服務(wù)器管理規(guī)劃方案服務(wù)器管理規(guī)劃方案服務(wù)器管理規(guī)劃方案全文共7頁，當(dāng)前為第1頁。服務(wù)器管理規(guī)劃方案全文共7頁，當(dāng)前為第1頁。隨著公司電腦的數(shù)量增多和網(wǎng)絡(luò)帶寬的增加，一方面公司職員辦公效率得到改善，另一方面也給公司帶來更高的網(wǎng)絡(luò)使用危險(xiǎn)性、復(fù)雜性和混亂。網(wǎng)絡(luò)對(duì)辦公環(huán)境造成的危害主要表現(xiàn)為：1)為給用戶電腦提供正常的辦公環(huán)境，安裝操作系統(tǒng)和應(yīng)用軟件已經(jīng)耗費(fèi)了網(wǎng)絡(luò)管理人員一定的精力和時(shí)間，同時(shí)又難以限制用戶安裝軟件，導(dǎo)致網(wǎng)絡(luò)管理人員必須花費(fèi)其50%以上的精力用于維護(hù)用戶的PC系統(tǒng)，無法集中精力去開發(fā)信息系統(tǒng)的深層次功能，提升信息系統(tǒng)價(jià)值。2)由于使用者的防范意識(shí)普遍偏低，防毒措施往往不到位，一旦發(fā)生病毒感染，往往擴(kuò)散到全網(wǎng)絡(luò)，令網(wǎng)絡(luò)陷于癱瘓狀態(tài)，部分致命的蠕蟲病毒利用TCP/IP協(xié)議的各種漏洞，使得木馬、病毒傳播迅速，影響規(guī)模大，導(dǎo)致網(wǎng)絡(luò)長時(shí)間處于帶毒運(yùn)行，反復(fù)發(fā)作而維護(hù)人員切束手無策。3)部分網(wǎng)站網(wǎng)頁含有惡意代碼，強(qiáng)行在用戶電腦上安裝各種網(wǎng)絡(luò)搜索引擎插件、廣告插件或中文域名插件等，增加了辦公電腦大量的資源消耗，導(dǎo)致計(jì)算機(jī)反應(yīng)緩慢；4)個(gè)別員工私自從網(wǎng)絡(luò)下載安裝的軟件，這些從網(wǎng)絡(luò)上下載的軟件安裝包多數(shù)附帶各種插件、木馬和病毒，并在安裝過程中用戶不知情的情況下強(qiáng)行安裝在辦公電腦上，增加了辦公電腦大量的資源消耗，導(dǎo)致計(jì)算機(jī)反應(yīng)緩慢，甚至被遠(yuǎn)程控制；5)局域網(wǎng)共享，包括默認(rèn)共享、文件共享，一些病毒比如ARP通過廣播四處泛濫，影響到整個(gè)片區(qū)電腦的正常工作；6)部分員工使用公司計(jì)算機(jī)上網(wǎng)聊天、聽歌、看電影、打游戲，部分員工全天24小時(shí)啟用P2P軟件下載音樂和影視文件，由于迅雷和BT等軟件并發(fā)線程多，導(dǎo)致大量帶寬被部分員工占用，網(wǎng)絡(luò)速度緩慢，導(dǎo)致應(yīng)用軟件系統(tǒng)無法正常開展業(yè)務(wù)，即便是嚴(yán)格的計(jì)算機(jī)使用管理制度也很難保障企業(yè)中的計(jì)算機(jī)只用于企業(yè)業(yè)務(wù)本身，PC的業(yè)務(wù)專注性、管控能力不強(qiáng)。一、解決方案為了更好地進(jìn)行網(wǎng)絡(luò)管理，合理分配和使用網(wǎng)絡(luò)資源，規(guī)范，引導(dǎo)用戶安全使用辦公電腦，加強(qiáng)對(duì)用戶帳號(hào)，密碼策略，用戶訪問權(quán)限以及文件安全管理機(jī)制，建議采用域控制器與文件服務(wù)器相結(jié)合的管理模式。二、域的概述服務(wù)器管理規(guī)劃方案全文共7頁，當(dāng)前為第2頁。1．