前  言

随着Internet  接入的普及和带宽的增加，一方面员工上网的条件得到改善，另一方面也给公司带来更高的网络使用危险性、复杂性和混乱。网络对办公环境造成的危害主要表现为：

1)为给用户电脑提供正常的标准的办公环境，安装操作系统和应用软件已经耗费了信息管理 中心人员一定的精力和时间，同时又难以用户安装软件，导致管理人员必须花费其 50% 以上的精力用于维护用户的  PC  系统，无法集中精力去开发信息系统的深层次功能，提升 信息系统价值。

2)由于使用者的防范意识普遍偏低，防毒措施往往不到位，一旦发生病毒感染，往往扩散 到全网络，令网络陷于瘫痪状态，部分致命的蠕虫病毒利用  TCP/IP  协议的各种漏洞，使 得木马、病毒传播迅速，影响规模大，导致网络长时间处于带毒运行，反复发作而维护人 员。

3)部分网站网页含有恶意代码，强行在用户电脑上安装各种网络搜索引擎插件、广告插件或 中文域名插件等，增加了办公电脑大量的资源消耗，导致计算机反应缓慢；

4)个别员工私自安装从网络下载安装的软件，这些从网络上下载的软件安装包多数附带各种 插件、木马和病毒，并在安装过程中用户不知情的情况下强行安装在办公电脑上，增加了办公电脑大量的资源消耗，导致计算机反应缓慢，甚至被远程控制；

5)局域网共享，包括默认共享（无意），文件共享（有意），一些病毒比如 ARP 通过广播四处 泛滥，影响到整个片区办公电脑的正常工作；

6)部分员工使用公司计算机上网聊天、听歌、看电影、打游戏，部分员工全天 24 小时启用P2P 软件下载音乐和影视文件，由于 flashget、迅雷和 BT 等软件并发线程多，导致大量 带宽被部分员工占用，网络速度缓慢，导致应用软件系统无法正常开展业务，即便是严格 的计算机使用管理制度也很难保障企业中的计算机只用于企业业务本身，PC  的业务专注性、管控能力不强。

一、  解决方案

为了更好地进行网络管理，合理分配和使用网络资源，规范，引导用户安全使用办公电脑，加强对用户帐号，密码策略，用户访问权限以及文件安全管理机制，我司建议采用域控制器与文件服务器相结合的管理模式。

二、  域的概述

1．域控制器的定义 域”的真正含义指的是服务器控制网络上的计算机能否加入的计算机组合。一提到组合，势必需要严格的控制。所以实行严格的管理对网络安全是非常必要的。在对等网模式下，任何一台电 脑只要接入网络，其他机器就都可以访问共享资源，如共享上网等。尽管对等网络上的共享文件可 以加访问密码，但是非常容易被破解。不过在“域”模式下，至少有一台服务器负责每一台联入网 络的电脑和用户的验证工作，相当于一个单位的门卫一样，称为“域控制器（Domain Controller， 简写为 DC）”。

2．域控制器的好处

1）用户帐号与密码管理 域控制器中包含了由这个域的账户、密码、属于这个域的计算机等信息构成的数据库。当电脑联入网络时，域控制器首先要鉴别这台电脑是否是属于这个域的，用户使用的登录账号是否存在、 密码是否正确。如果以上信息有一样不正确，那么域控制器就会拒绝这个用户从这台电脑登录。不 能登录，用户就不能访问服务器上有权限保护的资源，他只能以对等网用户的方式访问  Windows 共享出来的资源，这样就在一定程度上保护了网络上的资源。

2）用户文件安全性 域控制器中包含了每个人的专用文件夹，并对文件夹设定了用户访问权限，每个人只可以访问到自己的专用文件夹，而管理员拥有对所有文件夹的访问权限，并进行统一的管理，同时，可对指 定文件夹进行读、写，并给予统一的帐号和密码进行访问，从而大大提高了用户文件的安全性， 实现了文件资源的合理分配和使用，便于管理员对网络进行统一的管理。

