得到《中国计算机报》 李编的批准 把这篇原稿发在博客里。 纪念一下,虽然名字写错了一个字:)
希望更多的朋友重视域,更好的利用域。
感谢《中国计算机报》、中计在线。
中计在线稿件地址: [url]http://www.ciw.com.cn/ciwepaper/information/20080421113506.shtml[/url]
下面附报纸扫描件
解决企业内部网络安全最强利器--windows域
(一)问题
前几天,某电力公司的信息主管(一位刚刚上任的朋友)打电话过来问:“有没有好一点的网管软件啊?现在机子多了,人手一机,问题也越来越多了,相互猜密码的、丢资料、丢账号、系统成天崩溃的、在工位上玩游戏的、乱用打印机的。总之很乱,也不好管、就算自己看见了,平时关系也不错,也不好意思说,说了也起不倒多大作用。我这个信息主管,有名无实啊。”。听完以后十分感慨,微软的桌面称霸中国市场这么久,竟然有这么多人不知道微软的服务才是管理桌面的最强利器。
那么今天,我们就来分享一下,我为这位友人出的解决方案:
(二)案例
一、项目背景
I 公司简介:某某市某某供电局,通过合理的运营和管理,发展迅速,员工人数已有200人左右,为了满足公司未来的发展和企业运营的需求,公司决定重新部署企业网络。公司计划部署一个由200台计算机组成的局域网。用于完成企业数据通信和资源共享。
公司由运行科,保护科,变配电科,巡检科,人力资源,招标办公室,对标办公室,财务办公室,工程部,抢险办公室、工会12个部门组成(涉及保密情况部门内容有所保留)。
运行科:负责公司主要的电力运行作业。
保护壳:负责公司拟定电力运行资料的规划、管理规范,对电力运行资料进行监测监视。
变配电科:负责对变电站的高压、低压设备的运行维护。
巡检科:负责对公司日常运行的质量安全巡检。
人力资源:负责公司各个部门的人力资源配比,人员档案管理、规划,以及相关人才储备。
招标办公室:负责公司工程招标工作。
对标办公室:负责公司工程指标的同业对标工作。
财务办公室:负责工资结算、公司账目管理。
工程部:负责公司的工程策划、及工程实施监管工作。
抢险办公室:负责公司电力设备的应急工作。
工会:负责保障职工生活福利,与有关部门配合,共同办好职工的集体福利事业。
局长办公室:负责公司运营管理监督工作。
II IT概况:公司已有一个局域网,运行200台计算机,服务器操作系统是windows server 2003,客户机的操作系统是
windows xp,工作在工作组模式下,员工一人一机办公。公司从ISP申请了100M专线。采用代理方式上网。由于计算机比较多,管理上缺乏层次,公司希望能够利用windows域环境管理所有网络资源,提高办公效率,加强内部网络安全,规范计算机使用。
二、需求分析
I 帐户管理:
公司对员工帐户的需求如下:
l
员工一人一个帐户
l
所有帐户集中存储管理
l
按部门管理帐户
l
帐户密码长度不小于8
l
密码不能为简单密码,如12345678等
l
对个别员工试探别人密码的行为要有所防范。
l
员工的权限级别有3种:局长、科长、普通员工,他们在访问网络资源时权限不同。
II 文件管理:
公司对文件和文件夹管理的需求如下:
u
公司所有的常用软件的安装文件共享到一台文件服务器上。
u
员工工作文档需要可靠存储、方便访问。局长可读取和修改全公司文档。科长可读取和修改部门文档。普通员工可读取本部门的文档和修改自己的文档。
u
在文件服务器上对员工空间限制:普通员工最大100MB,科长最大1000MB,局长的使用空间不限制。
u
在文件服务器上的重要文档有定期备份。
u
审核员工登陆和访问文档的行为。
III 打印机管理:
公司对打印的需求如下:
l
局长和财务部使用一台打印设备,运行科、保护科、变电配料、巡检科使用一台,招标办公室、工程部、工会使用一台,对标办公室、抢险办公室、人力资源使用一台。
l
局长的优先级高于科长,科长的优先级高于普通员工。
IIII 访问internet
l
员工可以上网查资料
l
监控员工上网行为
三、项目规划
要组建windows办公网络,首先要规划IP地址,然后考虑域环境采用单域还是多域结构。接下来考虑帐户、文件和打印服务
等内容。
I 规划IP地址
本项目中IP地址采用192.168.0.0/24网段。 计算机的默认网关为 192.168.0.1-192.168.0.10之间的IP,客户机占用192.168.0.11以上的IP。具体分配方案见下表。
