北京荣新信息技术有限公司网络改造工程实施方案
一.需求分析
客户需求:
公司原来使用中所有数据是通过U盘交换,由于这样导致辞工作十分不便,现需要改变这种状况。总经理说“这次网络更改希望能够加强企业信息的安全,只有自已能够修改和读取全公司文档,各部门经理可以阅读本部门所有文件,公司员工只能读取和修改自已的文档,一定要注意不宜公开的文件安全性。”普通用户限制磁盘空间为20M,部门经理50M,总经理不受限制。不能存储高清电影和音乐。
分析:
项目应使用Windows Server 2003搭建一个文件服务器,配合NTFS权限实现访问控制。
首先,公司应建立相应的局域网络环境,通过网络交换数据,取代先前优盘方式。由于公司总共21人,管理较为方便可采用工作组方式进行管理。
其次,根据总经理的第一句话,我们知道总经理具有对全公司文档的修改和读取权限;部门经理对于本部门员工的文档由可读权限;部门员工对自己文档由修改和读写权限。因此,我们考虑应先创立相应人员的用户账号和部门的组,并把员工加入相应组中。通过建立文件服务器的方式为用户提供相应服务,在文件服务器上逐级建立目录,为相应的文件夹和文件配置权限。
最后,应给磁盘进行配额,将普通用户的最大存储空间设置为20M,部门经理为50M。通过文件屏蔽,拒绝.AVI.mp3等格式存储。把文件夹进行共享,将共享权限设置为完全控制,这样文件服务器基本搭建好,用户可以通过UNC路径打开共享文件夹进行操作,并把共享文件夹映射到本地网络驱动器。
二.项目规划
1
.
用户和组
现有财务部、人事部市场部、技术部,各个部门经理管辖;部门经理有总经理管辖。财务部现有2人,人事2人,市场部11人,技术部6人。各部门人员名单如下:
总经理:
刘民
财务部:
张静
李媛(其中李媛是部门经理)
人事部:
赵翠
王静媛(其中王静媛是部门经理)
市场部:
朱琳
马明
高亚琴
王晓蒙
陈辉
裴希勇
夏志
王晓珊
牛小飞
胡斌
罗超(其中夏志是部门经理)
技术部:
祝航
李利
肖伟
张晓娜
韩金
苏宁(其中苏宁是部门经理)
2
.
公司组织结构现状
3
.
网络规划
本公司局域网络需要主机PC21台,文件服务器1台,二层交换机5台,路由器一台。
本网络在192.168.13.X网段工作,网关地址为192.168.13.1 255.255.255.0,通过路由器与外网通信。
内网地址规划如下:
财务部:192.168.13.2-----192.168.13.3
人事部:192.168.13.4-----192.168.13.5
市场部:192.168.13.6-----192.168.13.16
技术部:192.168.13.17-----192.168.13.22
总经理:192.168.13.23
文件服务器:192.168.13.1
4
.目录结构
注:加粗和下划线为总经理或部门经理
5.
最终权限设置
文件夹
|
用户和组
|
NTFS权限
|
共享权限
|
磁盘配额
|
备注
|
一级文件夹
|
北京荣新信息技术有限公司
|
Administrator
|
默认权限
|
Everyone完全控制
|
普通用户限制磁盘空间为20M,部门经理50M,总经理不受限制。
|
|
Users
|
刘民
|
完全控制
|
二级文件夹
|
财务部
|
Administrator
|
继承上级权限
|
无
|
无
|
该级目录需要取消继承后设置-“复制”
|
财务部
|
刘民
|
李媛
|
读取权限
|
市场部
|
Administrator
|
继承上级权限
|
无
|
无
|
同上
|
市场部
|
刘民
|
夏志
|
读取权限
|
人事部
|
Administrator
|
继承上级权限
|
无
|
无
|
同上
|
人事部
|
刘民
|
王静媛
|
读取权限
|
技术部
|
Administrator
|
继承上级权限
|
无
|
无
|
同上
|
技术部
|
刘民
|
苏宁
|
读取权限
|
总经理
|
Administrator
|
继承上级权限
|
无
|
无
|
同上
|
刘民
|
PUBLIC
|
Administrator
|
继承上级权限
|
无
|
无
|
同上
|
Users
|
三级文件夹
|
财务部
|
张静
|
张静
Administrator
|
|
|
|
|
李媛
|
|
人事部
|
赵翠
|
|
|
|
|
|
王静媛
|
|
|
|
|
|
市场部
|
朱琳
马明
高亚琴
王晓蒙
陈辉
裴希勇王晓珊
牛小飞
胡斌
罗超
|
|
|
|
|
|
夏志
|
|
|
|
|
|
技术部
|
祝航
李利
肖伟
张晓娜
韩金
|
|
|
|
|
|
苏宁
|
|
|
|
|
|
|
|
|
|
|
|
|
三、部署
1
.网络拓扑图
2
,配置文件服务器
1. 创建用户和组
为了实现合理访问控制,我们使用每个员工使用单独用户名登录服务器,这样需要创建相应用户,具体步骤如下
(1) 单击“我的电脑”右键“管理”,选择“本地用户和组”,之后展开用户
(2) 在用户控制台中,选择右键“新用户”
(3) 这里例如我们创建马明用户,就直接输入“马明”和他的密码,如下图:
其它用户创建方法相同,这里就不一一描述。
(4) 创建不同组,在工作组控制台,选择右键“新建组”,如下图
(5) 往组中加入用户,单击“添加”,“高级”,“立即查找”,将相应部门员工加入工作组中,如下图
最终的结果如图:
3.
