wǎng)絡(luò)身份的管理

金盾GNM 可以有效無逢地對接他們已經(jīng)部署的驗(yàn)證系統(tǒng)或者本身提供身份驗(yàn)證機(jī)制，這樣實(shí)現(xiàn)網(wǎng)絡(luò)身份的同步，做到身份的透明和管理。

金盾還支持多種認(rèn)證方式：WEB 認(rèn)證，專用客戶端、PPPOE 認(rèn)證、802.1X 、用戶名 口令、用戶名 口令 計(jì)算機(jī)特征、用戶名 口令 IP MAC、用戶名 口令 IP MAC 計(jì)算機(jī)特征、支持動態(tài)