《域控制器管理方案》由会员分享,可在线阅读,更多相关《域控制器管理方案(7页珍藏版)》请在金锄头文库上搜索。
1、网络域控管理方案、八一刖言随着Internet接入的普及和带宽的增加,一方面员工上网的条件得到改善,另一方面也给公司带来 更高的网 络使用危险性、复杂性和混乱。网络对办公环境造成的危害主要表现为:1)为给用户电脑提供正常的标准的办公环境,安装操作系统和应用软件已经耗费了信息管理中心人员一定的精 力和时间,同时又难以限制用户安装软件,导致管理人员必须花费其50%以上的精力用于维护用户的PC系统,无 法集中精力去开发信息系统的深层次功能,提升信息系统价值。2)由于使用者的防范意识普遍偏低,防毒措施往往不到位,一旦发生病毒感染,往往扩散 到全网络,令网络 陷于瘫痪状态,部分致命的蠕虫病毒利用TCP/
2、IP协议的各种漏洞,使得木马、病毒传播 迅速,影响规模大,导致 网络长时间处于带毒运行,反复发作而维护人员。3)部分网站网页含有恶意代码,强行在用户电脑上安装各种网络搜索引擎插件、广告插件或中文域名插件等,增加了办公电脑大量的资源消耗,导致计算机反应缓慢;4)个别员工私自安装从网络下载安装的软件,这些从网络上下载的软件安装包多数附带各种插件、木马和病毒,并在安装过程中用户不知情的情况下强行安装在办公电脑上,增加了办公电脑大量的资源消耗,导致计 算机反应缓慢,甚至被远程控制;5)局域网共享,包括默认共享(无意),文件共享(有意),一些病毒比如ARP通过广播四处 泛 滥,影响 到整个片区办公电脑的
3、正常工作;6)部分员工使用公司计算机上网聊天、听歌、看电影、打游戏,部分员工全天24小时启用P2P软 件下载音乐和影视文件,由于flashget、迅雷和BT等软件并发线程多,导致大量带宽被部分员工占用,网络速度缓慢,导致应用软件系统无法正常开展业务,即便是严格的计算机使用管理制度也很难保障企业中的计算机只用于企业业务本身,PC的业务专注性、管控能力不强。一、解决方案 为了更好地进行网络管理,合理分配和使用网络资源,规范,引导用户安全使用办公电脑,加 强对用户帐号,密码策略,用户访问权限以及文件安全管理机制,我司建议采用域控制器与文件服务器相结 合的管 理模式。二、域的概述1. 域控制器的定义
4、域”的真正含义指的是服务器控制网络上的计算机能否加入的计算机组合。一提到组合,势 必需要严格的控制。所以实行严格的管理对网络安全是非常必要的。在对等网模式下,任 何一台电脑只要接入网络,其他机器就都可以访问共享资源,如共享上网等。尽管对等网络上的共享文 件可以加访问密码,但是非常容易 被破解。不过在“域”模式下,至少有一台服务器负责每一台联入网络的电脑和用户的验证工作,相当于一个单位的 门卫一样,称为“域控制器(Domain Controller,简写为 DC )”。2. 域控制器的好处1)用户帐号与密码管理域控制器中包含了由这个域的账户、密码、属于这个域的计算机等信息构成的数据库。当电脑联入
5、网络时,域控制器首先要鉴别这台电脑是否是属于这个域的,用户使用的登录账号 是否存在、密码是否正确。如果以上信息有一样不正确,那么域控制器就会拒绝这个用户从这台电脑登录。不能登录,用户就不能访问服务器上有权限保护的资源,他只能以对等网用户的方式访问Windows共享出来的资源,这样就在一定程度上保护了网络上的资源。2 )用户文件安全性 域控制器中包含了每个人的专用文件夹,并对文件夹设定了用户访问权限,每 个人只可以 访问到自己的专用文件夹,而管理员拥有对所有文件夹的访问权限,并进行统一的管理,同时,可对指 定 文件夹进行读、写限制,并给予统一的帐号和密码进行访问,从而大大提 高了用户文件的安全性
