域服务器部署方案

域服务器部署 方案 气瓶 现场处置方案 .pdf气瓶 现场处置方案 .doc见习基地管理方案.doc关于群访事件的化解方案建筑工地扬尘治理专项方案下载 TOC \o "1-3" \h \z \u 域服务器部署方案 1 一、目前网络管理造成的问题和危害 1 二、管理和维护策略 2 A、域服务器管理的作用 2 B、域管理策略 2 三、域控制管理整体规划： 4 1、规划图 4 2、用户及名称规划 4 3、用户权限及策略规划 5 4、具体的实施方案 5 四、部署客户端 8 五、测试 8 六．域的备份 9 一、目前网络管理造成的问题和危害 　　随着公司人员的不断增加，给公司内部带来更高的网络使用安全性、复杂性，也带来了相当大的混乱，而内部员工的不当操作等造成的客户端和应用系统使用故障使维护人员疲于奔命。 公司目前主要采用工作组方式对内部计算机和网络进行管理，从实际操作来看，这种管理对公司网络管理造成了相当大的隐患，具体体现在以下几个方面： 　　1. 技术部为每个员工电脑都提供了正常的 标准 excel标准偏差excel标准偏差函数exl标准差函数国标检验抽样标准表免费下载红头文件格式标准下载 的办公环境，但是由于公司网络管理体制的原因，又难以限制用户安装软件，导致维护人员必须花费其60%-80%的精力用于维护用户的PC系统，无法集中精力去研究内部信息系统的深层次功能，提升信息系统使用价值。 　　2. 由于使用者的防范意识普遍偏低，防毒措施往往不到位，部分员工即使在公司已安装杀毒软件情况下，为了工作方便，有时候会停止启动杀毒软件或者卸载，这样一旦发生病毒感染，容易扩散到全网络，令整个公司网络陷于瘫痪状态，比如ARP病毒就会造成内部网络大面积瘫痪。 　　3. 部分网站网页含有恶意代码，强行在用户电脑上安装各种网络搜索引擎插件、广告插件或中文域名插件等，增加了办公电脑大量的资源消耗，导致计算机反应缓慢；同时造成内部信息系统如OA等出现莫名使用故障。 4. 由于员工端电脑工作组管理方式未限制员工管理员权限，造成部分员工私自安装从网络下载安装的软件，这些从网络上下载的软件安装包多数附带各种插件、木马和病毒，并在安装过程中用户不知情的情况下强行安装在办公电脑上，增加了办公电脑大量的资源消耗，导致计算机反应缓慢，甚至被远程控制； 5. 部分员工使用公司计算机上网聊天、听歌、看电影、打游戏，部分员工全天24小时启用P2P软件下载音乐和影视文件，由于flashget、迅雷和BT等软件并发线程多，导致大量带宽被部分员工占用，网络速度缓慢，导致公司业务后台和内部应用软件系统无法正常开展业务。 二、管理和维护策略 针对以上这些不安全因素，通过域服务器来统一定义客户端机器的安全策略， 规范 编程规范下载gsp规范下载钢格栅规范下载警徽规范下载建设厅规范下载 ，引导用户安全使用办公电脑。 1、域服务器管理的作用 1、安全集中管理  统一安全策略 2、软件集中管理  按照部门不同赋予不同的权限，所有机器只能运行指定的办公软件。 3、环境集中管理  利用AD可以统一客户端桌面,IE,TCP/IP等设置 4、活动目录是企业基础架构的根本，为公司整体统一管理做基础  其它如防病毒服务器，补丁分发服务器，文件服务器等服务依赖于域服务器。 2、域管理策略 1，建立域控制器，并规定所有办公电脑必须加入域，接受域控制器的管理，同时严格控制用户的权限。普通员工帐号只有标准user或者power user权限，考虑到公司软件使用的特殊性，公司内部所有员工拥有power user权限，不开放本地管理员权限。不允许系统管理员泄露域管理员密码和本地管理员密码。 　　2、按照二级部门设置组织单元（OU），办公PC必须严格遵守OU（组织单元）命名 规则 编码规则下载淘宝规则下载天猫规则下载麻将竞赛规则pdf麻将竞赛规则pdf ，主机名必须与该OU中用户名相同，一旦发现该员工电脑中毒和在广播病毒包，系统管理员能准确定位，迅速做出反应，避免扩大影响。 　　3、分OU配置和启动组策略，严格控制OU内用户权限，严格按照ISO27001要求进行安全管理和权限分配。 　　