IP地址分配表
计算机名称
|
IP
地址
|
子网掩码
|
首选DNS服务器地址
|
DC1
|
192.168.0.2
|
255.255.255.0
|
192.168.0.2
|
DC2
|
192.168.0.3
|
255.255.255.0
|
192.168.0.2
|
Filesvr
|
192.168.0.4
|
255.255.255.0
|
192.168.0.2
|
Printsvr1
|
192.168.0.5
|
255.255.255.0
|
192.168.0.2
|
Printsvr2
|
192.168.0.6
|
255.255.255.0
|
192.168.0.2
|
Printsvr3
|
192.168.0.7
|
255.255.255.0
|
192.168.0.2
|
Printsvr4
|
192.168.0.8
|
255.255.255.0
|
192.168.0.2
|
Daili
|
192.168.0.9
|
255.255.255.0
|
192.168.0.2
|
客户机
|
192.168.0.X
|
255.255.255.0
|
192.168.0.2
|
II 规划域
根据网络规模及集中管理和结构简单原则采用单域结构,域名为angerfire.cn。域多域结构相比,实现网络资源集中管理,并保障管理上的简单性和低成本。
在域内按照部门名称划分组织单位(OU),即创建11个组织单位,分别是运行科,保护科,变配电科,巡检科,人力资源,招标办公室,对标办公室,财务办公室,工程部,抢险办公室、工会,用于存储和管理各部门的用户帐户、组及打印机等资源。整个域结构与公司管理结构相匹配可以实现资源的层次管理,如下图所示。
域控制器作为整个域的核心服务器,完成对公司所有员工的帐户管理和安全策略的实施,为保证其可靠性,需要安装2台域控制器。
III 规划用户帐户和组
在各部门的OU中分别为该部门员工创建唯一的域用户帐户,帐户名为员工姓名的拼音,例如“songyang”。初始密码为“123.com”,并要求域用户帐户在首次登陆时更改密码。密码最小长度为8,并且符合复杂性要求。
为每个部门创建全局组,命名见下表
用户组规划表
部门
|
全局组
|
运行科
|
Yunxing
|
保护科
|
Baohu
|
变配电科
|
Bianpeidianliao
|
巡检科
|
Xunjian
|
人力资源
|
Renliziyuan
|
招标办公室
|
Zhaobiao
|
对标办公室
|
Duibiao
|
财务办公室
|
Caiwu
|
工程部
|
Gongcheng
|
抢险办公室
|
Qiangxian
|
工会
局长办公室
|
Gonghui
Juzhang
|
并将同部门的员工帐户分别加入各部门的全局组。
IIII 规划文件服务器
通过一台专用文件服务器存储公共文件以及员工的工作文档。文件服务器的C盘容量为10G(安装操作系统和软件),D盘容量大于100GB,并采用NTFS文件系统。在D盘的一个文件夹“software”存放公共文件,如常用软件、规章制度等。另一个文件夹“share”,存放部门和员工的工作文档。
在D:\share下为每个部门建立文件夹,部门文件夹下创建每个员工的文件夹。配置共享权限和NTFS权限,保障文件只被授权的用户访问。权限的配置应遵循AGDLP规则。避免直接为用户授权,除非该文件夹只有一个员工访问。文件服务器权限设置见下表。
文件夹权限设置
文件夹名
|
共享权限
|
NTFS
权限
|
D:\software
|
Everyone
读取
|
Everyone
读取
|
D:\share
|
Everyone
完全控制
|
Everyone
列出文件夹目录,总经理完全控制
|
D:\share\
运行科
|
无
|
全局组yunxing读取、本部门经理和总经理完全控制
|
D:\share\
保护科
|
无
|
全局组baohu读取、本部门经理和总经理完全控制
|
D:\share\
变配电科
|
无
|
全局组bianpeidianliao读取、本部门经理和总经理完全控制
|
D:\share\
巡检科
|
无
|
全局组xunjian读取、本部门经理和总经理完全控制
|
D:\share\
人力资源
|
无
|
