域服務(wù)器部署方案一、網(wǎng)絡(luò)對(duì)辦公環(huán)境造成的危害隨著Internet 接入的普及和帶寬的增加，一方面員工上網(wǎng)的條件得到改善，另一方面也給公司帶來更高的網(wǎng)絡(luò)使用危險(xiǎn)性、復(fù)雜性和混亂，內(nèi)部員工的不當(dāng)操作等使信

域服務(wù)器部署方案

一、網(wǎng)絡(luò)對(duì)辦公環(huán)境造成的危害

隨著Internet 接入的普及和帶寬的增加，一方面員工上網(wǎng)的條件得到改善，另一方面也給公司帶來更高的網(wǎng)絡(luò)使用危險(xiǎn)性、復(fù)雜性和混亂，內(nèi)部員工的不當(dāng)操作等使信息維護(hù)人員疲于奔命。網(wǎng)絡(luò)對(duì)辦公環(huán)境造成的危害主要表現(xiàn)為：

1. 為給用戶電腦提供正常的標(biāo)準(zhǔn)的辦公環(huán)境，安裝操作系統(tǒng)和應(yīng)用軟件已經(jīng)耗費(fèi)了信息管理中心人員一定的精力和時(shí)間，同時(shí)又難以限制用戶安裝軟件，導(dǎo)致管理人員必須花費(fèi)其50以上的精力用于維護(hù)用戶的PC 系統(tǒng)，無(wú)法集中精力去開發(fā)信息系統(tǒng)的深層次功能，提升信息系統(tǒng)價(jià)值。

2. 由于使用者的防范意識(shí)普遍偏低，防毒措施往往不到位，一旦發(fā)生病毒感染，往往擴(kuò)散到全網(wǎng)絡(luò)，令網(wǎng)絡(luò)陷于癱瘓狀態(tài)，部分致命的蠕蟲病毒利用TCP/IP協(xié)議的各種漏洞，使得木馬、病毒傳播迅速，影響規(guī)模大，導(dǎo)致網(wǎng)絡(luò)長(zhǎng)時(shí)間處于帶毒運(yùn)行，反復(fù)發(fā)作而維護(hù)人員。

3. 部分網(wǎng)站網(wǎng)頁(yè)含有惡意代碼，強(qiáng)行在用戶電腦上安裝各種網(wǎng)絡(luò)搜索引擎插件、廣告插件或中文域名插件等，增加了辦公電腦大量的資源消耗，導(dǎo)致計(jì)算機(jī)反應(yīng)緩慢；

4. 個(gè)別員工私自安裝從網(wǎng)絡(luò)下載安裝的軟件，這些從網(wǎng)絡(luò)上下載的軟件安裝包多數(shù)附帶各種插件、木馬和病毒，并在安裝過程中用戶不知情的情況下強(qiáng)行安裝在辦公電腦上，增加了辦公電腦大量的資源消耗，導(dǎo)致計(jì)算機(jī)反應(yīng)緩慢，甚至被遠(yuǎn)程控制；

5. 局域網(wǎng)共享，包括默認(rèn)共享（無(wú)意），文件共享（有意），一些病毒比如ARP 通過廣播四處泛濫，影響到整個(gè)片區(qū)辦公電腦的正常工作；

6. 部分員工使用公司計(jì)算機(jī)上網(wǎng)聊天、聽歌、看電影、打游戲，部分員工全天24小時(shí)啟用P2P 軟件下載音樂和影視文件，由于flashget 、迅雷和BT 等軟件并發(fā)線程多，導(dǎo)致大量帶寬被部分員工占用，網(wǎng)絡(luò)速度緩慢，導(dǎo)致應(yīng)用軟件系統(tǒng)無(wú)法正常開展業(yè)務(wù)，即便是嚴(yán)格的計(jì)算機(jī)使用管理制度也很難保障企業(yè)中的計(jì)算機(jī)只用于企業(yè)業(yè)務(wù)本身，PC 的業(yè)務(wù)專注性、管控能力不強(qiáng)。

