windows2003域服务器部署方案.doc

域服务器部署方案 一、网络对办公环境造成的危害 　　随着Internet接入的普及和带宽的增加，一方面员工上网的条件得到改善，另一方面也给公司带来更高的网络使用危险性、复杂性和混乱，内部员工的不当操作等使信息维护人员疲于奔命。网络对办公环境造成的危害主要表现为： 　　1. 为给用户电脑提供正常的标准的办公环境，安装操作系统和应用软件已经耗费了信息管理中心人员一定的精力和时间，同时又难以限制用户安装软件，导致管理人员必须花费其50%以上的精力用于维护用户的PC系统，无法集中精力去开发信息系统的深层次功能，提升信息系统价值。 　　2. 由于使用者的防范意识普遍偏低，防毒措施往往不到位，一旦发生病毒感染，往往扩散到全网络，令网络陷于瘫痪状态，部分致命的蠕虫病毒利用TCP/IP协议的各种漏洞，使得木马、病毒传播迅速，影响规模大，导致网络长时间处于带毒运行，反复发作而维护人员。 　　3. 部分网站网页含有恶意代码，强行在用户电脑上安装各种网络搜索引擎插件、广告插件或中文域名插件等，增加了办公电脑大量的资源消耗，导致计算机反应缓慢； 4. 个别员工私自安装从网络下载安装的软件，这些从网络上下载的软件安装包多数附带各种插件、木马和病毒，并在安装过程中用户不知情的情况下强行安装在办公电脑上，增加了办公电脑大量的资源消耗，导致计算机反应缓慢，甚至被远程控制； 5. 局域网共享，包括默认共享（无意），文件共享（有意），一些病毒比如ARP通过广播四处泛滥，影响到整个片区办公电脑的正常工作； 　6. 部分员工使用公司计算机上网聊天、听歌、看电影、打游戏，部分员工全天24小时启用P2P软件下载音乐和影视文件，由于flashget、迅雷和BT等软件并发线程多，导致大量带宽被部分员工占用，网络速度缓慢，导致应用软件系统无法正常开展业务，即便是严格的计算机使用管理制度也很难保障企业中的计算机只用于企业业务本身，PC的业务专注性、管控能力不强。 二、网络管理和维护策略 针对以上这些因素，我们可以通过域服务器来统一定义客户端机器的安全策略，规范，引导用户安全使用办公电脑。 域服务器的作用 1.安全管理活动目录企业基础架构的根本DameWare NT Utilities软件进行远程维护，实现快速的维护响应。 10：借助于入侵检测防御系统，使得管理员可以根据记录进行统计分析，发现有潜在危险的办公计算机，可以有针对性地进行预防性检查。 整体规划： 最上面是单域 下面创建OU：zydx Zydx下面创建以下几个OU Groups：这里是所有的部门 Users：这里是所有用户 Servers：服务器群，比如病毒服务器，补丁分发服务器，isa服务器 Mobiles：所有的移动电脑 Workstations：所有工作站 It：特殊组，一些管理员和特殊用户。 不同部门可以设置不同安全策略，以满足不同部门的办公需求，通用策略可以设置在根域上，特殊权限在不同部门分别做策略。 用户及名称规划 所有用户均用工号及密码来登录域环境，域的加入可以做一个加入域的批处理，用户通过输入自己的用户名和密码既可登录到域服务器。 所有接入电脑必须严格遵守OU命名规则，即电脑名必须改为部门加工号，比如电脑部易小辉，则其计算机名为：dnb236294。当我们通过一些软件找到病毒机器时可以通过电脑名称快速定位电脑位置，通过工号可以及时联系责任人进行处理。 各部门用户加入各部门的组，便于用户管理及根据部门进行不同的策略设置 计算机帐户中删除多余用户，仅保留域用户及administrator，重命名管理员帐户，并且强制统一管理员密码，以便日后维护。 用户权限及策略规划 所有用户初始权限为power user 能正常访问本地所有资源，受限安装软件，禁止用户修改注册表，禁止修改TCP/IP，禁止修改计算机设置。 常用软件可以用软件分发来做，个别用户的特殊软件可以远程安装。近期使用计算机指派,远期使用SMS.Ie相关设置（信任站点，控件下载，文件下载等） 安全设置（帐户策略，系统服务，注册表，文件系统） 实现一些脚本的功能（比如分发一些脚本进行MAC地址绑定进行ARP免疫） 文件服务器的要求 1、每个用户都能存取删除自己所拥有的文件。、每个使用者都要有自己的帐户，并且对特定文件夹的访问需要形成日志保存下来供管理员查看。、保证用户存放在服务器上的文件不携带病毒和其它有危害性的代码。、每个用户只能在服务器上存放一定大小的文件，而不是无限大的文件，并且当存放文件到特定警戒线的时候能通知管理员。A，那些软件是必须安装的 B，系统做那些优化 C，安全设置（ie安全设置，共享安全设置等） D，避免sid问题 3．部署。 部署客户端 考虑到ris服务器需要dhcp服务器支持，且对网络带宽有较高要求，可以通过分批加入域，