全局组renliziyuan读取、本部门经理和总经理完全控制
|
D:\share\
招标办公室
|
无
|
全局组zhaobiao读取、本部门经理和总经理完全控制
|
D:\share\
对标办公室
|
无
|
全局组duibiao读取、本部门经理和总经理完全控制
|
D:\share\
财务办公室
|
无
|
全局组caiwu读取、本部门经理和总经理完全控制
|
D:\share\
工程部
|
无
|
全局组gongcheng读取、本部门经理和总经理完全控制
|
D:\share\
抢险办公室
|
无
|
全局组qiangxian读取、本部门经理和总经理完全控制
|
D:\share\
工会
D:\share\
局长办公室
|
无
无
|
全局组gonghui读取、本部门经理和总经理完全控制
全局组juzhang读取、本部门经理和总经理完全控制
|
在文件服务器上,普通员工最大使用空间为100MB,部门经理最大使用空间为1000MB,总经理的使用空间不限制。
在文件上传类型上限制只允许上传.doc .xls .ppt .wps .txt .rar 这些办公文件类型。
对于重要的文件夹要制定备份策略,可以采用常规备份+差异备份的策略,按任务计划自动执行。
IIIII 规划打印系统
根据公司需求,需要采购4台打印设备(HP laserjet 1020)。4台设备分别安装在打印服务器printsrv1、printsrv2、printsrv3、printsrv4 上,printsrv1供局长办公室和财务办公室使用,printsrv2供,printsrv3供招标办公室、工程部、工会使用,printsrv4供对标办公室、抢险办公室、人力资源使用。
局长、科长和普通员工的优先级分别规划为90、50和1。还要规划逻辑打印机的权限,见下表。
打印机权限
服务器名
|
打印机共享名
|
优先级
|
打印权限
|
printsrv1
|
HP1020_1_1
|
90
|
局长打印
|
printsrv1
|
HP1020_1_2
|
50
|
科长打印
|
printsrv1
|
HP1020_1_3
|
1
|
全局组
caiwu
打印
|
printsrv2
|
HP1020_2_1
|
50
|
科长打印
|
printsrv2
|
HP1020_2_2
|
1
|
全局组
yunxing
、
baohu
、
biandianpeiliao
、
xunjian
打印
|
printsrv3
|
HP1020_3_1
|
50
|
科长打印
|
printsrv3
|
HP1020_3_2
|
1
|
全局组
zhaobiao
、
gongcheng
、
gonghui
打印
|
printsrv4
|
HP1020_4_1
|
50
|
科长打印
|
printsrv4
|
HP1020_4_2
|
1
|
全局组
duibiao
、
qiangxian
、
renliziyuan
打印
|
IIIIII 规划上网方式
公司租用一条100M专线上网。采用代理服务器软件使公司局域网接入internet。防火墙/代理服务器软件使用微软应用级防火墙ISA2006。代理服务器的专用连接的IP为192.168.0.1,公共连接与100M专线连通,IP地址从ISP动态获得。启用代理协议是HTTP。使用域策略完成客户端的统一配置,实现共享上网。并启用防火墙策略对用户上网行为进行监控并阻绝一切不使用的网络通信。
(三)分析
通过上面的案例,我们发现:目前国内信息化项目此起彼伏,而企业内部网络的安全规划则是我们的重中之重。
而我们却习惯性的认为安全就要靠防火墙,安全就要靠杀毒软件。殊不知这些都是解决表面问题的手段。
一个真正意义上安全的网络首先是需要一个安全强壮的网络拓扑结构,其次是基于强壮骨架之上的服务。而我们所面对的安全问题从应用层去解决的方法其实就在我们所熟知的micsoft产品中---windows域。
在基于域环境的计算机管理手段中策略正式我们强行管理企业内部网络的钢铁法则。域环境之所以强大,之所以安全也正是域的管理模式是基于法则的。
一个社会之所以安定,是要一部不断健全的法律来支持的。而我们windows域环境正是以这样的结构和方式去对域中的计算机、帐户等资源进行统一集中管理的。今天抛砖引玉,以这样的方案提出了域的概念,而对域更深层次的理解以及更详细的应用,请见下篇:《深入理解域概念之开国篇》