域控制器的定義“域”的真正含義指的是服務(wù)器控制網(wǎng)絡(luò)上的計(jì)算機(jī)能否加入的計(jì)算機(jī)組合。一提到組合，勢(shì)必需要嚴(yán)格的控制。所以實(shí)行嚴(yán)格的管理對(duì)網(wǎng)絡(luò)安全是非常必要的。在對(duì)等網(wǎng)模式下，任何一臺(tái)電腦只要接入網(wǎng)絡(luò)，其他機(jī)器就都可以訪問共享資源，如共享文件等。盡管對(duì)等網(wǎng)絡(luò)上的共享文件可以加訪問密碼，但是非常容易被破解。不過在“域”模式下，至少有一臺(tái)服務(wù)器負(fù)責(zé)每一臺(tái)聯(lián)入網(wǎng)絡(luò)的電腦和用戶的驗(yàn)證工作，相當(dāng)于一個(gè)單位的門衛(wèi)一樣，稱為“域控制器（DomainController，簡(jiǎn)寫為DC）”。服務(wù)器管理規(guī)劃方案全文共7頁，當(dāng)前為第2頁。2．域控制器的好處1）用戶帳號(hào)與密碼管理：域控制器中包含了由這個(gè)域的賬戶、密碼、屬于這個(gè)域的計(jì)算機(jī)等信息構(gòu)成的數(shù)據(jù)庫。當(dāng)電腦聯(lián)入網(wǎng)絡(luò)時(shí)，域控制器首先要鑒別這臺(tái)電腦是否是屬于這個(gè)域的，用戶使用的登錄賬號(hào)是否存在、密碼是否正確。如果以上信息有一樣不正確，那么域控制器就會(huì)拒絕這個(gè)用戶從這臺(tái)電腦登錄。不能登錄，用戶就不能訪問服務(wù)器上有權(quán)限保護(hù)的資源，他只能以對(duì)等網(wǎng)用戶的方式訪問Windows共享出來的資源，這樣就在一定程度上保護(hù)了網(wǎng)絡(luò)上的資源。2）用戶文件安全性：域控制器中包含了每個(gè)人的專用文件夾，并對(duì)文件夾設(shè)定了用戶訪問權(quán)限，每個(gè)人只可以訪問到自己的專用文件夾，而管理員擁有對(duì)所有文件夾的訪問權(quán)限，并進(jìn)行統(tǒng)一的管理，同時(shí)，可對(duì)指定文件夾進(jìn)行讀、寫限制，并給予統(tǒng)一的帳號(hào)和密碼進(jìn)行訪問，從而大大提高了用戶文件的安全性，實(shí)現(xiàn)了文件資源的合理分配和使用，便于管理員對(duì)網(wǎng)絡(luò)進(jìn)行統(tǒng)一的管理。3)用戶權(quán)限的分配：為了更好地對(duì)網(wǎng)絡(luò)進(jìn)行統(tǒng)一管理，減輕管理員的負(fù)擔(dān)，域控制器中包含了對(duì)用戶使用權(quán)限的分配情況。在域控制器中，域用戶沒有權(quán)限安裝任何軟件，他必須經(jīng)過域管理員同意后并授予一定的權(quán)限方可對(duì)軟件進(jìn)行安裝，卸載等操作。同時(shí)，避免了下載或安裝一些來歷不明的程序而引起病毒感染或系統(tǒng)文件受損，造成用戶數(shù)據(jù)丟失等問題的出現(xiàn)，從而，大大提高了用戶數(shù)據(jù)安全性。三、文件共享服務(wù)器概述在企業(yè)的網(wǎng)絡(luò)中，最常用的功能莫過于“共享文件”了。財(cái)務(wù)部門需要當(dāng)月員工的考勤信息，人事部門可能不會(huì)親自拿過去，而是在網(wǎng)絡(luò)上共享；品牌部新設(shè)計(jì)的宣傳活動(dòng)視頻不需通過移動(dòng)硬盤進(jìn)行存儲(chǔ)和共享，而是放在網(wǎng)絡(luò)的共享文件夾下，誰需要的話，就自己去查看就可以了，等等。類似的需求還有很多?？梢姡蚕砦募墓δ?