4、在路由器与核心交换机间增加硬件监控和管理设备，禁止控制内网用户访问视频、游戏、BT等站点，封死P2P和BT相关 协议 离婚协议模板下载合伙人协议 下载渠道分销协议免费下载敬业协议下载授课协议下载 ，禁止QQ等用户内网登陆，特殊用户需要授权后开放访问权限，并要求客户端安装监控软件。内网只开放常用或业务系统需要的端口，如80、25、21、110和其他高位端口，其它端口一律封锁。 5、对于内网应用程序服务器，限制非指定IP访问和管理服务器。 6、建立WSUS服务器。WSUS是微软推出的免费的Windows更新管理服务，目前最新版本除了支持Windows系统（Windows 2000全系列、Windows XP全系列和Windows server 全系列）的更新管理外，还可以支持SQL Server、Office XP/2003/2007等软件的更新管理，并且在以后，WSUS将实现微软全系列产品的更新管理。在域服务器上通过组策略设定客户端PC的自动更新服务，。 7、建立防病毒服务器，内网部署卡巴斯基网络版，通过防病毒服务器及时更新计算机的病毒库，分发到客户端PC，增强客户端PC的病毒抵御能力，及时消灭网内病毒。 8、启动内网客户端远程桌面，方便维护人员进行内网远程维护，实现快速的维护响应。 三、域控制管理整体规划： 1、规划图 域名sunivo.com（暂时只设置单域），下面创建OU：IT技术部、规划部、国际事业部、行政中心、供应链国内客户部、供应链管理部、大宗商品部等以及内部服务器群组，比如病毒服务器，补丁分发服务器，WSUS服务器、文件服务器以及内部应用服务器等 不同部门可以设置不同安全策略，以满足不同部门的办公需求，通用策略可以设置在根域上，特殊权限在不同部门分别做策略。 2、用户及名称规划 所有用户均用用户中文名全拼（或英文名）及密码来登录域环境。 所有接入PC必须严格遵守OU命名规则，即PC名必须改为员工中文名，当内网发生故障或者病毒时，维护人员通过技术手段迅速找到故障或病毒机器，及时进行处理。 客户端计算机帐户中删除多余用户，仅保留域用户及administrator，重命名管理员帐户，并且强制统一管理员密码，以便日后管理和维护。 3、用户权限及策略规划 所有用户初始权限为power user ，并要求域用户账户在首次登录时更改密码。密码最小长度为8位，并且符合复杂性要求，能正常访问本地所有资源，受限安装软件，禁止用户修改注册表，禁止修改TCP/IP，禁止修改计算机设置。 常用软件可以用软件分发来做，个别的特殊软件可以远程安装。 4、具体的实施方案 a、需求收集。技术部收集各部门工作需要用到的软件，制作客户端标 准软件安装列表，所有的客户端均按照标准列表进行配置，列表外的软件安装由使用人申请审批通过后由技术部实施安装。所有客户端均制作标准GHO文件进行统一备份管理。 GHO文件还原安装后需要留意SID的问题 b、规划域服务和用户权限规划。 在安装活动目录之前，首先要对活动目录的结构进行细致的规划设计，让用户和管理员在使用时更为方便。域的结构遵循简单原则，采用单域模式，人员的组织以部门为组织单位加入域中 规划DNS 在实施域服务之前，充分考虑内网应用程序服务器的部署，规划DNS的安装和解析，实现内网访问内部应用程序均采用二级域名方式进行访问，必须要明确哪些应用程序是需要采用DNS进行解析；如访问OA系统使用OA.SUNIVO.COM进行访问等。 规划用户的权限 首先考虑给用户那些权限,user（最低权限，不能安装软件），power user（能完成所有任务但不能更改管理员设置）建议全部给power user。需要明确需要限制用户使用那些软件，用户能够访问那些资源。 c、域服务器安装 安装前先给需要升级到域控制器的服务器分配好指定的IP地址，在开始-运行中输入dcpromo命令，进入活动目录安装界面，按照提示进行操作，建议安装过程中DNS直接同步集成安装。 d、规划组策略 确定组策略刷新时间 指定标准化客户端桌面和IE首页。