網(wǎng)絡(luò)域控管理方案 ,前 言隨著Internet 接入的普及和帶寬的增加，一方面員工上網(wǎng)的條件得到改善，另一方面也給公司帶來(lái)更高的網(wǎng)絡(luò)使用危險(xiǎn)性、復(fù)雜性和混亂。網(wǎng)絡(luò)對(duì)辦公

網(wǎng)絡(luò)域控管理方案

前 言

隨著Internet 接入的普及和帶寬的增加，一方面員工上網(wǎng)的條件得到改善，另一方面也給公司帶來(lái)更高的網(wǎng)絡(luò)使用危險(xiǎn)性、復(fù)雜性和混亂。網(wǎng)絡(luò)對(duì)辦公環(huán)境造成的危害主要表現(xiàn)為：

1) 為給用戶(hù)電腦提供正常的標(biāo)準(zhǔn)的辦公環(huán)境，安裝操作系統(tǒng)和應(yīng)用軟件已經(jīng)耗費(fèi)了信息管理 中心人員一定的精力和時(shí)間，同時(shí)又難以限制用戶(hù)安裝軟件，導(dǎo)致管理人員必須花費(fèi)其 50 以上的精力用于維護(hù)用戶(hù)的 PC 系統(tǒng)，無(wú)法集中精力去開(kāi)發(fā)信息系統(tǒng)的深層次功能，提升 信息系統(tǒng)價(jià)值。

2) 由于使用者的防范意識(shí)普遍偏低，防毒措施往往不到位，一旦發(fā)生病毒感染，往往擴(kuò)散 到全網(wǎng)絡(luò)，令網(wǎng)絡(luò)陷于癱瘓狀態(tài)，部分致命的蠕蟲(chóng)病毒利用 TCP/IP 協(xié)議的各種漏洞，使 得木馬、病毒傳播迅速，影響規(guī)模大，導(dǎo)致網(wǎng)絡(luò)長(zhǎng)時(shí)間處于帶毒運(yùn)行，反復(fù)發(fā)作而維護(hù)人 員。

3) 部分網(wǎng)站網(wǎng)頁(yè)含有惡意代碼，強(qiáng)行在用戶(hù)電腦上安裝各種網(wǎng)絡(luò)搜索引擎插件、廣告插件或 中文域名插件等，增加了辦公電腦大量的資源消耗，導(dǎo)致計(jì)算機(jī)反應(yīng)緩慢；

4) 個(gè)別員工私自安裝從網(wǎng)絡(luò)下載安裝的軟件，這些從網(wǎng)絡(luò)上下載的軟件安裝包多數(shù)附帶各種 插件、木馬和病毒，并在安裝過(guò)程中用戶(hù)不知情的情況下強(qiáng)行安裝在辦公電腦上，增加了辦公電腦大量的資源消耗，導(dǎo)致計(jì)算機(jī)反應(yīng)緩慢，甚至被遠(yuǎn)程控制；

5) 局域網(wǎng)共享，包括默認(rèn)共享（無(wú)意），文件共享（有意），一些病毒比如 ARP 通過(guò)廣播四處 泛濫，影響到整個(gè)片區(qū)辦公電腦的正常工作；

6) 部分員工使用公司計(jì)算機(jī)上網(wǎng)聊天、聽(tīng)歌、看電影、打游戲，部分員工全天 24 小時(shí)啟用P2P 軟件下載音樂(lè)和影視文件，由于 flashget 、迅雷和 BT 等軟件并發(fā)線程多，導(dǎo)致大量 帶寬被部分員工占用，網(wǎng)絡(luò)速度緩慢，導(dǎo)致應(yīng)用軟件系統(tǒng)無(wú)法正常開(kāi)展業(yè)務(wù)，即便是嚴(yán)格 的計(jì)算機(jī)使用管理制度也很難保障企業(yè)中的計(jì)算機(jī)只用于企業(yè)業(yè)務(wù)本身，PC 的業(yè)務(wù)專(zhuān)注性、管控能力不強(qiáng)。

一、 解決方案

為了更好地進(jìn)行網(wǎng)絡(luò)管理，合理分配和使用網(wǎng)絡(luò)資源，規(guī)范，引導(dǎo)用戶(hù)安全使用辦公電腦，加強(qiáng)對(duì)用戶(hù)帳號(hào)，密碼策略，用戶(hù)訪問(wèn)權(quán)限以及文件安全管理機(jī)制，我司建議采用域控制器與文件服務(wù)器相結(jié)合的管理模式。