二、網(wǎng)絡(luò)管理和維護(hù)策略

針對(duì)以上這些因素，我們可以通過域服務(wù)器來統(tǒng)一定義客戶端機(jī)器的安全策略，規(guī)范，引導(dǎo)用戶安全使用辦公電腦。

域服務(wù)器的作用

1. 安全集中管理 統(tǒng)一安全策略

2. 軟件集中管理 按照公司要求限定所有機(jī)器只能運(yùn)行必需的辦公軟件。

3. 環(huán)境集中管理 利用AD 可以統(tǒng)一客戶端桌面,IE,TCP/IP等設(shè)置

4. 活動(dòng)目錄是企業(yè)基礎(chǔ)架構(gòu)的根本，為公司整體統(tǒng)一管理做基礎(chǔ) 其它isa,exchange, 防病毒服務(wù)器，補(bǔ)丁分發(fā)服務(wù)器，文件服務(wù)器等服務(wù)依賴于域服務(wù)器。

建立域管理

1，建立域控制器，并規(guī)定所有辦公電腦必須加入域，接受域控制器的管理，同時(shí)嚴(yán)格控制用戶的權(quán)限。汕尾發(fā)電廠的員工帳號(hào)只有標(biāo)準(zhǔn)user 權(quán)限。不允許信息系統(tǒng)管理員泄露域管理員密碼和本地管理員密碼。

在如今各種流氓插件、廣告插件、木馬和病毒霸道橫行的網(wǎng)絡(luò)環(huán)境中，普通員工只具備標(biāo)準(zhǔn)的power user權(quán)限，實(shí)際上是對(duì)公環(huán)境有效的保護(hù)。

辦公PC 必須嚴(yán)格遵守OU 命名規(guī)則，同時(shí)實(shí)現(xiàn)實(shí)名負(fù)責(zé)制。指定員工對(duì)該

PC 負(fù)責(zé)，這不但是固定資產(chǎn)管理的要求，也是網(wǎng)絡(luò)安全管理的要求。對(duì)PC 實(shí)施員工實(shí)名負(fù)責(zé)是至關(guān)重要的，一旦發(fā)現(xiàn)該員工電腦中毒和在廣播病毒包，信息系統(tǒng)管理員能準(zhǔn)確定位，迅速做出反應(yīng)，避免擴(kuò)大影響。

2：PC 維護(hù)包干到戶。

管理員在實(shí)際工作中可能存在拿本地管理員權(quán)限作為人情，這其實(shí)是一種自殺行為。任何一個(gè)具備管理管理員權(quán)限的員工，即使是管理員，使用Administrator 權(quán)限上網(wǎng)，稍有不慎，便掉入網(wǎng)絡(luò)陷阱。為避免這種情況，對(duì)PC 維護(hù)人員，采取區(qū)域包干到戶的管理，同時(shí)區(qū)域負(fù)責(zé)人的域用戶帳號(hào)具備該區(qū)域內(nèi)所有辦公電腦本地管理員的權(quán)限；如果區(qū)域負(fù)責(zé)人他愿意增加本地電腦管理員權(quán)限，增加的風(fēng)險(xiǎn)和工作量將由他自己承擔(dān)。所有辦公電腦的本地管理員密碼由域控制器負(fù)責(zé)人掌握、設(shè)定或變更。

3：在防火墻上只開放常用或業(yè)務(wù)系統(tǒng)需要的端口，如80、25、21、110、443，其它端口一律封鎖，有效實(shí)施對(duì)P2P 和BT 軟件的封鎖。

4：接入網(wǎng)絡(luò)的計(jì)算機(jī)必須接受信息中心的管理。通過在防火墻上設(shè)置相關(guān)的策略，允許經(jīng)信息中心核準(zhǔn)的某些IP 組可以在本機(jī)上直接訪問Internet ，或某些IP 組只能連接局域網(wǎng)的應(yīng)用服務(wù)器，對(duì)于不遵守OU 命名規(guī)則的機(jī)器IP 和沒有經(jīng)過信息系統(tǒng)管理員授權(quán)的機(jī)器IP ，不允許訪問Internet 和Intranet ，只能單機(jī)使用。

