網(wǎng)絡管理從Windows域開始

字號:

某電力公司的信息主管(一位剛剛上任的朋友)打電話過來問:“有沒有好一點的網(wǎng)管軟件?現(xiàn)在機子多了,人手一機,問題越來越多了,相互猜密碼的、丟資料的、丟賬號的、系統(tǒng)整天崩潰的、在工位上玩游戲的、亂用打印機的……總之很亂,也不好管理。就算自己看見了,因為平時關系不錯,也不好意思說,就是說了也起不到多大作用。我這個信息主管實在是有名無實啊?!蔽衣犕暌院笫指锌?,微軟的桌面系統(tǒng)進入中國市場這么久,竟然還有這么多人不知道Windows域服務才是管理桌面的利器。那么,今天我們就來分享一下給這位友人提出的解決方案。
    對多用戶管理缺乏層次
    某市某供電局,有員工200人左右和12個業(yè)務或支撐部門。為了滿足公司未來發(fā)展和日常運營管理的安全需求,公司決定重新部署企業(yè)網(wǎng)絡。公司計劃部署一個由200臺計算機組成的局域網(wǎng),用于完成企業(yè)數(shù)據(jù)通信和資源共享。
    公司已有一個局域網(wǎng),運行200臺計算機,服務器操作系統(tǒng)是Windows Server 2003,客戶端的操作系統(tǒng)是Windows XP,工作在工作組模式下,員工一人一機辦公。公司從ISP申請100M專線,采用代理方式上網(wǎng)。由于計算機比較多,管理上缺乏層次,公司希望能夠利用Windows域環(huán)境管理所有網(wǎng)絡資源,提高辦公效率,加強內部網(wǎng)絡安全,規(guī)范計算機使用。
    按單域規(guī)劃辦公網(wǎng)絡
    要組建Windows辦公網(wǎng)絡,首先要規(guī)劃IP地址,然后再根據(jù)域環(huán)境決定是采用單域還是多域結構,最后考慮賬戶、文件和打印服務等內容。
    規(guī)劃IP地址 本項目中IP地址采用192 . 168 . 0 . 0/24網(wǎng)段。 計算機默認網(wǎng)關為 192 . 168 . 0 . 1~192 . 168 . 0 . 10之間的IP,客戶機占用192 . 168 . 0 . 11以上的IP。
    規(guī)劃域 根據(jù)網(wǎng)絡規(guī)模、集中管理與結構簡單原則,公司決定采用單域結構,域名為angerfire . cn。與多域結構相比,它能實現(xiàn)網(wǎng)絡資源集中管理并保障管理上的簡單性和低成本。在域內按照部門名稱劃分組織單位(OU),分別是運行科、保護科、變配電科、巡檢科、人力資源科、招標辦公室、對標辦公室、財務辦公室、工程部、搶險辦公室、工會和局長辦公室(見表1),用于存儲和管理各部門的用戶資源。整個域結構與公司管理結構相匹配,可以實現(xiàn)網(wǎng)絡資源的層次管理。域控制器作為整個域的核心服務器,完成對公司所有員工的賬戶管理和安全策略的實施。
    規(guī)劃用戶賬戶和組 在各部門的OU中分別為該部門員工創(chuàng)建的域用戶賬戶,并要求域用戶賬戶在首次登錄時更改密碼。密碼最小長度為8位,并且符合復雜性要求。為每個部門創(chuàng)建全局組,并將同部門的員工賬戶分別加入各部門的全局組。
    規(guī)劃文件服務器 通過一臺專用文件服務器存儲公共文件以及員工的工作文檔。文件服務器的C盤容量為10GB(安裝操作系統(tǒng)和軟件),D盤容量大于100GB,并采用NTFS文件系統(tǒng)。在D盤的一個名為software的文件夾中存放公共文件,如常用軟件、規(guī)章制度等。另一個名為share的文件夾存放部門和員工的工作文檔。
    在D:\share下為每個部門建立文件夾,部門文件夾下創(chuàng)建每個員工的文件夾,并為每個用戶配置共享權限和NTFS權限,保障文件只被授權的用戶訪問(見表2)。權限的配置應遵循AGDLP規(guī)則,避免直接為用戶授權,除非該文件夾只有一個員工訪問。
    在文件服務器上,普通員工使用空間為100MB,部門經(jīng)理的使用空間為1000MB,總經(jīng)理的使用空間不受限制。在文件上傳類型方面,只允許上傳文件后綴為.doc、.xls、.ppt、.wps、.txt、.rar 的文件。對重要的文件夾要制定備份策略,可以采用常規(guī)備份加差異備份的策略,按任務計劃自動執(zhí)行。
    規(guī)劃打印系統(tǒng) 根據(jù)公司需求,需要采購4臺打印設備(HP Laserjet 1020)。4臺設備分別安裝在打印服務器printsrv1、printsrv2、printsrv3、printsrv4 上,printsrv1供局長辦公室和財務辦公室使用,printsrv2和printsrv3供招標辦公室、工程部和工會使用,printsrv4供對標辦公室、搶險辦公室和人力資源科使用。局長、科長和普通員工的優(yōu)先級分別規(guī)劃為90、50和1。同時還要規(guī)劃邏輯打印機權限。
    規(guī)劃上網(wǎng)方式 公司租用一條100M專線上網(wǎng)。采用代理服務器軟件使局域網(wǎng)接入Internet。防火墻/代理服務器軟件使用微軟應用級防火墻ISA2006。代理服務器的專用連接IP為192 . 168 . 0 . 1,公共連接與100MB專線連通,IP地址從ISP那里動態(tài)獲得,啟用的代理協(xié)議是HTTP,使用域策略完成客戶端的統(tǒng)一配置,實現(xiàn)共享上網(wǎng),啟用防火墻策略對用戶上網(wǎng)行為進行監(jiān)控并阻絕一切不適用的網(wǎng)絡通信。
    啟示:遵從法則更重要
    目前信息化項目層出不窮,內部網(wǎng)絡的安全規(guī)劃是重中之重。我們通常習慣性地認為安全就要靠防火墻和殺毒軟件。殊不知,這些都是解決表面問題的手段。
    一個真正意義上的安絡,首先需要安全強壯的網(wǎng)絡拓撲結構,其次是基于強壯骨架之上的服務。而應用層的解決方法其實就在我們所熟知的Windows域中。在基于域環(huán)境的計算機管理手段中,策略是強行管理企業(yè)內部網(wǎng)絡的鋼鐵法則。域環(huán)境之所以強大,之所以安全,也正是由于域的管理模式是基于法則的。
    社會安定需要健全的法律來支持。而Windows域環(huán)境正是以法則的方式對域中的計算機和賬戶等資源進行集中管理的。考試大編輯整理