6、,实现了文件资源的合理分配和使用,便于管理员对网络进行统一的管理。3)用户权限的分配 为了更好地对网络进行统一管理,减轻管理员的负担,域控制器中包含了对用户使用权限的分配情况。在域控制器中,域用户没有权限安装任何软件,他必须经过域管理员同意后并授予一 定的权限方可对软件进行安装,卸载等操作。同时,避免了下载或安装一些来历不明的程序而引起病毒感 染或系统文件受损,造成用户数据丢失等问题的出现,从而,大大提高 了用户数据安全性。4)新员工和离职人员账户操作:为新加入的员工,设置新的域账号,离职员工在离职的最后一天停用其域账 号。5) 权限控制以下权限控制均通过组策略来实现:USB接口控制 通过组策
7、略来控制计算机上的USB接口是否可用。用户文件夹重定向:使域用户的文件存放在服务器上指定的位置,既可以避免系统损坏带来的文件丢失情 况,又可以在任意一台域成员机上访问到自己的文件。软件权限限制:所有的域账号登录的计算机不具有安装和删除软件的权限,软件的安装和卸载需通知域管理 员进行。在实际生产环境当中,有少部分软件是必须需要本地管理员权限才能运行的,对于这种情况,把域 账号加入至本地管理组中或者使用脚本的方式来运行这类型软件。三、文件共享服务器概述在企业的网络中,最常用的功能莫过于“共享文件” 了。财务部门需要当月员工的考勤信息,人事分发,而是放部门可能不会亲自拿过去,而是在网络上共享;生产部
8、门的生产报表也不会用书面的资料求还有很多。在网络的共享文件夹下,谁需要的话,就自己去查看就可以了,等等。类似的需可见,共享文件的功能,提高了企业办公的效率,使企业局域网应用中的一个不可缺的功能。但是,由于共享文件夹管理不当,往往也给企业带来了一些安全上的风险。如某些共享文件莫名其妙的被删除或者修改;有些对于企业来说数据保密的内容在网络上被共享,所有员工都可以访问;共享文件成为病毒、木马等传播的最好载体,等等。所以,共享文件若管理不当,会造成比较严重的后果。另外,若把企业的共享文件分散在各个用户终端管理的话,有一个问题,就是用户对于共享操作的熟悉程度不同或者安全观念有差异,所以,很难从部署一个统
9、一的文件共享安全策略。如分散在用户主机的共享文件,员工一般不会定期对其进行备份,以防止因为意外损害而进行及时恢复;一般也不会设 置具体的访问权限,如只允许一些特定的员工访问等等。因为这些操作的话,一方面可能需要一些专业知识,另一方 面,设置企业也比较繁琐。所以,即使我们出了相关的制度,但是,员工一般很难遵守。所以,建议部署一个文件共享服务器,来统一管理共享文件。采取这种策略的话,有如下好 处:1)可以定时的对共享文件进行备份,从而减少因为意外修改或者删除而导致的损失。若能够把共享文件夹都放 在文件服务器上,则我们就可以定时的对文件服务器上的文件进行 备份。如此的话,即使因为权限设置不合理,导
10、致文件被意外修改或者删除;有时会,员工自己也会在不经意中删除不该删的文件,遇到这种情况的时候,则我们 可以通过文 件恢复作业,把原有的文件恢复过来,从而减少这些不必要的损失。2)是可以统一制定文件访问权限策略。在共享文件服务器上,我们可以根据各个员工的需求,在 文件服务中 预先设置一些文件夹,并设置好具体的权限。如此的话,放到共享文 件服务器中的文件就自动继承了文件服务器文 件夹的访问权限,从而实现统一管理文件 访问权限的目的。如对于一些全公司都 可以访问的行政通知类文件,我们 可以为此设立一个通知类文件夹,这个文件夹只有行政人员具有读写权限,而其他职工都只有只读权限。如此的 话,其他员工就不
11、能够对这些通知进行更改或者删除。所 以,对共享文件夹进行统一的管理,可以省去用户每次设置 权限的麻烦,从而提高共享文件的安全性。3)可以统一进行防毒管理。对于共享文件来说,我们除了要关心其数据是否为泄露或者非 法访问夕卜,另外一 个问题就是共享文件是否会被病毒感染。病毒或者木马是危害企业网络安全的第一把杀手,而共享文件又是其很好 的载体。若能够有效的解决共享文件的病毒木马感染问题,必定可以有效的抑制病毒或者木马在企业网络中为非作 歹。而我们若 能够在企业中统一部署文件服务器,则我们就可以利用下班的空闲时间,对文件服务器 上的共享文件 统一进行杀毒,以保证共享文件服务器上的文件都是干净的,没有被
