網(wǎng)絡(luò)管理從Windows域開始

字號(hào):

某電力公司的信息主管(一位剛剛上任的朋友)打電話過來(lái)問:“有沒有好一點(diǎn)的網(wǎng)管軟件?現(xiàn)在機(jī)子多了,人手一機(jī),問題越來(lái)越多了,相互猜密碼的、丟資料的、丟賬號(hào)的、系統(tǒng)整天崩潰的、在工位上玩游戲的、亂用打印機(jī)的……總之很亂,也不好管理。就算自己看見了,因?yàn)槠綍r(shí)關(guān)系不錯(cuò),也不好意思說,就是說了也起不到多大作用。我這個(gè)信息主管實(shí)在是有名無(wú)實(shí)啊?!蔽衣犕暌院笫指锌④浀淖烂嫦到y(tǒng)進(jìn)入中國(guó)市場(chǎng)這么久,竟然還有這么多人不知道Windows域服務(wù)才是管理桌面的利器。那么,今天我們就來(lái)分享一下給這位友人提出的解決方案。
    對(duì)多用戶管理缺乏層次
    某市某供電局,有員工200人左右和12個(gè)業(yè)務(wù)或支撐部門。為了滿足公司未來(lái)發(fā)展和日常運(yùn)營(yíng)管理的安全需求,公司決定重新部署企業(yè)網(wǎng)絡(luò)。公司計(jì)劃部署一個(gè)由200臺(tái)計(jì)算機(jī)組成的局域網(wǎng),用于完成企業(yè)數(shù)據(jù)通信和資源共享。
    公司已有一個(gè)局域網(wǎng),運(yùn)行200臺(tái)計(jì)算機(jī),服務(wù)器操作系統(tǒng)是Windows Server 2003,客戶端的操作系統(tǒng)是Windows XP,工作在工作組模式下,員工一人一機(jī)辦公。公司從ISP申請(qǐng)100M專線,采用代理方式上網(wǎng)。由于計(jì)算機(jī)比較多,管理上缺乏層次,公司希望能夠利用Windows域環(huán)境管理所有網(wǎng)絡(luò)資源,提高辦公效率,加強(qiáng)內(nèi)部網(wǎng)絡(luò)安全,規(guī)范計(jì)算機(jī)使用。
    按單域規(guī)劃辦公網(wǎng)絡(luò)
    要組建Windows辦公網(wǎng)絡(luò),首先要規(guī)劃IP地址,然后再根據(jù)域環(huán)境決定是采用單域還是多域結(jié)構(gòu),最后考慮賬戶、文件和打印服務(wù)等內(nèi)容。
    規(guī)劃IP地址 本項(xiàng)目中IP地址采用192 . 168 . 0 . 0/24網(wǎng)段。 計(jì)算機(jī)默認(rèn)網(wǎng)關(guān)為 192 . 168 . 0 . 1~192 . 168 . 0 . 10之間的IP,客戶機(jī)占用192 . 168 . 0 . 11以上的IP。
    規(guī)劃域 根據(jù)網(wǎng)絡(luò)規(guī)模、集中管理與結(jié)構(gòu)簡(jiǎn)單原則,公司決定采用單域結(jié)構(gòu),域名為angerfire . cn。與多域結(jié)構(gòu)相比,它能實(shí)現(xiàn)網(wǎng)絡(luò)資源集中管理并保障管理上的簡(jiǎn)單性和低成本。在域內(nèi)按照部門名稱劃分組織單位(OU),分別是運(yùn)行科、保護(hù)科、變配電科、巡檢科、人力資源科、招標(biāo)辦公室、對(duì)標(biāo)辦公室、財(cái)務(wù)辦公室、工程部、搶險(xiǎn)辦公室、工會(huì)和局長(zhǎng)辦公室(見表1),用于存儲(chǔ)和管理各部門的用戶資源。整個(gè)域結(jié)構(gòu)與公司管理結(jié)構(gòu)相匹配,可以實(shí)現(xiàn)網(wǎng)絡(luò)資源的層次管理。域控制器作為整個(gè)域的核心服務(wù)器,完成對(duì)公司所有員工的賬戶管理和安全策略的實(shí)施。
    規(guī)劃用戶賬戶和組 在各部門的OU中分別為該部門員工創(chuàng)建的域用戶賬戶,并要求域用戶賬戶在首次登錄時(shí)更改密碼。密碼最小長(zhǎng)度為8位,并且符合復(fù)雜性要求。為每個(gè)部門創(chuàng)建全局組,并將同部門的員工賬戶分別加入各部門的全局組。
