解決企業(yè)內(nèi)部網(wǎng)絡(luò)安全最強(qiáng)利器--windows域
(一)問(wèn)題
前幾天��,某電力公司的信息主管(一位剛剛上任的朋友)打電話過(guò)來(lái)問(wèn):“有沒(méi)有好一點(diǎn)的網(wǎng)管軟件?���。楷F(xiàn)在機(jī)子多了���,人手一機(jī)����,問(wèn)題也越來(lái)越多了,相互猜密碼的���、丟資料、丟賬號(hào)�����、系統(tǒng)成天崩潰的�����、在工位上玩游戲的�����、亂用打印機(jī)的���?�?傊軄y�����,也不好管�����、就算自己看見(jiàn)了�����,平時(shí)關(guān)系也不錯(cuò)�����,也不好意思說(shuō)�����,說(shuō)了也起不倒多大作用���。我這個(gè)信息主管�,有名無(wú)實(shí)啊�����。”����。聽(tīng)完以后十分感慨,微軟的桌面稱霸中國(guó)市場(chǎng)這么久�����,竟然有這么多人不知道微軟的服務(wù)才是管理桌面的最強(qiáng)利器��。
那么今天���,我們就來(lái)分享一下,我為這位友人出的解決方案:
(二)案例
一���、項(xiàng)目背景
I 公司簡(jiǎn)介:某某市某某供電局��,通過(guò)合理的運(yùn)營(yíng)和管理�,發(fā)展迅速�����,員工人數(shù)已有200人左右���,為了滿足公司未來(lái)的發(fā)展和企業(yè)運(yùn)營(yíng)的需求���,公司決定重新部署企業(yè)網(wǎng)絡(luò)����。公司計(jì)劃部署一個(gè)由200臺(tái)計(jì)算機(jī)組成的局域網(wǎng)���。用于完成企業(yè)數(shù)據(jù)通信和資源共享��。
公司由運(yùn)行科���,保護(hù)科,變配電科�����,巡檢科����,人力資源,招標(biāo)辦公室�,對(duì)標(biāo)辦公室,財(cái)務(wù)辦公室�����,工程部,搶險(xiǎn)辦公室�����、工會(huì)12個(gè)部門組成(涉及保密情況部門內(nèi)容有所保留)��。
運(yùn)行科:負(fù)責(zé)公司主要的電力運(yùn)行作業(yè)����。
保護(hù)殼:負(fù)責(zé)公司擬定電力運(yùn)行資料的規(guī)劃、管理規(guī)范���,對(duì)電力運(yùn)行資料進(jìn)行監(jiān)測(cè)監(jiān)視。
變配電科:負(fù)責(zé)對(duì)變電站的高壓��、低壓設(shè)備的運(yùn)行維護(hù)��。
巡檢科:負(fù)責(zé)對(duì)公司日常運(yùn)行的質(zhì)量安全巡檢���。
人力資源:負(fù)責(zé)公司各個(gè)部門的人力資源配比��,人員檔案管理���、規(guī)劃�����,以及相關(guān)人才儲(chǔ)備�����。
招標(biāo)辦公室:負(fù)責(zé)公司工程招標(biāo)工作�����。
對(duì)標(biāo)辦公室:負(fù)責(zé)公司工程指標(biāo)的同業(yè)對(duì)標(biāo)工作�����。
財(cái)務(wù)辦公室:負(fù)責(zé)工資結(jié)算�、公司賬目管理�。
工程部:負(fù)責(zé)公司的工程策劃、及工程實(shí)施監(jiān)管工作��。
搶險(xiǎn)辦公室:負(fù)責(zé)公司電力設(shè)備的應(yīng)急工作��。
工會(huì):負(fù)責(zé)保障職工生活福利����,與有關(guān)部門配合�,共同辦好職工的集體福利事業(yè)��。
局長(zhǎng)辦公室:負(fù)責(zé)公司運(yùn)營(yíng)管理監(jiān)督工作�。
II IT概況:公司已有一個(gè)局域網(wǎng),運(yùn)行200臺(tái)計(jì)算機(jī)���,服務(wù)器操作系統(tǒng)是windows server 2003�,客戶機(jī)的操作系統(tǒng)是