5：建立WSUS 服務(wù)器。WSUS 是微軟推出的免費(fèi)的Windows 更新管理服務(wù)，目前最新版本除了支持Windows 系統(tǒng)（Windows 2000全系列、Windows XP 全系列和Windows server 2003全系列）的更新管理外，還可以支持SQL Server 、Exchange 2000/2003、Office XP/2003等系統(tǒng)的更新管理，并且在以后，WSUS 將實(shí)現(xiàn)微軟全系列產(chǎn)品的更新管理。在域服務(wù)器上通過組策略設(shè)定客戶端PC 的自動(dòng)更新服務(wù)，。

6：建立防病毒服務(wù)器（比如諾頓），通過防病毒及時(shí)更新計(jì)算機(jī)的病毒庫(kù)，增強(qiáng)整體的病毒抵御能力，及時(shí)消滅網(wǎng)內(nèi)病毒。

7：?jiǎn)⒂媒M策略。檢查用戶的計(jì)算機(jī)是否具備了相應(yīng)的安全策略。只有符合相應(yīng)的安全策略的計(jì)算機(jī)才允許訪問外部網(wǎng)絡(luò)，不具備相應(yīng)安全條件的用戶計(jì)算機(jī)，不允許上網(wǎng)。這樣從根本上提高了企業(yè)用戶計(jì)算機(jī)的安全性，減少了企業(yè)用戶遭受蠕蟲、病毒、木馬以及間諜軟件的風(fēng)險(xiǎn)。

8：主干設(shè)備上做數(shù)據(jù)過濾，屏蔽掉非辦公應(yīng)用的數(shù)據(jù)流。

9：使用DameWare NT Utilities軟件進(jìn)行遠(yuǎn)程維護(hù)，實(shí)現(xiàn)快速的維護(hù)響應(yīng)。 10：借助于入侵檢測(cè)防御系統(tǒng)，使得管理員可以根據(jù)記錄進(jìn)行統(tǒng)計(jì)分析，發(fā)現(xiàn)有潛在危險(xiǎn)的辦公計(jì)算機(jī)，可以有針對(duì)性地進(jìn)行預(yù)防性檢查。

整體規(guī)劃：

最上面是單域zhongyu.com

下面創(chuàng)建OU ：zydx

Zydx 下面創(chuàng)建以下幾個(gè)OU

Groups ：這里是所有的部門

Users ：這里是所有用戶

Servers ：服務(wù)器群，比如病毒服務(wù)器，補(bǔ)丁分發(fā)服務(wù)器，isa 服務(wù)器

Mobiles ：所有的移動(dòng)電腦

Workstations ：所有工作站

It ：特殊組，一些管理員和特殊用戶。

不同部門可以設(shè)置不同安全策略，以滿足不同部門的辦公需求，通用策略可以設(shè)置在根域上，特殊權(quán)限在不同部門分別做策略。

用戶及名稱規(guī)劃

所有用戶均用工號(hào)及密碼來登錄域環(huán)境，域的加入可以做一個(gè)加入域的批處理，用戶通過輸入自己的用戶名和密碼既可登錄到域服務(wù)器。

所有接入電腦必須嚴(yán)格遵守OU 命名規(guī)則，即電腦名必須改為部門加工號(hào)，比如電腦部易小輝，則其計(jì)算機(jī)名為：dnb236294。當(dāng)我們通過一些軟件找到病毒機(jī)器時(shí)可以通過電腦名稱快速定位電腦位置，通過工號(hào)可以及時(shí)聯(lián)系責(zé)任人進(jìn)行處理。

各部門用戶加入各部門的組，便于用戶管理及根據(jù)部門進(jìn)行不同的策略設(shè)置 計(jì)算機(jī)帳戶中刪除多余用戶，僅保留域用戶及administrator ，重命名管理員帳戶，并且強(qiáng)制統(tǒng)一管理員密碼，以便日后維護(hù)。

用戶權(quán)限及策略規(guī)劃

所有用戶初始權(quán)限為power user 能正常訪問本地所有資源，受限安裝軟件，禁止用戶修改注冊(cè)表，禁止修改TCP/IP，禁止修改計(jì)算機(jī)設(shè)置。

常用軟件可以用軟件分發(fā)來做，個(gè)別用戶的特殊軟件可以遠(yuǎn)程安裝。近期使用計(jì)算機(jī)指派, 文件服務(wù)器共享等方式，遠(yuǎn)期使用SMS.