12、木马或者病毒所感染,从而避免其成为病毒或 者木马的有效载体。综上所述,共享文件夹以及共享文件的安全性问题,是企业网络安全管理中的一个比较薄弱的环 节,但是,又 是一个十分重要的环节。相信,做好这件工作,必定可以提高企业网络的利用价值,减少网络安全事故。四、项目的规划4.1规划域根据网络规模以及集中管理和结构简单,我们采用单域的结构,域名为DFSL。与多域 结构相 比,实现了 网络资源的集中管理。并保证了管理上的简单性和低成本。在域内部按照部门名称划分OU,例如:行政部,人事部,工程部,销售部,财务部,用与存储和管理各个 部门的用户帐户,组,以及打印机。整个域结构与公司管理结构相匹配可以实现公司
13、资源的层次管理。4.2规划用户帐户和组在各个部门的ou中分别为该部门员工创建唯一的域用户帐户,帐户名为张三员工姓名的拼音。例如:zhangsan”初始密码为123456”并要求域用户帐户在下次登陆时更改密码。密码最小长度为8,并且要符合复杂性要求。然后为每个部门创建全局组,命名如下所示,并将同部门的员工帐户分别加入各个部门的全局组中。用户组规划表样例:部门:全局组行政部Xingzheng人事部Renshi销售部Xiaoshou财务部Caiwu4.3规划文件服务器a)通过一台专用的文件服务器存储公共文件以及员工的工作文档;b)配置共享权限和NTFS权限,权限的配置应遵循AGDLP规则c)启用磁盘
14、配额;d)制定备份策略,按任务计划自动执行;我们可以规划类似以下的企业文件服务平台,既能保证绝大部分员 工在IT部门提供的文件服务平台上受益,又可最大程度保障数据文件安全;五、项目实施5.1服务器操作系统的安装 服务器由于数量较少,可以单独安装Windows Server 2008企业版.对系统进行 初始化 设 置并将计算名命名为:dc,使用ipconfig /all以及ping命令验证网络的连通性。最后,使用 Ghost工具对系统进行全备份。5.2 Windows域的创建在dc上执行命令” dcpromo ”安装AD,提升为域控制器。为该公司创建一个域。域名为 hj.local。在安装AD的
15、过程中安装DNS服务。5.3根据部门划分OU为了匹配公司的管理模型,在域内按照部门名称划分组织单位(ou),例如分别是:行政 部、人事部、销售部、财务部。将来创建各个部门的用户帐户和组属于各个部门0U。使用AD活动目录 里的“用户和计算机“工具创建部门ou。5.4创建用户账户和组使用【Active Direct0ry用户和计算机】工具在各个部门的0u中分别为该部门员工创建用户 帐户,帐户名为员工的员工姓名的拼音。例如:张三“zhangsan “,为每个部门创建全局组,将同部门的员工帐户分别加入各个部门的全局组。注意:在创建完成之后要进行dc的数据备份即系统的状态数据。5.5 配置域安全策略单击【开始】【管理工具】【域安全策略】打开域安全策略密码策略密码长度最小值为8个字符密码必须符合复杂性要求帐户锁定策略帐户锁定阈值为5账户锁定时间为默认值30分钟审核策略账户登录事件对象访问5.6配置文件服务器根据不同用户和不同部门创建共享文件夹 配置共享权限和NTFS权限启用磁盘配额六、域控制器的软硬件需求1. 操作系统Windows 2008 Server 操作系统。2. 硬件配置;X3400M3 7379I06 Xeon E5606 2.13GHz 4C / 2*4G 1.35V / 8*2.5