windows xp�����,工作在工作組模式下��,員工一人一機(jī)辦公�����。公司從ISP申請(qǐng)了100M專線��。采用代理方式上網(wǎng)���。由于計(jì)算機(jī)比較多����,管理上缺乏層次�����,公司希望能夠利用windows域環(huán)境管理所有網(wǎng)絡(luò)資源��,提高辦公效率�,加強(qiáng)內(nèi)部網(wǎng)絡(luò)安全,規(guī)范計(jì)算機(jī)使用�。
二、需求分析
I 帳戶管理:
公司對(duì)員工帳戶的需求如下:
l 員工一人一個(gè)帳戶
l 所有帳戶集中存儲(chǔ)管理
l 按部門管理帳戶
l 帳戶密碼長(zhǎng)度不小于8
l 密碼不能為簡(jiǎn)單密碼��,如12345678等
l 對(duì)個(gè)別員工試探別人密碼的行為要有所防范����。
l 員工的權(quán)限級(jí)別有3種:局長(zhǎng)、科長(zhǎng)����、普通員工,他們?cè)谠L問(wèn)網(wǎng)絡(luò)資源時(shí)權(quán)限不同��。
II 文件管理:
公司對(duì)文件和文件夾管理的需求如下:
u 公司所有的常用軟件的安裝文件共享到一臺(tái)文件服務(wù)器上�����。
u 員工工作文檔需要可靠存儲(chǔ)、方便訪問(wèn)��。局長(zhǎng)可讀取和修改全公司文檔�。科長(zhǎng)可讀取和修改部門文檔����。普通員工可讀取本部門的文檔和修改自己的文檔。
u 在文件服務(wù)器上對(duì)員工空間限制:普通員工最大100MB��,科長(zhǎng)最大1000MB�,局長(zhǎng)的使用空間不限制。
u 在文件服務(wù)器上的重要文檔有定期備份�����。
u 審核員工登陸和訪問(wèn)文檔的行為�。
III 打印機(jī)管理:
公司對(duì)打印的需求如下:
l 局長(zhǎng)和財(cái)務(wù)部使用一臺(tái)打印設(shè)備,運(yùn)行科�、保護(hù)科����、變電配料�����、巡檢科使用一臺(tái)�,招標(biāo)辦公室�����、工程部�����、工會(huì)使用一臺(tái)���,對(duì)標(biāo)辦公室��、搶險(xiǎn)辦公室���、人力資源使用一臺(tái)。
l 局長(zhǎng)的優(yōu)先級(jí)高于科長(zhǎng)��,科長(zhǎng)的優(yōu)先級(jí)高于普通員工�。
IIII 訪問(wèn)internet
l 員工可以上網(wǎng)查資料
l 監(jiān)控員工上網(wǎng)行為
三、項(xiàng)目規(guī)劃
要組建windows辦公網(wǎng)絡(luò),首先要規(guī)劃IP地址�����,然后考慮域環(huán)境采用單域還是多域結(jié)構(gòu)����。接下來(lái)考慮帳戶、文件和打印服務(wù)
等內(nèi)容�����。
I 規(guī)劃IP地址
本項(xiàng)目中IP地址采用192.168.0.0/24網(wǎng)段���。 計(jì)算機(jī)的默認(rèn)網(wǎng)關(guān)為 192.168.0.1-192.168.0.10之間的IP���,客戶機(jī)占用192.168.0.11以上的IP。具體分配方案見(jiàn)下表�。
IP地址分配表
|
計(jì)算機(jī)名稱
|
IP地址
|
子網(wǎng)掩碼
|
首選DNS服務(wù)器地址
|
|
DC1
|
192.168.0.2
|
255.255.255.0
|
192.168.0.2
|
|
DC2
|
192.168.0.3
|
255.255.255.0
|
192.168.0.2
|
|
Filesvr
|
192.168.0.4
|
255.255.255.0
|
192.168.0.2
|
|
Printsvr1
|
192.168.0.5
|
255.255.255.0
|
192.168.0.2
|
|
Printsvr2
|
192.168.0.6
|