具體的實(shí)施

具體技術(shù)方案包括：

1，需求收集。

收集各部門工作需要用到的軟件，與工作有關(guān)的網(wǎng)頁(yè)，常見的一些機(jī)器故障。

2．規(guī)劃。規(guī)劃服務(wù)器，客戶端母盤制作，用戶權(quán)限規(guī)劃。

在安裝活動(dòng)目錄之前，我們首先要對(duì)活動(dòng)目錄的結(jié)構(gòu)進(jìn)行細(xì)致的規(guī)劃設(shè)計(jì)，讓用戶和管理員在使用時(shí)更為方便。域的結(jié)構(gòu)遵循簡(jiǎn)單原則，采用單域模式，人員的組織以部門為組織單位加入域中

1. 規(guī)劃DNS

如果用戶準(zhǔn)備使用活動(dòng)目錄，則需要首先規(guī)劃名稱空間。當(dāng)DNS 域名稱空間可在Windows 2003中正確執(zhí)行之前，需要有可用的活動(dòng)目錄結(jié)構(gòu)。所以，從活動(dòng)目錄設(shè)計(jì)著手并用適當(dāng)?shù)腄NS 名稱空間支持它。

2. 規(guī)劃用戶的域結(jié)構(gòu)

最容易管理的域結(jié)構(gòu)就是單域。規(guī)劃時(shí)，用戶從單域開始，并且只有在單域模式不能滿足用戶的要求時(shí)，才增加其他的域。單域可跨越多個(gè)地理站點(diǎn)，并且單個(gè)站點(diǎn)可包含屬于多個(gè)域的用戶和計(jì)算機(jī)。在一個(gè)域中，可以使用組織單元(OU，Organizational Units)來實(shí)現(xiàn)這個(gè)目標(biāo)。然后，可以指定組策略設(shè)置并將用戶、組和計(jì)算機(jī)放在組織單元中。

3. 規(guī)劃用戶的權(quán)限

我們給用戶那些權(quán)限,user （最低權(quán)限，不能安裝軟件），power user（能完成所有任務(wù)但不能更改管理員設(shè)置）？建議初期給power user 穩(wěn)定后回收權(quán)限。 需要限制用戶使用那些軟件

用戶能夠訪問那些資源

組策略有以下幾個(gè)比較重要的應(yīng)用

1，軟件分發(fā)，分發(fā)msi 格式軟件，非msi 格式可通過工具轉(zhuǎn)換

2，軟件限制（非辦公軟件可以使用軟件策略進(jìn)行限制）

3，文件夾重定向，可以把用戶資料保存到安全位置

4，管理設(shè)置, 主要設(shè)置一些windows 組件相關(guān)內(nèi)容，比如開始菜單顯示的內(nèi)容 5，Ie 相關(guān)設(shè)置（信任站點(diǎn)，控件下載，文件下載等）

6，安全設(shè)置（帳戶策略，系統(tǒng)服務(wù)，注冊(cè)表，文件系統(tǒng)）

7，實(shí)現(xiàn)一些腳本的功能（比如分發(fā)一些腳本進(jìn)行MAC 地址綁定進(jìn)行ARP 免疫） 文件服務(wù)器的要求

1、每個(gè)用戶都能存取刪除自己所擁有的文件。

2、每個(gè)使用者都要有自己的帳戶，并且對(duì)特定文件夾的訪問需要形成日志保存下來供管理員查看。

3、保證用戶存放在服務(wù)器上的文件不攜帶病毒和其它有危害性的代碼。

4、每個(gè)用戶只能在服務(wù)器上存放一定大小, 類型的文件，而不是無(wú)限大的文件，并且當(dāng)存放文件到特定警戒線的時(shí)候能通知管理員。