创建目录
1.在C盘建立一级目录文件夹“北京荣新信息技术有限公司”。
2.在一级目录下建立二级目录“市场部”“财务部”“人事部”“总经理”“技术部”“PUBLIC”
3.在三级目录建立相应部门员工的文件夹,同时还有一个PUBLIC文件夹
如图,二级文件夹:
三级文件夹:
4.
设置目录权限
首先设置一级目录权限,由于总经理对于所有文件具有可修改和读取写入权限,所以在原有权限基础上加上总经理的修改和读写权限。
具体操作如下,右键文件夹“北京荣新信息技术有限公司”,选择属性,进入“安全”选项卡,添加用户“刘民”,权限设置如图:
其次,设置二级目录权限,首先将各文件夹权限的高级设置打开,取消上级目录的继承,选择“复制”选项,如图:
然后删除将权限的用户和组删除到只保留”administrator”和“刘民”,然后再添加相应部门的权限,设置为读取权限,再添加部门经理权限,也设置为读取权限,以“技术部”为例,如图:
其余三个部门配置方法相同。
而PUBLIC文件夹则只需继承上级权限:
而总经理文件夹则不添加部门组的权限和部门经理权限,如图:
最后,设置第三级目录权限,首先将各文件夹权限的高级设置打开,取消上级目录的继承,选择“复制”选项。这里总共有三种情况,部门员工,部门经理,PUBLIC。
部门员工文件夹的权限为administrator完全控制,部门经理读写权限,总经理为读写修改权限,员工为读写修改权限,以员工“张静”为例,如下图:
部门经理文件夹的权限为administrator完全控制,部门经理读写修改权限,总经理为读写修改权限,以部门经理“李媛”为例,如下图:
PUBLIC文件夹的权限为administrator完全控制,部门经理读写权限,总经理为读写修改权限,相应部门工作组读写修改权限,如下图:
5.
磁盘配额
对磁盘进行配额,右键磁盘,选择属性,选择配额选项卡,具体配置如下:
单击配额项,选择菜单栏里的配额选项卡,选择新建配额项,将相应的用户加入,以“李媛”为例:
最后配额项为:
6
.
配置
FRSM
,拒绝高清电影音乐存储。
限制用户不能存放高清电影和音乐,通过在本机安装FSRM管理器。
1. 首先在安装组件之前,先将系统升级为Windows Server 2003 R2版本,通过添加或删除程序
2. 然选择组件,选择管理监控工具,选择详细信息,其中的文件服务器资源管理器选项。
3. 配置FSRM全局选项,配置选项信息如下图:
4. 配置文件屏蔽选项,创建文件屏蔽模板,同时创建文件组,如下图配置:
5. 创建文件屏蔽,如下图:
6. 配置配额选项,大于200M的文件不可存到目录中,如下图:
7. 验证阶段,将一个.avi的大于200M的高清电影或.mp3的音乐存入目录中,会显示:
同时管理员的邮件客户端收到邮件:
7
.
配置文件服务器共享功能
将主文件夹设置为完全控制的共享权限,右键一级目录,选择属性,选择共享,选择共享此文件夹,如图:
单击权限,配置为完全控制,如图:
配置网络的基本信息,如桥接模式,IP地址等
四.验证阶段
首先开启一台客户机,将地址配为192.168.13.2,单击“开始”,单击运行,输入UNC路径 \\192.168.13.1,显示如下:
1. 输入总经理“刘民”的账户进行测试。
可以完成对所有文档的完全控制,然后在运行中输入“CMD”,在CMD中输入net use * /d命令清除缓存,输入gpupdate /force刷新策略。
2. 输入部门经理“夏志”的账户进行测试。访问技术部时报错:
市场部可正常进入,并对部门内员工文件进行管理。
当夏志往自己文件夹拷入3个24M的文件时报错:
然后在运行中输入“CMD”,在CMD中输入net use * /d命令清除缓存,输入gpupdate /force刷新策略。
3. 输入员工“马明”的账号进行测试。访问财务部时报错:
进入自己部门后,访问“罗超”文档时报错:
当马明创建以.mp3结尾的文件时报错:
当马明想自己文件夹拷入24M文件时报错
通过测试本企业网络环境可以符合荣新公司的需求。