做好網(wǎng)管從Windows域開(kāi)始

1、前幾天 ,某電力公司的信息主管 (一位剛剛上任的朋友打電話(huà)過(guò)來(lái)問(wèn) : “有沒(méi)有好一點(diǎn)的網(wǎng)管軟件 ?現(xiàn)在機(jī)子多了 ,人手一機(jī) ,問(wèn)題越來(lái)越多了 ,相互猜密碼的、丟資料的、丟賬號(hào)的、系統(tǒng)整天崩潰的、在工位上玩游戲的、亂用打印機(jī)的 總之很亂 , 也不好管理。就算自己看見(jiàn)了 ,因?yàn)槠綍r(shí)關(guān)系不錯(cuò) ,也不好意思說(shuō) ,就是說(shuō)了也起不到多大作用。我這個(gè)信息主管實(shí)在是有名無(wú)實(shí)啊。 ”我聽(tīng)完以后十分感慨 ,微軟的桌面系統(tǒng)進(jìn)入中國(guó)市場(chǎng)這么久 ,竟然還有這么多人不知道 Windows 域服務(wù)才是管理桌面的利器。那么 ,今天我們就來(lái)分享一下給這位友人提出的解決方案。對(duì)多用戶(hù)管理缺乏層次某市某供電局 ,有員工 200 人

2、左右和 12 個(gè)業(yè)務(wù)或支撐部門(mén)。為了滿(mǎn)足公司未來(lái)發(fā)展和日常運(yùn)營(yíng)管理的安全需求 ,公司決定重新部署企業(yè)網(wǎng)絡(luò)。公司計(jì)劃部署一個(gè)由 200 臺(tái)計(jì)算機(jī)組成的局域網(wǎng) ,用于完成企業(yè)數(shù)據(jù)通信和資源共享。公司已有一個(gè)局域網(wǎng) ,運(yùn)行 200 臺(tái)計(jì)算機(jī) ,服務(wù)器操作系統(tǒng)是 Windows Server 2003,客戶(hù)端的操作系統(tǒng)是 Windows XP, 工作在工作組模式下 ,員工一人一機(jī)辦公。公司從 ISP 申請(qǐng) 100M 專(zhuān)線(xiàn) ,采用代理方式上網(wǎng)。由于計(jì)算機(jī)比較多 ,管理上缺乏層次 ,公司希望能夠利用 Windows 域環(huán)境管理所有網(wǎng)絡(luò)資源 ,提高辦公效率 ,加強(qiáng)內(nèi)部網(wǎng)絡(luò)安全 ,規(guī)范計(jì)算機(jī)使用。按單域規(guī)劃辦

3、公網(wǎng)絡(luò)要組建 Windows 辦公網(wǎng)絡(luò) ,首先要規(guī)劃 IP 地址 ,然后再根據(jù)域環(huán)境決定是采用單域還是多域結(jié)構(gòu) ,最后考慮賬戶(hù)、文件和打印服務(wù)等內(nèi)容。規(guī)劃 IP 地址本項(xiàng)目中 IP 地址采用 192 . 168 . 0 . 0/24網(wǎng)段。計(jì)算機(jī)默認(rèn)網(wǎng)關(guān)為192 . 168 . 0 . 1192 . 168 . 0 . 10之間的 IP,客戶(hù)機(jī)占用 192 . 168 . 0 . 11以上的 IP。規(guī)劃域根據(jù)網(wǎng)絡(luò)規(guī)模、集中管理與結(jié)構(gòu)簡(jiǎn)單原則,公司決定采用單域結(jié)構(gòu) ,域名為 angerfire . cn。與多域結(jié)構(gòu)相比 ,它能實(shí)現(xiàn)網(wǎng)絡(luò)資源集中管理并保障管理上的簡(jiǎn)單性和低成本。在域內(nèi)按照部門(mén)名稱(chēng)劃分

4、組織單位 (OU,分別是運(yùn)行科、保護(hù)科、變配電科、巡檢科、人力資源科、招標(biāo)辦公室、對(duì)標(biāo)辦公室、財(cái)務(wù)辦公室、工程部、搶險(xiǎn)辦公室、工會(huì)和局長(zhǎng)辦公室 (見(jiàn)表 1,用于存儲(chǔ)和管理各部門(mén)的用戶(hù)資源。整個(gè)域結(jié)構(gòu)與公司管理結(jié)構(gòu)相匹配 ,可以實(shí)現(xiàn)網(wǎng)絡(luò)資源的層次管理。域控制器作為整個(gè)域的核心服務(wù)器 ,完成對(duì)公司所有員工的賬戶(hù)管理和安全策略的實(shí)施。規(guī)劃用戶(hù)賬戶(hù)和組在各部門(mén)的OU 中分別為該部門(mén)員工創(chuàng)建唯一的域用戶(hù)賬戶(hù),并要求域用戶(hù)賬戶(hù)在首次登錄時(shí)更改密碼。密碼最小長(zhǎng)度為 8 位,并且符合復(fù)雜性要求。為每個(gè)部門(mén)創(chuàng)建全局組 ,并將同部門(mén)的員工賬戶(hù)分別加入各部門(mén)的全局組。規(guī)劃文件服務(wù)器通過(guò)一臺(tái)專(zhuān)用文件服務(wù)器存儲(chǔ)公共文件