（包含开始菜单显示的内容和IE信任站点，控件下载，文件下载等） 软件分发，分发msi格式软件（非msi格式可通过工具转换） 软件限制（非办公软件可以使用软件策略进行限制） 文件夹重定向，可以把用户资料保存到服务器指定位置，并实施备份策略 安全设置（帐户策略，系统服务，注册表，文件系统） e、域控制器安全与优化 停掉Guest 帐号 修改管理员帐号和创建陷阱帐号： 重命名Administrator账号，设置复杂性密码；然后新建一个名称为Administrator的陷阱帐号，把它的权限设置成最低，并且加上超级复杂密码。 删除默认共享 Windows2003安装好以后，系统会创建一些隐藏的共享，建议服务器删除这类隐藏共享，可以采用批处理方式进行 　　@echo off 　　net share C$ /del 　　net share D$ /del 　　net share E$ /del 　　net share F$ /del 　　net share admin$ /del 禁用IPC连接　 Ipc连接： 如 net use\\ip\ipc$ "password" /user:"usernqme"。 Windows2003 server通过修改注册表来禁用IPC连接。打开注册表编辑器。找到HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa中的restrictanonymous子键，将其值改为1即可禁用IPC连接。 设置远程可访问的注册表路径为空，这样可以有效地防止黑客利用扫描器通过远程注册表读取计算机的系统信息及其它信息。打开组策略编辑器，然后选择“计算机配置”→“Windows设置”→“安全选项”→“网络访问：可远程访问的注册表路径”及“网络访问：可远程访问的注册表”，将设置远程可访问的注册表路径和子路径内容设置为空即可。 关闭不需要的端口 关闭不需要的服务，服务提供了核心操作系统功能，如Web 服务、事件日志记录、文件服务、帮助和支持、打印、加密和错误报告，并不是所有默认服务都是我们需要的。我们不需要的可以停用、禁用，来释放系统资源。 锁住注册表 运行防病毒软件 f、规划文件服务器 通过一台专用文件服务器存储公共文件以及员工的工作文档。文件服务器的C盘容量为20GB（安装操作系统和软件），D盘容量大于100GB，并采用NTFS文件系统。在D盘的一个名为share的文件夹中存放公共文件，如公用文件等。另一个名为file的文件夹存放部门和员工的工作文档，建立名为temp的文件夹存放员工临时文件，如扫描文件等，并定时清空。在D:\file下为每个部门建立文件夹，部门文件夹下创建每个员工的文件夹，并为每个用户配置共享权限和NTFS权限，保障文件只被授权的用户访问。权限的配置应遵循AGDLP规则，避免直接为用户授权，除非该文件夹只有一个员工访问。在文件服务器上，按照员工级别进行空间分配，普通员工最大使用空间为100MB，部门经理的最大使用空间为500MB，总监以上的最大使用空间为1GB。在文件上传类型方面，只允许上传文件后缀为.doc/docx、.xls/xlsx、.ppt/pptx、.wps、.txt、.rar 的文件。对重要的文件夹要制定备份策略，可以采用常规备份加差异备份的策略） g、部署WSUS服务器，防病毒服务器等， 四、部署客户端 逐步分批把公司内部所有PC全部加入到域中。首选DNS为域控制器地址。 五、测试 测试各部门办公应用在域环境下能否正常使用，如ERP等系统能否正常登录使用，office软件能否正常运行等，安全性配置方面能否达到预期效果。 六．域的备份 域的备份主要是通过做备份域，以及微软自带的备份工具备份帐户数据等服务器的安全 域控制器主要是管理局域网的用户和机器，并对用户的权限进行控制，一旦主域控制器系统损坏，重新安装系统后就必须重新建立用户信息，为了防止系统损坏而影响系统使用，必须在局域网中设置一台备份域服务器，备份域服务器能将主域控制器上的所有用户信息备份到本机，并在主域控制器失效时自动充当主域控制器的角色，保证系统能正常运行。