3) 用户权限的分配 为了更好地对网络进行统一管理，减轻管理员的负担，域控制器中包含了对用户使用权限的分配情况。在域控制器中，域用户没有权限安装任何软件，他必须经过域管理员同意后并授予一定的 权限方可对软件进行安装，卸载等操作。同时，避免了下载或安装一些来历不明的程序而引起病毒 感染或系统文件受损，造成用户数据丢失等问题的出现，从而，大大提高了用户数据安全性。

4）新员工和离职人员账户操作：为新加入的员工，设置新的域账号，离职员工在离职的最后一天停用其域账号。

5）权限控制以下权限控制均通过组策略来实现 ：

   USB接口控制通过组策略来控制计算机上的USB接口是否可用。

用户文件夹重定向：使域用户的文件存放在服务器上指定的位置，既可以避免系统损坏带来的文件丢失情况，又可以在任意一台域成员机上访问到自己的文件。 

   软件权限：所有的域账号登录的计算机不具有安装和删除软件的权限，软件的安装和卸载需通知域管理员进行。在实际生产环境当中，有少部分软件是必须需要本地管理员权限才能运行的，对于这种情况，把域账号加入至本地管理组中或者使用脚本的方式来运行这类型软件。 

三、  文件共享服务器概述

在企业的网络中，最常用的功能莫过于“共享文件”了。财务部门需要当月员工的考勤信息， 人事部门可能不会亲自拿过去，而是在网络上共享；生产部门的生产报表也不会用书面的资料 分发，而是放在网络的共享文件夹下，谁需要的话，就自己去查看就可以了，等等。类似的需 求还有很多。

可见，共享文件的功能，提高了企业办公的效率，使企业局域网应用中的一个不可缺的功能。 但是，由于共享文件夹管理不当，往往也给企业带来了一些安全上的风险。如某些共享文件莫 名其妙的被删除或者修改；有些对于企业来说数据保密的内容在网络上被共享，所有员工都可 以访问；共享文件成为病毒、木马等传播的最好载体，等等。所以，共享文件若管理不当，会 造成比较严重的后果。

另外，若把企业的共享文件分散在各个用户终端管理的话，有一个问题，就是用户对于共享 操作的熟悉程度不同或者安全观念有差异，所以，很难从部署一个统一的文件共享安全策略。 如分散在用户主机的共享文件，员工一般不会定期对其进行备份，以防止因为意外损害而进行 及时恢复；一般也不会设置具体的访问权限，如只允许一些特定的员工访问等等。因为这些操 作的话，一方面可能需要一些专业知识，另一方面，设置企业也比较繁琐。所以，即使我们出 了相关的制度，但是，员工一般很难遵守。

所以，建议部署一个文件共享服务器，来统一管理共享文件。采取这种策略的话，有如下好 处：

1) 可以定时的对共享文件进行备份，从而减少因为意外修改或者删除而导致的损失。若能 够把共享文件夹都放在文件服务器上，则我们就可以定时的对文件服务器上的文件进行 备份。如此的话，即使因为权限设置不合理，导致文件被意外修改或者删除；有时会， 员工自己也会在不经意中删除不该删的文件，遇到这种情况的时候，则我们可以通过文 件恢复作业，把原有的文件恢复过来，从而减少这些不必要的损失。

2) 是可以统一制定文件访问权限策略。在共享文件服务器上，我们可以根据各个员工的需 求，在文件服务中预先设置一些文件夹，并设置好具体的权限。如此的话，放到共享文 件服务器中的文件就自动继承了文件服务器文件夹的访问权限，从而实现统一管理文件 访问权限的目的。如对于一些全公司都可以访问的行政通知类文件，我们可以为此设立 一个通知类文件夹，这个文件夹只有行政人员具有读写权限，而其他职工都只有只读权 限。如此的话，其他员工就不能够对这些通知进行更改或者删除。所以，对共享文件夹进行统一的管理，可以省去用户每次设置权限的麻烦，从而提高共享文件的安全性。

3) 可以统一进行防毒管理。对于共享文件来说，我们除了要关心其数据是否为泄露或者非 法访问外，另外一个问题就是共享文件是否会被病毒感染。病毒或者木马是危害企业网 络安全的第一把杀手，而共享文件又是其很好的载体。若能够有效的解决共享文件的病 毒木马感染问题，必定可以有效的抑制病毒或者木马在企业网络中为非作歹。而我们若 能够在企业中统一部署文件服务器，则我们就可以利用下班的空闲时间，对文件服务器 上的共享文件统一进行杀毒，以保证共享文件服务器上的文件都是干净的，没有被木马 或者病毒所感染，从而避免其成为病毒或者木马的有效载体。