5、以及員工的工作文檔。文件服務(wù)器的 C 盤(pán)容量為 10GB(安裝操作系統(tǒng)和軟件 ,D 盤(pán)容量大于 100GB,并采用 NTFS 文件系統(tǒng)。在 D 盤(pán)的一個(gè)名為 software 的文件夾中存放公共文件 ,如常用軟件、規(guī)章制度等。另一個(gè)名為share的文件夾存放部門(mén)和員工的工作文檔。在 D:share下為每個(gè)部門(mén)建立文件夾 ,部門(mén)文件夾下創(chuàng)建每個(gè)員工的文件夾 ,并為每個(gè)用戶(hù)配置共享權(quán)限和 NTFS 權(quán)限 ,保障文件只被授權(quán)的用戶(hù)訪(fǎng)問(wèn) (見(jiàn)表 2。權(quán)限的配置應(yīng)遵循 AGDLP 規(guī)則 ,避免直接為用戶(hù)授權(quán) ,除非該文件夾只有一個(gè)員工訪(fǎng)問(wèn)。在文件服務(wù)器上 ,普通員工最大使用空間為 100MB,部門(mén)經(jīng)理的

6、最大使用空間為1000MB,總經(jīng)理的最大使用空間不受限制。在文件上傳類(lèi)型方面 ,只允許上傳文件后綴為.doc、 .xls、.ppt、.wps、.txt、.rar 的文件。對(duì)重要的文件夾要制定備份策略 , 可以采用常規(guī)備份加差異備份的策略 ,按任務(wù)計(jì)劃自動(dòng)執(zhí)行。規(guī)劃打印系統(tǒng)根據(jù)公司需求 ,需要采購(gòu) 4 臺(tái)打印設(shè)備 (HP Laserjet 1020。4 臺(tái)設(shè)備分別安裝在打印服務(wù)器 printsrv1、printsrv2、printsrv3、printsrv4 上 ,printsrv1 供局長(zhǎng)辦公室和財(cái)務(wù)辦公室使用 ,printsrv2 和 printsrv3 供招標(biāo)辦公室、工程部和工會(huì)使用 ,p

7、rintsrv4 供對(duì)標(biāo)辦公室、搶險(xiǎn)辦公室和人力資源科使用。局長(zhǎng)、科長(zhǎng)和普通員工的優(yōu)先級(jí)分別規(guī)劃為 90、 50 和 1。同時(shí)還要規(guī)劃邏輯打印機(jī)權(quán)限。規(guī)劃上網(wǎng)方式公司租用一條 100M 專(zhuān)線(xiàn)上網(wǎng)。采用代理服務(wù)器軟件使局域網(wǎng)接入 Internet。防火墻 /代理服務(wù)器軟件使用微軟應(yīng)用級(jí)防火墻 ISA2006。代理服務(wù)器的專(zhuān)用連接 IP 為 192 . 168 . 0 . 1,公共連接與 100MB 專(zhuān)線(xiàn)連通 ,IP 地址從 ISP 那里動(dòng)態(tài)獲得 ,啟用的代理協(xié)議是 HTTP,使用域策略完成客戶(hù)端的統(tǒng)一配置 ,實(shí)現(xiàn)共享上網(wǎng) , 啟用防火墻策略對(duì)用戶(hù)上網(wǎng)行為進(jìn)行監(jiān)控并阻絕一切不適用的網(wǎng)絡(luò)通信。啟示 :遵從法則更重要目前信息化項(xiàng)目層出不窮 ,內(nèi)部網(wǎng)絡(luò)的安全規(guī)劃是重中之重。我們通常習(xí)慣性地認(rèn)為安全就要靠防火墻和殺毒軟件。殊不知 ,這些都是解決表面問(wèn)題的手段。一個(gè)真正意義上的安全網(wǎng)絡(luò),首先需要安全強(qiáng)壯的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu),其次是基于強(qiáng)壯骨架之上的服務(wù)。而應(yīng)用層的解決方法其實(shí)就在我們所熟知的 Windows 域中。在基于域環(huán)境的計(jì)算