255.255.255.0
|
192.168.0.2
|
|
Printsvr3
|
192.168.0.7
|
255.255.255.0
|
192.168.0.2
|
|
Printsvr4
|
192.168.0.8
|
255.255.255.0
|
192.168.0.2
|
|
Daili
|
192.168.0.9
|
255.255.255.0
|
192.168.0.2
|
|
客戶機(jī)
|
192.168.0.X
|
255.255.255.0
|
192.168.0.2
|
II 規(guī)劃域
根據(jù)網(wǎng)絡(luò)規(guī)模及集中管理和結(jié)構(gòu)簡(jiǎn)單原則采用單域結(jié)構(gòu),域名為angerfire.cn��。域多域結(jié)構(gòu)相比��,實(shí)現(xiàn)網(wǎng)絡(luò)資源集中管理���,并保障管理上的簡(jiǎn)單性和低成本�。
在域內(nèi)按照部門名稱劃分組織單位(OU)�����,即創(chuàng)建11個(gè)組織單位����,分別是運(yùn)行科,保護(hù)科����,變配電科,巡檢科���,人力資源��,招標(biāo)辦公室���,對(duì)標(biāo)辦公室,財(cái)務(wù)辦公室���,工程部�����,搶險(xiǎn)辦公室�����、工會(huì)���,用于存儲(chǔ)和管理各部門的用戶帳戶�、組及打印機(jī)等資源��。整個(gè)域結(jié)構(gòu)與公司管理結(jié)構(gòu)相匹配可以實(shí)現(xiàn)資源的層次管理�,如下圖所示。
域控制器作為整個(gè)域的核心服務(wù)器���,完成對(duì)公司所有員工的帳戶管理和安全策略的實(shí)施�����,為保證其可靠性����,需要安裝2臺(tái)域控制器����。
III 規(guī)劃用戶帳戶和組
在各部門的OU中分別為該部門員工創(chuàng)建唯一的域用戶帳戶����,帳戶名為員工姓名的拼音��,例如“songyang”����。初始密碼為“123.com”�����,并要求域用戶帳戶在首次登陸時(shí)更改密碼����。密碼最小長(zhǎng)度為8,并且符合復(fù)雜性要求�����。
為每個(gè)部門創(chuàng)建全局組�����,命名見(jiàn)下表
用戶組規(guī)劃表
|
部門
|
全局組
|
|
運(yùn)行科
|
Yunxing
|
|
保護(hù)科
|
Baohu
|
|
變配電科
|
Bianpeidianliao
|
|
巡檢科
|
Xunjian
|
|
人力資源
|
Renliziyuan
|
|
招標(biāo)辦公室
|
Zhaobiao
|
|
對(duì)標(biāo)辦公室
|
Duibiao
|
|
財(cái)務(wù)辦公室
|
Caiwu
|
|
工程部
|
Gongcheng
|
|
搶險(xiǎn)辦公室
|
Qiangxian
|
|
工會(huì)
局長(zhǎng)辦公室
|
Gonghui
Juzhang
|
并將同部門的員工帳戶分別加入各部門的全局組。
IIII 規(guī)劃文件服務(wù)器
通過(guò)一臺(tái)專用文件服務(wù)器存儲(chǔ)公共文件以及員工的工作文檔���。文件服務(wù)器的C盤(pán)容量為10G(安裝操作系統(tǒng)和軟件)�����,D盤(pán)容量大于100GB�����,并采用NTFS文件系統(tǒng)��。在D盤(pán)的一個(gè)文件夾“software”存放公共文件��,如常用軟件���、規(guī)章制度等。另一個(gè)文件夾“share”�����,存放部門和員工的工作文檔��。
在D:\share下為每個(gè)部門建立文件夾�����,部門文件夾下創(chuàng)建每個(gè)員工的文件夾。配置共享權(quán)限和NTFS權(quán)限�,保障文件只被授權(quán)的用戶訪問(wèn)。權(quán)限的配置應(yīng)遵循AGDLP規(guī)則�。避免直接為用戶授權(quán),除非該文件夾只有一個(gè)員工訪問(wèn)�。文件服務(wù)器權(quán)限設(shè)置見(jiàn)下表。