    規(guī)劃文件服務(wù)器 通過一臺(tái)專用文件服務(wù)器存儲(chǔ)公共文件以及員工的工作文檔。文件服務(wù)器的C盤容量為10GB(安裝操作系統(tǒng)和軟件),D盤容量大于100GB,并采用NTFS文件系統(tǒng)。在D盤的一個(gè)名為software的文件夾中存放公共文件,如常用軟件、規(guī)章制度等。另一個(gè)名為share的文件夾存放部門和員工的工作文檔。
    在D:\share下為每個(gè)部門建立文件夾,部門文件夾下創(chuàng)建每個(gè)員工的文件夾,并為每個(gè)用戶配置共享權(quán)限和NTFS權(quán)限,保障文件只被授權(quán)的用戶訪問(見表2)。權(quán)限的配置應(yīng)遵循AGDLP規(guī)則,避免直接為用戶授權(quán),除非該文件夾只有一個(gè)員工訪問。
    在文件服務(wù)器上,普通員工使用空間為100MB,部門經(jīng)理的使用空間為1000MB,總經(jīng)理的使用空間不受限制。在文件上傳類型方面,只允許上傳文件后綴為.doc、.xls、.ppt、.wps、.txt、.rar 的文件。對(duì)重要的文件夾要制定備份策略,可以采用常規(guī)備份加差異備份的策略,按任務(wù)計(jì)劃自動(dòng)執(zhí)行。
    規(guī)劃打印系統(tǒng) 根據(jù)公司需求,需要采購(gòu)4臺(tái)打印設(shè)備(HP Laserjet 1020)。4臺(tái)設(shè)備分別安裝在打印服務(wù)器printsrv1、printsrv2、printsrv3、printsrv4 上,printsrv1供局長(zhǎng)辦公室和財(cái)務(wù)辦公室使用,printsrv2和printsrv3供招標(biāo)辦公室、工程部和工會(huì)使用,printsrv4供對(duì)標(biāo)辦公室、搶險(xiǎn)辦公室和人力資源科使用。局長(zhǎng)、科長(zhǎng)和普通員工的優(yōu)先級(jí)分別規(guī)劃為90、50和1。同時(shí)還要規(guī)劃邏輯打印機(jī)權(quán)限。
    規(guī)劃上網(wǎng)方式 公司租用一條100M專線上網(wǎng)。采用代理服務(wù)器軟件使局域網(wǎng)接入Internet。防火墻/代理服務(wù)器軟件使用微軟應(yīng)用級(jí)防火墻ISA2006。代理服務(wù)器的專用連接IP為192 . 168 . 0 . 1,公共連接與100MB專線連通,IP地址從ISP那里動(dòng)態(tài)獲得,啟用的代理協(xié)議是HTTP,使用域策略完成客戶端的統(tǒng)一配置,實(shí)現(xiàn)共享上網(wǎng),啟用防火墻策略對(duì)用戶上網(wǎng)行為進(jìn)行監(jiān)控并阻絕一切不適用的網(wǎng)絡(luò)通信。
    啟示:遵從法則更重要
    目前信息化項(xiàng)目層出不窮,內(nèi)部網(wǎng)絡(luò)的安全規(guī)劃是重中之重。我們通常習(xí)慣性地認(rèn)為安全就要靠防火墻和殺毒軟件。殊不知,這些都是解決表面問題的手段。
    一個(gè)真正意義上的安絡(luò),首先需要安全強(qiáng)壯的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu),其次是基于強(qiáng)壯骨架之上的服務(wù)。而應(yīng)用層的解決方法其實(shí)就在我們所熟知的Windows域中。在基于域環(huán)境的計(jì)算機(jī)管理手段中,策略是強(qiáng)行管理企業(yè)內(nèi)部網(wǎng)絡(luò)的鋼鐵法則。域環(huán)境之所以強(qiáng)大,之所以安全,也正是由于域的管理模式是基于法則的。
    社會(huì)安定需要健全的法律來(lái)支持。而Windows域環(huán)境正是以法則的方式對(duì)域中的計(jì)算機(jī)和賬戶等資源進(jìn)行集中管理的。考試大編輯整理