二、 域的概述

1．域控制器的定義 域”的真正含義指的是服務(wù)器控制網(wǎng)絡(luò)上的計(jì)算機(jī)能否加入的計(jì)算機(jī)組合。一提到組合，勢(shì)必需要嚴(yán)格的控制。所以實(shí)行嚴(yán)格的管理對(duì)網(wǎng)絡(luò)安全是非常必要的。在對(duì)等網(wǎng)模式下，任何一臺(tái)電 腦只要接入網(wǎng)絡(luò)，其他機(jī)器就都可以訪問(wèn)共享資源，如共享上網(wǎng)等。盡管對(duì)等網(wǎng)絡(luò)上的共享文件可 以加訪問(wèn)密碼，但是非常容易被破解。不過(guò)在“域”模式下，至少有一臺(tái)服務(wù)器負(fù)責(zé)每一臺(tái)聯(lián)入網(wǎng) 絡(luò)的電腦和用戶(hù)的驗(yàn)證工作，相當(dāng)于一個(gè)單位的門(mén)衛(wèi)一樣，稱(chēng)為“域控制器（Domain Controller ， 簡(jiǎn)寫(xiě)為 DC ）”。

2．域控制器的好處

1）用戶(hù)帳號(hào)與密碼管理 域控制器中包含了由這個(gè)域的賬戶(hù)、密碼、屬于這個(gè)域的計(jì)算機(jī)等信息構(gòu)

成的數(shù)據(jù)庫(kù)。當(dāng)電腦聯(lián)入網(wǎng)絡(luò)時(shí)，域控制器首先要鑒別這臺(tái)電腦是否是屬于這個(gè)域的，用戶(hù)使用的登錄賬號(hào)是否存在、 密碼是否正確。如果以上信息有一樣不正確，那么域控制器就會(huì)拒絕這個(gè)用戶(hù)從這臺(tái)電腦登錄。不 能登錄，用戶(hù)就不能訪問(wèn)服務(wù)器上有權(quán)限保護(hù)的資源，他只能以對(duì)等網(wǎng)用戶(hù)的方式訪問(wèn) Windows 共享出來(lái)的資源，這樣就在一定程度上保護(hù)了網(wǎng)絡(luò)上的資源。

2）用戶(hù)文件安全性 域控制器中包含了每個(gè)人的專(zhuān)用文件夾，并對(duì)文件夾設(shè)定了用戶(hù)訪問(wèn)權(quán)限，每

個(gè)人只可以訪問(wèn)到自己的專(zhuān)用文件夾，而管理員擁有對(duì)所有文件夾的訪問(wèn)權(quán)限，并進(jìn)行統(tǒng)一的管理，同時(shí)，可對(duì)指 定文件夾進(jìn)行讀、寫(xiě)限制，并給予統(tǒng)一的帳號(hào)和密碼進(jìn)行訪問(wèn)，從而大大提高了用戶(hù)文件的安全性， 實(shí)現(xiàn)了文件資源的合理分配和使用，便于管理員對(duì)網(wǎng)絡(luò)進(jìn)行統(tǒng)一的管理。

3) 用戶(hù)權(quán)限的分配 為了更好地對(duì)網(wǎng)絡(luò)進(jìn)行統(tǒng)一管理，減輕管理員的負(fù)擔(dān)，域控制器中包含了對(duì)用戶(hù)

使用權(quán)限的分配情況。在域控制器中，域用戶(hù)沒(méi)有權(quán)限安裝任何軟件，他必須經(jīng)過(guò)域管理員同意后并授予一定的 權(quán)限方可對(duì)軟件進(jìn)行安裝，卸載等操作。同時(shí)，避免了下載或安裝一些來(lái)歷不明的程序而引起病毒 感染或系統(tǒng)文件受損，造成用戶(hù)數(shù)據(jù)丟失等問(wèn)題的出現(xiàn)，從而，大大提高了用戶(hù)數(shù)據(jù)安全性。