文件夾權(quán)限設(shè)置
|
文件夾名
|
共享權(quán)限
|
NTFS權(quán)限
|
|
D:\software
|
Everyone讀取
|
Everyone讀取
|
|
D:\share
|
Everyone完全控制
|
Everyone列出文件夾目錄���,總經(jīng)理完全控制
|
|
D:\share\運(yùn)行科
|
無(wú)
|
全局組yunxing讀取、本部門經(jīng)理和總經(jīng)理完全控制
|
|
D:\share\保護(hù)科
|
無(wú)
|
全局組baohu讀取�����、本部門經(jīng)理和總經(jīng)理完全控制
|
|
D:\share\變配電科
|
無(wú)
|
全局組bianpeidianliao讀取�����、本部門經(jīng)理和總經(jīng)理完全控制
|
|
D:\share\巡檢科
|
無(wú)
|
全局組xunjian讀取����、本部門經(jīng)理和總經(jīng)理完全控制
|
|
D:\share\人力資源
|
無(wú)
|
全局組renliziyuan讀取、本部門經(jīng)理和總經(jīng)理完全控制
|
|
D:\share\招標(biāo)辦公室
|
無(wú)
|
全局組zhaobiao讀取�����、本部門經(jīng)理和總經(jīng)理完全控制
|
|
D:\share\對(duì)標(biāo)辦公室
|
無(wú)
|
全局組duibiao讀取、本部門經(jīng)理和總經(jīng)理完全控制
|
|
D:\share\財(cái)務(wù)辦公室
|
無(wú)
|
全局組caiwu讀取�����、本部門經(jīng)理和總經(jīng)理完全控制
|
|
D:\share\工程部
|
無(wú)
|
全局組gongcheng讀取��、本部門經(jīng)理和總經(jīng)理完全控制
|
|
D:\share\搶險(xiǎn)辦公室
|
無(wú)
|
全局組qiangxian讀取����、本部門經(jīng)理和總經(jīng)理完全控制
|
|
D:\share\工會(huì)
D:\share\局長(zhǎng)辦公室
|
無(wú)
無(wú)
|
全局組gonghui讀取、本部門經(jīng)理和總經(jīng)理完全控制
全局組juzhang讀取����、本部門經(jīng)理和總經(jīng)理完全控制
|
在文件服務(wù)器上,普通員工最大使用空間為100MB���,部門經(jīng)理最大使用空間為1000MB��,總經(jīng)理的使用空間不限制��。
在文件上傳類型上限制只允許上傳.doc .xls .ppt .wps .txt .rar 這些辦公文件類型����。
對(duì)于重要的文件夾要制定備份策略,可以采用常規(guī)備份+差異備份的策略�����,按任務(wù)計(jì)劃自動(dòng)執(zhí)行�����。
IIIII 規(guī)劃打印系統(tǒng)
根據(jù)公司需求���,需要采購(gòu)4臺(tái)打印設(shè)備(HP laserjet 1020)�����。4臺(tái)設(shè)備分別安裝在打印服務(wù)器printsrv1、printsrv2���、printsrv3����、printsrv4 上��,printsrv1供局長(zhǎng)辦公室和財(cái)務(wù)辦公室使用�����,printsrv2供,printsrv3供招標(biāo)辦公室�、工程部、工會(huì)使用����,printsrv4供對(duì)標(biāo)辦公室、搶險(xiǎn)辦公室��、人力資源使用��。
局長(zhǎng)���、科長(zhǎng)和普通員工的優(yōu)先級(jí)分別規(guī)劃為90��、50和1����。還要規(guī)劃邏輯打印機(jī)的權(quán)限����,見(jiàn)下表。
打印機(jī)權(quán)限
|
服務(wù)器名
|
打印機(jī)共享名