4. 母盤制作相關(guān)問題

A ，那些軟件是必須安裝的

B ，系統(tǒng)做那些優(yōu)化

C ，安全設(shè)置（ie 安全設(shè)置，共享安全設(shè)置等）

D ，避免sid 問題

3．部署。

部署客戶端

考慮到ris 服務(wù)器需要dhcp 服務(wù)器支持，且對(duì)網(wǎng)絡(luò)帶寬有較高要求，可以通過分批加入域，分批GHOST

部署域服務(wù)器、dns 服務(wù)器及文件服務(wù)器，如果需要做dhcp ，需要張工，徐工考慮DHCP 的實(shí)現(xiàn)方式。后期還要添加WSUS 服務(wù)器，sms 服務(wù)器，諾頓防病毒服務(wù)器及vpn 服務(wù)器，因?yàn)樗锌蛻魴C(jī)操作系統(tǒng)都為XP ，沒有98或者其他系統(tǒng)，個(gè)人認(rèn)為wins 服務(wù)器在域環(huán)境下沒有必要。域服務(wù)器按規(guī)劃做好策略，文件服務(wù)器做好權(quán)限控制。

4．測(cè)試。

部門辦公應(yīng)用在域環(huán)境下能否正常使用，安全性方面能否達(dá)到預(yù)期效果。

辦公應(yīng)用：erp 系統(tǒng)能否正常登錄，打??；office 軟件能否正常運(yùn)行；bbs 能否正常登錄使用；

5．建立各類使用及維護(hù)文檔。

幫助大家在域環(huán)境下更方便的使用辦公電腦。

6．檢查所有電腦，如果檢測(cè)認(rèn)定安全的直接加入域，如果是HOME 版及機(jī)器有問題的，重做系統(tǒng)。

7．域的備份

域的備份主要是通過做備份域，以及微軟自帶的備份工具備份帳戶數(shù)據(jù)等。 效果

最終的客戶端系統(tǒng)桌面如下

運(yùn)行其他非必須程序提示：

對(duì)文件服務(wù)器的正常訪問：

瀏覽bbs ：

服務(wù)器的安全

1、域控制器的安全保證：域控制器主要是管理局域網(wǎng)的用戶和機(jī)器，并對(duì)用戶的權(quán)限進(jìn)行控制，一旦主域控制器系統(tǒng)損壞，重新安裝系統(tǒng)后就必須重新建立用戶信息，為了防止系統(tǒng)損壞而影響系統(tǒng)使用，在局域網(wǎng)中又設(shè)置一臺(tái)備份域服務(wù)器，備份域服務(wù)器能將主域控制器上的所有用戶信息備份到本機(jī)，并在主域控制器失效時(shí)自動(dòng)充當(dāng)主域控制器的角色，保證系統(tǒng)能正常運(yùn)行。

2、文件服務(wù)器的安全保證：文件服務(wù)器主要是保存各種公司私密文件，所以其安全性主要是考慮服務(wù)器上保存的文件的安全性，文件服務(wù)器本身做磁盤冗余，這樣即使服務(wù)器有一個(gè)硬盤損壞也不會(huì)導(dǎo)致文件丟失，另外我們還通過異地備份將文件服務(wù)器上文件保存一份到其他服務(wù)器上，這樣即使文件服務(wù)器遭遇災(zāi)難性的損壞我們的文件也不會(huì)丟失。

3、綜合安全優(yōu)化

1，停掉Guest 帳號(hào)

2，修改管理員帳號(hào)和創(chuàng)建陷阱帳號(hào)：

重命名Administrator 賬號(hào)，然后新建一個(gè)名稱為Administrator 的陷阱帳號(hào)“受限制用戶”，把它的權(quán)限設(shè)置成最低，什么事也干不了，并且加上超級(jí)復(fù)雜密碼