4）新員工和離職人員賬戶(hù)操作：為新加入的員工，設(shè)置新的域賬號(hào)，離職員工在離職的最后一天停

用其域賬號(hào)。

5）權(quán)限控制 以下權(quán)限控制均通過(guò)組策略來(lái)實(shí)現(xiàn) ：

USB 接口控制 通過(guò)組策略來(lái)控制計(jì)算機(jī)上的USB 接口是否可用。

用戶(hù)文件夾重定向：使域用戶(hù)的文件存放在服務(wù)器上指定的位置，既可以避免系統(tǒng)損壞帶來(lái)的文件丟失情況，又可以在任意一臺(tái)域成員機(jī)上訪問(wèn)到自己的文件。

軟件權(quán)限限制：所有的域賬號(hào)登錄的計(jì)算機(jī)不具有安裝和刪除軟件的權(quán)限，軟件的安裝和卸載需

通知域管理員進(jìn)行。在實(shí)際生產(chǎn)環(huán)境當(dāng)中，有少部分軟件是必須需要本地管理員權(quán)限才能運(yùn)行的，對(duì)于這種情況，把域賬號(hào)加入至本地管理組中或者使用腳本的方式來(lái)運(yùn)行這類(lèi)型軟件。

三、 文件共享服務(wù)器概述

在企業(yè)的網(wǎng)絡(luò)中，最常用的功能莫過(guò)于“共享文件”了。財(cái)務(wù)部門(mén)需要當(dāng)月員工的考勤信息， 人事部門(mén)可能不會(huì)親自拿過(guò)去，而是在網(wǎng)絡(luò)上共享；生產(chǎn)部門(mén)的生產(chǎn)報(bào)表也不會(huì)用書(shū)面的資料 分發(fā)，而是放在網(wǎng)絡(luò)的共享文件夾下，誰(shuí)需要的話，就自己去查看就可以了，等等。類(lèi)似的需 求還有很多。

可見(jiàn)，共享文件的功能，提高了企業(yè)辦公的效率，使企業(yè)局域網(wǎng)應(yīng)用中的一個(gè)不可缺的功能。 但是，由于共享文件夾管理不當(dāng)，往往也給企業(yè)帶來(lái)了一些安全上的風(fēng)險(xiǎn)。如某些共享文件莫 名其妙的被刪除或者修改；有些對(duì)于企業(yè)來(lái)說(shuō)數(shù)據(jù)保密的內(nèi)容在網(wǎng)絡(luò)上被共享，所有員工都可 以訪問(wèn)；共享文件成為病毒、木馬等傳播的最好載體，等等。所以，共享文件若管理不當(dāng)，會(huì) 造成比較嚴(yán)重的后果。

另外，若把企業(yè)的共享文件分散在各個(gè)用戶(hù)終端管理的話，有一個(gè)問(wèn)題，就是用戶(hù)對(duì)于共享 操作的熟悉程度不同或者安全觀念有差異，所以，很難從部署一個(gè)統(tǒng)一的文件共享安全策略。 如分散在用戶(hù)主機(jī)的共享文件，員工一般不會(huì)定期對(duì)其進(jìn)行備份，以防止因?yàn)橐馔鈸p害而進(jìn)行 及時(shí)恢復(fù)；一般也不會(huì)設(shè)

置具體的訪問(wèn)權(quán)限，如只允許一些特定的員工訪問(wèn)等等。因?yàn)檫@些操 作的話，一方面可能需要一些專(zhuān)業(yè)知識(shí)，另一方面，設(shè)置企業(yè)也比較繁瑣。所以，即使我們出 了相關(guān)的制度，但是，員工一般很難遵守。

所以，建議部署一個(gè)文件共享服務(wù)器，來(lái)統(tǒng)一管理共享文件。采取這種策略的話，有如下好 處：

1) 可以定時(shí)的對(duì)共享文件進(jìn)行備份，從而減少因?yàn)橐馔庑薷幕蛘邉h除而導(dǎo)致的損失。若能 夠把共享文件夾都放在文件服務(wù)器上，則我們就可以定時(shí)的對(duì)文件服務(wù)器上的文件進(jìn)行 備份。如此的話，即使因?yàn)闄?quán)限設(shè)置不合理，導(dǎo)致文件被意外修改或者刪除；有時(shí)會(huì)， 員工自己也會(huì)在不經(jīng)意中刪除不該刪的文件，遇到這種情況的時(shí)候，則我們可以通過(guò)文 件恢復(fù)作業(yè)，把原有的文件恢復(fù)過(guò)來(lái)，從而減少這些不必要的損失。