|
優(yōu)先級(jí)
|
打印權(quán)限
|
|
printsrv1
|
HP1020_1_1
|
90
|
局長(zhǎng)打印
|
|
printsrv1
|
HP1020_1_2
|
50
|
科長(zhǎng)打印
|
|
printsrv1
|
HP1020_1_3
|
1
|
全局組caiwu打印
|
|
printsrv2
|
HP1020_2_1
|
50
|
科長(zhǎng)打印
|
|
printsrv2
|
HP1020_2_2
|
1
|
全局組yunxing、baohu���、biandianpeiliao�����、xunjian打印
|
|
printsrv3
|
HP1020_3_1
|
50
|
科長(zhǎng)打印
|
|
printsrv3
|
HP1020_3_2
|
1
|
全局組zhaobiao����、gongcheng���、gonghui打印
|
|
printsrv4
|
HP1020_4_1
|
50
|
科長(zhǎng)打印
|
|
printsrv4
|
HP1020_4_2
|
1
|
全局組duibiao���、qiangxian、renliziyuan打印
|
IIIIII 規(guī)劃上網(wǎng)方式
公司租用一條100M專線上網(wǎng)���。采用代理服務(wù)器軟件使公司局域網(wǎng)接入internet�����。防火墻/代理服務(wù)器軟件使用微軟應(yīng)用級(jí)防火墻ISA2006。代理服務(wù)器的專用連接的IP為192.168.0.1����,公共連接與100M專線連通����,IP地址從ISP動(dòng)態(tài)獲得��。啟用代理協(xié)議是HTTP����。使用域策略完成客戶端的統(tǒng)一配置,實(shí)現(xiàn)共享上網(wǎng)�。并啟用防火墻策略對(duì)用戶上網(wǎng)行為進(jìn)行監(jiān)控并阻絕一切不使用的網(wǎng)絡(luò)通信。
(三)分析
通過(guò)上面的案例�����,我們發(fā)現(xiàn):目前國(guó)內(nèi)信息化項(xiàng)目此起彼伏���,而企業(yè)內(nèi)部網(wǎng)絡(luò)的安全規(guī)劃則是我們的重中之重�����。
而我們卻習(xí)慣性的認(rèn)為安全就要靠防火墻���,安全就要靠殺毒軟件����。殊不知這些都是解決表面問(wèn)題的手段����。
一個(gè)真正意義上安全的網(wǎng)絡(luò)首先是需要一個(gè)安全強(qiáng)壯的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu),其次是基于強(qiáng)壯骨架之上的服務(wù)����。而我們所面對(duì)的安全問(wèn)題從應(yīng)用層去解決的方法其實(shí)就在我們所熟知的micsoft產(chǎn)品中---windows域。
在基于域環(huán)境的計(jì)算機(jī)管理手段中策略正式我們強(qiáng)行管理企業(yè)內(nèi)部網(wǎng)絡(luò)的鋼鐵法則�。域環(huán)境之所以強(qiáng)大,之所以安全也正是域的管理模式是基于法則的���。
一個(gè)社會(huì)之所以安定���,是要一部不斷健全的法律來(lái)支持的。而我們windows域環(huán)境正是以這樣的結(jié)構(gòu)和方式去對(duì)域中的計(jì)算機(jī)�、帳戶等資源進(jìn)行統(tǒng)一集中管理的。今天拋磚引玉��,以這樣的方案提出了域的概念���,而對(duì)域更深層次的理解以及更詳細(xì)的應(yīng)用��,請(qǐng)見(jiàn)下篇:《深入理解域概念之開(kāi)國(guó)篇》
本文出自 “宋楊-活動(dòng)目錄�����、虛擬化和windows 7” 博客���,請(qǐng)務(wù)必保留此出處http://angerfire.blog.51cto.com/198455/72860
本文出自 51CTO.COM技術(shù)博客