3，刪除默認(rèn)共享

Windows2003安裝好以后，系統(tǒng)會(huì)創(chuàng)建一些隱藏的共享，要禁止或刪除這些共享以確保安全，方法是：首先編寫如下內(nèi)容的批處理文件：

@echo off

net share C$ /del

net share D$ /del

net share E$ /del

net share F$ /del

net share admin$ /del

可以通過組策略編輯器使客戶機(jī)系統(tǒng)開機(jī)即執(zhí)行腳本刪除系統(tǒng)默認(rèn)的共享。 4，禁用IPC 連接

Ipc 連接 比如 net useipipc$ "password" /user:"usernqme"?？梢酝ㄟ^修改注冊(cè)表來禁用IPC 連接。打開注冊(cè)表編輯器。找到HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLsa中的restrictanonymous 子鍵，將其值改為1即可禁用IPC 連接。

重新設(shè)置遠(yuǎn)程可訪問的注冊(cè)表路徑

5，設(shè)置遠(yuǎn)程可訪問的注冊(cè)表路徑為空，這樣可以有效地防止黑客利用掃描器通過遠(yuǎn)程注冊(cè)表讀取計(jì)算機(jī)的系統(tǒng)信息及其它信息。打開組策略編輯器，然后選擇“計(jì)算機(jī)配置”→“Windows 設(shè)置”→“安全選項(xiàng)”→“網(wǎng)絡(luò)訪問：可遠(yuǎn)程訪問的注冊(cè)表路徑”及“網(wǎng)絡(luò)訪問：可遠(yuǎn)程訪問的注冊(cè)表”，將設(shè)置遠(yuǎn)程可訪問的注冊(cè)表路徑和子路徑內(nèi)容設(shè)置為空即可。

6，關(guān)閉不需要的端口

7，關(guān)閉不需要的服務(wù)

服務(wù)提供了核心操作系統(tǒng)功能，如Web 服務(wù)、事件日志記錄、文件服務(wù)、幫助和支持、打印、加密和錯(cuò)誤報(bào)告，并不是所有默認(rèn)服務(wù)都是我們需要的。我們不需要的可以停用、禁用，來釋放系統(tǒng)資源。

8，鎖住注冊(cè)表

9，運(yùn)行防病毒軟件

10, 備份

3、監(jiān)視服務(wù)器性能：

通過實(shí)時(shí)和日志方式來監(jiān)視服務(wù)器性能；

監(jiān)視服務(wù)器內(nèi)存性能；

監(jiān)視服務(wù)器處理器性能；

監(jiān)視服務(wù)器磁盤性能；

監(jiān)視網(wǎng)絡(luò)性能。

4、建立完備的管理制度

為能跟上整改后的計(jì)算機(jī)網(wǎng)絡(luò)的管理與使用，需要逐步完善各類相應(yīng)的管理制度，包括：

《計(jì)算機(jī)網(wǎng)絡(luò)管理辦法》

主要針對(duì)用戶對(duì)計(jì)算機(jī)的操作使用，管理及保護(hù)等進(jìn)行闡述，明文規(guī)定不得進(jìn)行哪些相關(guān)的操作及網(wǎng)絡(luò)訪問等；

《核心網(wǎng)絡(luò)設(shè)置管理辦法》

針對(duì)網(wǎng)絡(luò)設(shè)備、服務(wù)器等設(shè)置及管理做的詳細(xì)闡述；

《IT 管理員工作手冊(cè)》

崗位說明書，規(guī)范IT 管理人員的日常必要維護(hù)事項(xiàng)及操作方法，包括設(shè)備盤點(diǎn)登記表、設(shè)備健康卡，日常維護(hù)記錄表、工作日志、設(shè)備申購(gòu)表、報(bào)廢表等； 《計(jì)算機(jī)維護(hù)指南》

主要針對(duì)分機(jī)構(gòu)計(jì)算機(jī)用戶的自我計(jì)算機(jī)維護(hù)操作指南，主要包括：常用操作系統(tǒng)的安裝說明、常用病毒及網(wǎng)絡(luò)安全設(shè)置步驟、病毒