综上所述，共享文件夹以及共享文件的安全性问题，是企业网络安全管理中的一个比较薄弱的 环节，但是，又是一个十分重要的环节。相信，做好这件工作，必定可以提高企业网络的利用价值， 减少网络安全事故。

四、  项目的规划

4.1 规划域

根据网络规模以及集中管理和结构简单,我们采用单域的结构，域名为 DFSL。与多域 结构相比，实现了网络资源的集中管理。并保证了管理上的简单性和低成本。

在域内部按照部门名称划分 OU，例如：行政部，人事部，工程部，销售部，财务部，用与 存储和管理各个部门的用户帐户，组，以及打印机。整个域结构与公司管理结构相匹配可以实 现公司资源的层次管理。

4.2 规划用户帐户和组

在各个部门的 ou 中分别为该部门员工创建唯一的域用户帐户，帐户名为张三员工姓名的拼音。例如：“zhangsan”,初始密码为 “123456”，并要求域用户帐户在下次登陆 时更改密码。密码最小长度为 8，并且要符合复杂性要求。然后为每个部门创建全局组，命名如 下所示，并将同部门的员工帐户分别加入各个部门的全局组中。

用户组规划表样例： 

部门：  全局组

行政部  Xingzheng

人事部  Renshi

销售部  Xiaoshou

财务部  Caiwu

4.3  规划文件服务器

a) 通过一台专用的文件服务器存储公共文件以及员工的工作文档；

b) 配置共享权限和 NTFS 权限，权限的配置应遵循 AGDLP 规则

c) 启用磁盘配额；

d) 制定备份策略，按任务计划自动执行； 我们可以规划类似以下的企业文件服务平台，既能保证绝大部分员工在 IT 部门提供的文件服务平台上受益，又可最大程度保障数据文件安全；

五、  项目实施

5.1 服务器操作系统的安装

服务器由于数量较少，可以单独安装 Windows  Server  2008 企业版.对系统进行初始化设 置并将计算名命名为:dc，使用 ipconfig  /all 以及 ping  命令验证网络的连通性。最后，使用 Ghost 工具对系统进行全备份。

5.2  Windows 域的创建

在  dc  上执行命令”dcpromo”安装  AD，提升为域控制器。为该公司创建一个域。域名为hj.local。在安装 AD 的过程中安装 DNS 服务。

5.3 根据部门划分 OU

为了匹配公司的管理模型，在域内按照部门名称划分组织单位（ou）,例如分别是：行政部、 人事部、销售部、财务部。将来创建各个部门的用户帐户和组属于各个部门 ou。使用 AD 活动目录 里的“用户和计算机“工具创建部门 ou。

5.4  创建用户账户和组

使用【Active  Directory  用户和计算机】工具在各个部门的 ou 中分别为该部门员工创建用户 帐户，帐户名为员工的员工姓名的拼音。例如：张三“zhangsan “,为每个部门创建全局组，将同 部门的员工帐户分别加入各个部门的全局组。注意：在创建完成之后要进行  dc  的数据备份即系统 的状态数据。

5.5配置域安全策略

单击【开始】|【管理工具】|【域安全策略】打开域安全策略

密码策略密码长度最小值为 8 个字符

密码必须符合复杂性要求

帐户锁定策略

帐户锁定阈值为 5

账户锁定时间为默认值 30 分钟 

审核策略 

账户登录事件

对象访问

5.6配置文件服务器

根据不同用户和不同部门创建共享文件夹 配置共享权限和 NTFS 权限启用磁盘配额

六、域控制器的软硬件需求

1．操作系统

Windows  2008  Server 操作系统。

2．硬件配置；

 X3400M3  2*4G 1.35V / 8*2.5 HS SAS/SATA   3*300G SAS /  M5015 Raid 0,1 w/o Battery / DVD / 670W Fixed

 下载本文