，提高了企業(yè)辦公的效率，使企業(yè)局域網(wǎng)應(yīng)用中的一個(gè)不可缺的功能。但是，由于共享文件夾管理不當(dāng)，往往也給企業(yè)帶來了一些安全上的風(fēng)險(xiǎn)。如某些共享文件莫名其妙的被刪除或者修改；有些對(duì)于企業(yè)來說數(shù)據(jù)保密的內(nèi)容在網(wǎng)絡(luò)上被共享，所有員工都可以訪問；共享文件成為病毒、木馬等傳播的最好載體，等等。所以，共享文件若管理不當(dāng)，會(huì)造成比較嚴(yán)重的后果。服務(wù)器管理規(guī)劃方案全文共7頁，當(dāng)前為第3頁。另外，若把企業(yè)的共享文件分散在各個(gè)用戶終端管理的話，有一個(gè)問題，就是用戶對(duì)于共享操作的熟悉程度不同或者安全觀念有差異，所以，很難從部署一個(gè)統(tǒng)一的文件共享安全策略。如分散在用戶主機(jī)的共享文件，員工一般不會(huì)定期對(duì)其進(jìn)行備份，以防止因?yàn)橐馔鈸p害而進(jìn)行及時(shí)恢復(fù)；一般也不會(huì)設(shè)置具體的訪問權(quán)限，如只允許一些特定的員工訪問等等。因?yàn)檫@些操作的話，一方面可能需要一些專業(yè)知識(shí)，另一方面，權(quán)限設(shè)置也比較繁瑣。所以，即使我們出了相關(guān)的制度，但是，員工一般很難遵守。服務(wù)器管理規(guī)劃方案全文共7頁，當(dāng)前為第3頁。所以，建議部署一個(gè)文件共享服務(wù)器，來統(tǒng)一管理共享文件。采取這種策略的話，有如下好處：1) 可以定時(shí)的對(duì)共享文件進(jìn)行備份，從而減少因?yàn)橐馔庑薷幕蛘邉h除而導(dǎo)致的損失。若能夠把共享文件夾都放在文件服務(wù)器上，則我們就可以定時(shí)的對(duì)文件服務(wù)器上的文件進(jìn)行備份。如此的話，即使因?yàn)闄?quán)限設(shè)置不合理，導(dǎo)致文件被意外修改或者刪除；有時(shí)員工自己也會(huì)在不經(jīng)意中刪除不該刪的文件，遇到這種情況的時(shí)候，則我們可以通過備份文件進(jìn)行恢復(fù)，把原有的文件恢復(fù)過來，從而減少這些不必要的損失。2) 是可以統(tǒng)一制定文件訪問權(quán)限策略。在共享文件服務(wù)器上，我們可以根據(jù)各個(gè)員工的需求，在文件服務(wù)中預(yù)先設(shè)置一些文件夾，并設(shè)置好具體的權(quán)限。如此的話，放到共享文件服務(wù)器中的文件就自動(dòng)繼承了文件服務(wù)器文件夾的訪問權(quán)限，從而實(shí)現(xiàn)統(tǒng)一管理文件訪問權(quán)限的目的。如對(duì)于一些全公司都可以訪問的行政通知類文件，我們可以為此設(shè)立一個(gè)通知類文件夾，這個(gè)文件夾只有行政人員具有讀寫權(quán)限，而其他職工都只有只讀權(quán)限。如此的話，其他員工就不能夠?qū)@些通知進(jìn)行更改或者刪除。所以，對(duì)共享文件夾進(jìn)行統(tǒng)一的管理，可以省去用戶每次設(shè)置權(quán)限的麻煩，從而提高共享文件的安全性。3) 可以統(tǒng)一進(jìn)行防毒管理。對(duì)于共享文件來說，我們除了要關(guān)心其數(shù)據(jù)是否為泄露或者非法訪問外，另外一個(gè)問題就是共享文件是否會(huì)被病毒感染。病毒或者木馬是危害企業(yè)網(wǎng)絡(luò)安全的第一把殺手，而共享文件又是其很好的載體。