2) 是可以統(tǒng)一制定文件訪問(wèn)權(quán)限策略。在共享文件服務(wù)器上，我們可以根據(jù)各個(gè)員工的需 求，在文件服務(wù)中預(yù)先設(shè)置一些文件夾，并設(shè)置好具體的權(quán)限。如此的話，放到共享文 件服務(wù)器中的文件就自動(dòng)繼承了文件服務(wù)器文件夾的訪問(wèn)權(quán)限，從而實(shí)現(xiàn)統(tǒng)一管理文件 訪問(wèn)權(quán)限的目的。如對(duì)于一些全公司都可以訪問(wèn)的行政通知類(lèi)文件，我們可以為此設(shè)立 一個(gè)通知類(lèi)文件夾，這個(gè)文件夾只有行政人員具有讀寫(xiě)權(quán)限，而其他職工都只有只讀權(quán) 限。如此的話，其他員工就不能夠?qū)@些通知進(jìn)行更改或者刪除。所以，對(duì)共享文件夾進(jìn)行統(tǒng)一的管理，可以省去用戶(hù)每次設(shè)置權(quán)限的麻煩，從而提高共享文件的安全性。

3) 可以統(tǒng)一進(jìn)行防毒管理。對(duì)于共享文件來(lái)說(shuō)，我們除了要關(guān)心其數(shù)據(jù)是否為泄露或者非 法訪問(wèn)外，另外一個(gè)問(wèn)題就是共享文件是否會(huì)被病毒感染。病毒或者木馬是危害企業(yè)網(wǎng) 絡(luò)安全的第一把殺手，而共享文件又是其很好的載體。若能夠有效的解決共享文件的病 毒木馬感染問(wèn)題，必定可以有效的抑制病毒或者木馬在企業(yè)網(wǎng)絡(luò)中為非作歹。而我們?nèi)?能夠在企業(yè)中統(tǒng)一部署文件服務(wù)器，則我們就可以利用下班的空閑時(shí)間，對(duì)文件服務(wù)器 上的共享文件統(tǒng)一進(jìn)行殺毒，以保證共享文件服務(wù)器上的文件都是干凈的，沒(méi)有被木馬 或者病毒所感染，從而避免其成為病毒或者木馬的有效載體。

綜上所述，共享文件夾以及共享文件的安全性問(wèn)題，是企業(yè)網(wǎng)絡(luò)安全管理中的一個(gè)比較薄弱的 環(huán)節(jié)，但是，又是一個(gè)十分重要的環(huán)節(jié)。相信，做好這件工作，必定可以提高企業(yè)網(wǎng)絡(luò)的利用價(jià)值， 減少網(wǎng)絡(luò)安全事故。

四、 項(xiàng)目的規(guī)劃

4.1 規(guī)劃域

根據(jù)網(wǎng)絡(luò)規(guī)模以及集中管理和結(jié)構(gòu)簡(jiǎn)單, 我們采用單域的結(jié)構(gòu)，域名為 DFSL 。與多域 結(jié)構(gòu)相比，實(shí)現(xiàn)了網(wǎng)絡(luò)資源的集中管理。并保證了管理上的簡(jiǎn)單性和低成本。

在域內(nèi)部按照部門(mén)名稱(chēng)劃分 OU ，例如：行政部，人事部，工程部，銷(xiāo)售部，財(cái)務(wù)部，用與 存儲(chǔ)和管理各個(gè)部門(mén)的用戶(hù)帳戶(hù)，組，以及打印機(jī)。整個(gè)域結(jié)構(gòu)與公司管理結(jié)構(gòu)相匹配可以實(shí) 現(xiàn)公司資源的層次管理。

4.2 規(guī)劃用戶(hù)帳戶(hù)和組

在各個(gè)部門(mén)的 ou 中分別為該部門(mén)員工創(chuàng)建唯一的域用戶(hù)帳戶(hù)，帳戶(hù)名為張三員工姓名的拼音。例如：“zhangsan ”, 初始密碼為 “123456”，并要求域用戶(hù)帳戶(hù)在下次登陸 時(shí)更改密碼。密碼最小長(zhǎng)度為 8，并且要符合復(fù)雜性要求。然后為每個(gè)部門(mén)創(chuàng)建全局組，命名如 下所示，并將同部門(mén)的員

