近期一个小项目的总结[公共上网机的管理控制]

最近公司一个部门要求实现技术部门全部断互联网,使用5台上网机查询资料并上传到某服务器的某个共享目录(读写权限),技术部其他PC使用共享访问该目录(只读权限);公共上网PC只安装OFFICE、PDF reader、解压缩、qq、时钟同步等几个软件,并且不能随意安装软件;公共PC不能向其他网段机器传送文件,不能使用USB。禁止非法PC使用公共上网机。

看似比较简单,其实分析分析,还是有很多事情要做:

1、涉及到3个网段,公共上网机vlan2,技术部vlan3,服务器vlan4。

vlan2只能与交换机、路由器和服务器vlan4通讯;vlan3只能与服务器vlan4通讯,禁止互联网及其他内部网络;

2、公共上网机需要加入域。

3、用户问题。

应该要涉及三个域用户,分别是登录公共上网机的域用户,技术部访问服务器共享目录的域用户,公共上网机上传资料到服务器共享目录的域用户(不能与登录公共上网机的域用户一样,否则技术部可能使用它偷偷的上传资料,因为它有读写权限)

4、绑定MAC地址。

5、BIOS以及注册表禁止USB。

6、去掉简单文件共享,组策略中修改“网络访问:本地账户的共享和安全模型”为经典模式。

7、其他的一些配置:

1)赋予登录公共上网机的域用户读写c:\program files\tencent\qq\files 文件夹的权限(qq写文件必须用到)。

2)高级语言文字(qq可能用到)

3)配置防火墙等等

下面就是基本的网络拓扑:

用户权限示意图:

这样的话,基本上步骤就比较清晰了。

1)安装公共上网机,基本配置包括硬件还有操作系统、计算机名,软件,只保留administrator用户并设置复杂密码,这都交给系统管理员去做了。

2)公共上网机配置IP、dns,加域。

3)其他配置,如去掉简单文件共享,更改网络访问方式。

4)在域服务器添加三个域用户ABC,建立并共享目录,分别对B用户赋予读写权限,对C用户赋予只读权限。

5)将域用户A放置在组织单位publicpc中,并在域组策略中对该组织单位强制实行以下组策略:

用户配置->策略->Windows设置->脚本(登录/注销)中登录添加如下脚本:

netuse.bat

net use Z: \\[serverIP]\[共享目录名] [域用户B的密码] /USER:[域名]\[[域用户B]

6)使用域用户A登录公共上网机,并绑定公共上网机的计算机名。

7)三层交换机绑定公共上网机的mac地址

例cisco3750: arp [公共上网机IP] [mac地址] ARPA

以上就是大体的配置过程,有不妥的地方敬请指点。

你可能感兴趣的:(权限,VLAN,域,网段,公共上网)