若能夠有效的解決共享文件的病毒木馬感染問題，必定可以有效的抑制病毒或者木馬在企業(yè)網(wǎng)絡(luò)中為非作歹。而我們?nèi)裟軌蛟谄髽I(yè)中統(tǒng)一部署文件服務(wù)器，則我們就可以利用下班的空閑時(shí)間，對(duì)文件服務(wù)器上的共享文件統(tǒng)一進(jìn)行殺毒，以保證共享文件服務(wù)器上的文件都是干凈的，沒有被木馬或者病毒所感染，從而避免其成為病毒或者木馬的有效載體。綜上所述，共享文件夾以及共享文件的安全性問題，是企業(yè)網(wǎng)絡(luò)安全管理中的一個(gè)比較薄弱的環(huán)節(jié)，但是，又是一個(gè)十分重要的環(huán)節(jié)。相信，做好這件工作，必定可以提高企業(yè)網(wǎng)絡(luò)的利用價(jià)值，減少網(wǎng)絡(luò)安全事故。四、項(xiàng)目的規(guī)劃4.1規(guī)劃域根據(jù)網(wǎng)絡(luò)規(guī)模以及集中管理和結(jié)構(gòu)簡(jiǎn)單化,我們采用單域的結(jié)構(gòu)，域名為。與多域結(jié)構(gòu)相比，實(shí)現(xiàn)了網(wǎng)絡(luò)資源的集中管理。并保證了管理上的簡(jiǎn)單性和低成本。服務(wù)器管理規(guī)劃方案全文共7頁，當(dāng)前為第4頁。在域內(nèi)部按照部門名稱劃分OU（組織單元），例如：行政部，工程部，銷售部，財(cái)務(wù)部，倉管部，公建部，審計(jì)部等，用與存儲(chǔ)和管理各個(gè)部門的用戶帳戶，組，以及打印機(jī)。整個(gè)域結(jié)構(gòu)與公司管理結(jié)構(gòu)相匹配可以實(shí)現(xiàn)公司資源的層次管理。服務(wù)器管理規(guī)劃方案全文共7頁，當(dāng)前為第4頁。4.2規(guī)劃用戶帳戶和組在各個(gè)部門的OU中分別為該部門員工創(chuàng)建唯一的域用戶帳戶，帳戶名為張三員工姓名的拼音。例如：“zhangsan”,初始密碼為“123456”，并要求域用戶帳戶在下次登陸時(shí)更改密碼。密碼最小長度為6，并且要符合復(fù)雜性要求。然后為每個(gè)部門創(chuàng)建全局組，命名如下所示，并將同部門的員工帳戶分別加入各個(gè)部門的全局組中。用戶組規(guī)劃表樣例：部門：全局組行政部行政工程部工程銷售部銷售財(cái)務(wù)部財(cái)務(wù)4.3規(guī)劃文件服務(wù)器a) 通過一臺(tái)專用的文件服務(wù)器存儲(chǔ)公共文件以及員工的工作文檔；b) 配置共享權(quán)限和NTFS權(quán)限;c) 啟用磁盤配額；d) 制定備份策略，按任務(wù)計(jì)劃自動(dòng)執(zhí)行，既能保證絕大部分員工在IT部門提供的文件服務(wù)平臺(tái)上受益，又可最大程度保障數(shù)據(jù)文件安全；五、項(xiàng)目實(shí)施5.1服務(wù)器操作系統(tǒng)的安裝服務(wù)器安裝WindowsServer2003企業(yè)版.對(duì)系統(tǒng)進(jìn)行初始化設(shè)置并將計(jì)算名命名為:dc，使用網(wǎng)絡(luò)檢測(cè)命令驗(yàn)證網(wǎng)絡(luò)的連通性。然后使用Ghost工具對(duì)系統(tǒng)進(jìn)行全備份。5.2Windows域的創(chuàng)建在dc上執(zhí)行命令”dcpromo”安裝AD，提升為域控制器。為公司創(chuàng)建一個(gè)域。域名為。在安裝AD的過程中安裝DNS服務(wù)。