工帳戶(hù)分別加入各個(gè)部門(mén)的全局組中。

用戶(hù)組規(guī)劃表樣例：

部門(mén)： 全局組

行政部 Xingzheng

人事部 Renshi

銷(xiāo)售部 Xiaoshou

財(cái)務(wù)部 Caiwu

4.3 規(guī)劃文件服務(wù)器

a) 通過(guò)一臺(tái)專(zhuān)用的文件服務(wù)器存儲(chǔ)公共文件以及員工的工作文檔；

b) 配置共享權(quán)限和 NTFS 權(quán)限，權(quán)限的配置應(yīng)遵循 AGDLP 規(guī)則

c) 啟用磁盤(pán)配額；

d) 制定備份策略，按任務(wù)計(jì)劃自動(dòng)執(zhí)行； 我們可以規(guī)劃類(lèi)似以下的企業(yè)文件服務(wù)平臺(tái)，既能保證絕大部分員工在 IT 部門(mén)提供的文件服務(wù)平臺(tái)上受益，又可最大程度保障數(shù)據(jù)文件安全；

五、 項(xiàng)目實(shí)施

5.1 服務(wù)器操作系統(tǒng)的安裝

服務(wù)器由于數(shù)量較少，可以單獨(dú)安裝 Windows Server 2008 企業(yè)版. 對(duì)系統(tǒng)進(jìn)行初始化設(shè) 置并將計(jì)算名命名為:dc，使用 ipconfig /all 以及 ping 命令驗(yàn)證網(wǎng)絡(luò)的連通性。最后，使用 Ghost 工具對(duì)系統(tǒng)進(jìn)行全備份。

5.2 Windows 域的創(chuàng)建

在 dc 上執(zhí)行命令”dcpromo ”安裝 AD ，提升為域控制器。為該公司創(chuàng)建一個(gè)域。域名為hj.local 。在安裝 AD 的過(guò)程中安裝 DNS 服務(wù)。

5.3 根據(jù)部門(mén)劃分 OU

為了匹配公司的管理模型，在域內(nèi)按照部門(mén)名稱(chēng)劃分組織單位（ou ）, 例如分別是：行政部、 人事部、銷(xiāo)售部、財(cái)務(wù)部。將來(lái)創(chuàng)建各個(gè)部門(mén)的用戶(hù)帳戶(hù)和組屬于各個(gè)部門(mén) ou 。使用 AD 活動(dòng)目錄 里的“用戶(hù)和計(jì)算機(jī)“工具創(chuàng)建部門(mén) ou 。

5.4 創(chuàng)建用戶(hù)賬戶(hù)和組

使用【Active Directory 用戶(hù)和計(jì)算機(jī)】工具在各個(gè)部門(mén)的 ou 中分別為該部門(mén)員工創(chuàng)建用戶(hù) 帳戶(hù)，帳戶(hù)名為員工的員工姓名的拼音。例如：張三“zhangsan “, 為每個(gè)部門(mén)創(chuàng)建全局組，將同 部門(mén)的員工帳戶(hù)分別加入各個(gè)部門(mén)的全局組。注意：在創(chuàng)建完成之后要進(jìn)行 dc 的數(shù)據(jù)備份即系統(tǒng) 的狀態(tài)數(shù)據(jù)。

5.5 配置域安全策略

單擊【開(kāi)始】|【管理工具】|【域安全策略】打開(kāi)域安全策略

密碼策略密碼長(zhǎng)度最小值為 8 個(gè)字符

密碼必須符合復(fù)雜性要求

帳戶(hù)鎖定策略

帳戶(hù)鎖定閾值為 5

賬戶(hù)鎖定時(shí)間為默認(rèn)值 30 分鐘

審核策略

賬戶(hù)登錄事件

對(duì)象訪問(wèn)

5.6 配置文件服務(wù)器

根據(jù)不同用戶(hù)和不同部門(mén)創(chuàng)建共享文件夾 配置共享權(quán)限和 NTFS 權(quán)限啟用磁盤(pán)配額

六、域控制器的軟硬件需求

1．操作系統(tǒng)

Windows 2008 Server 操作系統(tǒng)。

2．硬件配置；

X3400M3 7379I06 X eon E5606 2.13GHz 4C / 2*4G 1.35V / 8*2.5 HS SAS/SATA 3*300G SAS / M5015 Raid 0,1 w/o Battery / DVD / 670W Fixed