windows 20m03 域服务器部署方案.doc

本文由huaishugen贡献 doc文档可能在WAP端浏览体验不佳。建议您优先选择TXT，或下载源文件到本机查看。 域服务器部署方案 一、网络对办公环境造成的危害 随着 Internet 接入的普及和带宽的增加，一方面员工上网的条件得到改善， 另一方面也给公司带来更高的网络使用危险性、复杂性和混乱，内部员工的不当 操作等使信息维护人员疲于奔命。网络对办公环境造成的危害主要表现为： 1. 为给用户电脑提供正常的标准的办公环境，安装操作系统和应用软件已 经耗费了信息管理中心人员一定的精力和时间，同时又难以限制用户安装软件， 导致管理人员必须花费其 50%以上的精力用于维护用户的 PC 系统，无法集中精 力去开发信息系统的深层次功能，提升信息系统价值。 2. 由于使用者的防范意识普遍偏低，防毒措施往往不到位，一旦发生病毒 感染，往往扩散到全网络，令网络陷于瘫痪状态，部分致命的蠕虫病毒利用 TCP/IP 协议的各种漏洞，使得木马、病毒传播迅速，影响规模大，导致网络长 时间处于带毒运行，反复发作而维护人员。 3. 部分网站网页含有恶意代码，强行在用户电脑上安装各种网络有哪些信誉好的足球投注网站引擎 插件、广告插件或中文域名插件等，增加了办公电脑大量的资源消耗，导致计算 机反应缓慢； 4. 个别员工私自安装从网络下载安装的软件，这些从网络上下载的软件安装 包多数附带各种插件、木马和病毒，并在安装过程中用户不知情的情况下强行安 装在办公电脑上，增加了办公电脑大量的资源消耗，导致计算机反应缓慢，甚至 被远程控制； 5. 局域网共享，包括默认共享（无意） ，文件共享（有意） ，一些病毒比如 ARP 通过广播四处泛滥，影响到整个片区办公电脑的正常工作； 6. 部分员工使用公司计算机上网聊天、听歌、看电影、打游戏，部分员工 全天 24 小时启用 P2P 软件下载音乐和影视文件，由于 flashget、迅雷和 BT 等软 件并发线程多，导致大量带宽被部分员工占用，网络速度缓慢，导致应用软件系 统无法正常开展业务， 即便是严格的计算机使用管理制度也很难保障企业中的计 算机只用于企业业务本身，PC 的业务专注性、管控能力不强。 二、网络管理和维护策略 针对以上这些因素，我们可以通过域服务器来统一定义客户端机器的安全策 略，规范，引导用户安全使用办公电脑。 域服务器的作用 1.安全集中管理 统一安全策略 2.软件集中管理 按照公司要求限定所有机器只能运行必需的办公软件。 3.环境集中管理 利用 AD 可以统一客户端桌面,IE,TCP/IP 等设置 4.活动目录是 企业基 础架构的根本 ，为公 司整体统一管 理做基 础 其它 isa,exchange,防病毒服务器，补丁分发服务器，文件服务器等服务依赖于域服务 器。 建立域管理 1，建立域控制器，并规定所有办公电脑必须加入域，接受域控制器的管理， 同时严格控制用户的权限。汕尾发电厂的员工帐号只有标准 user 权限。不允许 信息系统管理员泄露域管理员密码和本地管理员密码。 在如今各种流氓插件、广告插件、木马和病毒霸道横行的网络环境中，普通 员工只具备标准的 power user 权限，实际上是对公环境有效的保护。 办公 PC 必须严格遵守 OU 命名规则，同时实现实名负责制。指定员工对该 PC 负责，这不但是固定资产管理的要求，也是网络安全管理的要求。对 PC 实 施员工实名负责是至关重要的，一旦发现该员工电脑中毒和在广播病毒包，信息 系统管理员能准确定位，迅速做出反应，避免扩大影响。 2：PC 维护包干到户。 管理员在实际工作中可能存在拿本地管理员权限作为人情， 这其实是一种自 杀行为。 任何一个具备管理管理员权限的员工， 即使是管理员， 使用 Administrator 权限上网，稍有不慎，便掉入网络陷阱。为避免这种情况，对 PC 维护人员，采 取区域包干到户的管理， 同时区域负责人的域用户帐号具备该区域内所有办公电 脑本地管理员的权限；如果区域负责人他愿意增加本地电脑管理员权限，增加的 风险和工作量将由他自己承担。 所有办公电脑的本地管理员密码由域控制器负责 人掌握、设定或变更。 3：在防火墙上只开放常用或业务系统需要的端口，如 80、25、21、110、 443，其它端口一律封锁，有效实施对 P2P 和 BT 软件的封锁。 4：接入网络的计算机必须接受信息中心的管理。通过在防火墙上设置相关的 策略，允许经信息中心核准的某些 IP 组可以在本机上直接访问 Internet，或某些 IP 组只能连接局域网的应用服务器，对于不遵守 OU 命名规则的机器 IP 和没有 经过信息系统管理员授权的机器 IP， 不允许访问 Internet 和 Intranet， 只能单机使 用。 5： 建立 WSUS