5.3根據(jù)部門劃分OU為了匹配公司的管理模型，在域內(nèi)按照部門名稱劃分組織單位（OU）,例如分別是：行政部、工程部、銷售部、財(cái)務(wù)部。將來創(chuàng)建各個(gè)部門的用戶帳戶和組屬于各個(gè)部門OU。使用AD活動(dòng)目錄里的“用戶和計(jì)算機(jī)”創(chuàng)建部門OU。5.4創(chuàng)建用戶賬戶和組服務(wù)器管理規(guī)劃方案全文共7頁，當(dāng)前為第5頁。使用【ActiveDirectory用戶和計(jì)算機(jī)】工具在各個(gè)部門的OU中分別為該部門員工創(chuàng)建用戶帳戶，帳戶名為員工的員工姓名的拼音。例如：張三“zhangsan“,為每個(gè)部門創(chuàng)建全局組，將同部門的員工帳戶分別加入各個(gè)部門的全局組。注意：在創(chuàng)建完成之后要進(jìn)行dc的數(shù)據(jù)備份即系統(tǒng)的狀態(tài)數(shù)據(jù)。服務(wù)器管理規(guī)劃方案全文共7頁，當(dāng)前為第5頁。配置域安全策略單擊【開始】|【管理工具】|【域安全策略】打開域安全策略密碼策略：密碼長度最小值為6個(gè)字符密碼必須符合復(fù)雜性要求帳戶鎖定策略賬戶鎖定時(shí)間為默認(rèn)值10分鐘審核策略賬戶登錄事件配置文件服務(wù)器根據(jù)不同用戶和不同部門創(chuàng)建共享文件夾配置共享權(quán)限和NTFS權(quán)限啟用磁盤配額六、域控制器的軟硬件需求1．操作系統(tǒng)Windows2003ServerR2企業(yè)版。2．硬件配置；品牌型號(hào)：惠普DL388G7CPU:IntelE56202.4GHZ主板：Intel5520–ICH10內(nèi)存：8GBDDR31333MHZ硬盤：惠普SCSI750GB光驅(qū)：TEACDV-28S-W七、文件服務(wù)器軟硬件需求1．操作系統(tǒng)Windows2003ServerR2企業(yè)版。2．硬件配置；品牌型號(hào)：惠普DL388G7CPU:IntelE56202.4GHZ主板：Intel5520–ICH10內(nèi)存：8GBDDR31333MHZ服務(wù)器管理規(guī)劃方案全文共7頁，當(dāng)前為第6頁。硬盤：惠普SCSI750GB服務(wù)器管理規(guī)劃方案全文共7頁，當(dāng)前為第6頁。光驅(qū)：TEACDV-28S-W57710018030900120955790368228596330825771001803090012386576137399735760696577100180309001359457807757990251551257710018030900123875771649826018180515771001803090012138572131192158918326577100180309001235957903682236107605357710018030900123565761352861437917425771001803090012355575087869704693279170881003433552741012299443258333791708810034335527510186673293883200817088100343356107101581152501500522170881003433561081010001800598717321708810034335429510107419414268701717088100343356184101878660869628802170881003433