域控制器管理方案.doc

网络域控管理方案

前言

随着Internet 接入的普及和带宽的增加，一方面员工上网的条件得到改善，另一方面也给公司带来更高的网络使用危险性、复杂性和混乱。网络对办公环境造成的危害主要表现为：

1)为给用户电脑提供正常的标准的办公环境，安装操作系统和应用软件已经耗费了信息管理中心人员一定的精力和时间，同时又难以限制用户安装软件，导致管理人员必须花费其50% 以上的精力用于维护用户的PC 系统，无法集中精力去开发信息系统的深层次功能，提升信息系统价值。

2)由于使用者的防范意识普遍偏低，防毒措施往往不到位，一旦发生病毒感染，往往扩散到全网络，令网络陷于瘫痪状态，部分致命的蠕虫病毒利用TCP/IP 协议的各种漏洞，使得木马、病毒传播迅速，影响规模大，导致网络长时间处于带毒运行，反复发作而维护人员。

3)部分网站网页含有恶意代码，强行在用户电脑上安装各种网络搜索引擎插件、广告插件或中文域名插件等，增加了办公电脑大量的资源消耗，导致计算机反应缓慢；

4)个别员工私自安装从网络下载安装的软件，这些从网络上下载的软件安装包多数附带各种插件、木马和病毒，并在安装过程中用户不知情的情况下强行安装在办公电脑上，增加了办公电脑大量的资源消耗，导致计算机反应缓慢，甚至被远程控制；

5)局域网共享，包括默认共享（无意），文件共享（有意），一些病毒比如ARP 通过广播四处泛滥，影响到整个片区办公电脑的正常工作；

6)部分员工使用公司计算机上网聊天、听歌、看电影、打游戏，部分员工全天24 小时启用P2P 软件下载音乐和影视文件，由于flashget、迅雷和BT 等软件并发线程多，导致大量带宽被部分员工占用，网络速度缓慢，导致应用软件系统无法正常开展业务，即便是严格的计算机使用管理制度也很难保障企业中的计算机只用于企业业务本身，PC 的业务专注性、管控能力不强。

一、解决方案

为了更好地进行网络管理，合理分配和使用网络资源，规范，引导用户安全使用办公电脑，加强对用户帐号，密码策略，用户访问权限以及文件安全管理机制，我司建议采用域控制器与文件服务器相结合的管理模式。

二、域的概述

1．域控制器的定义域”的真正含义指的是服务器控制网络上的计算机能否加入的计算机组合。一提到组合，势必需要严格的控制。所以实行严格的管理对网络安全是非常必要的。在对等网模式下，任何一台电脑只要接入网络，其他机器就都可以访问共享资源，如共享上网等。尽管对等网络上的共享文件可以加访问密码，但是非常容易被破解。不过在“域”模式下，至少有一台服务器负责每一台联入网络的电脑和用户的验证工作，相当于一个单位的门卫一样，称为“域控制器（Domain Controller，简写为DC）”。

2．域控制器的好处

1）用户帐号与密码管理域控制器中包含了由这个域的账户、密码、属于这个域的计算机等信息构成的数据库。当电脑联入网络时，域控制器首先要鉴别这台电脑是否是属于这个域的，用户使用的登录账号是否存在、密码是否正确。如果以上信息有一样不正确，那么域控制器就会拒绝这个用户从这台电脑登录。不能登录，用户就不能访问服务器上有权限保护的资源，他只能以对等网用户的方式访问Windows 共享出来的资源，这样就在一定程度上保护了网络上的资源。

2）用户文件安全性域控制器中包含了每个人的专用文件夹，并对文件夹设定了用户访问权限，每个人只可以访问到自己的专用文件夹，而管理员拥有对所有文件夹的访问权限，并进行统一的管理，同时，可对指定文件夹进行读、写限制，并给予统一的帐号和密码进行访问，从而大大提高了用户文件的安全性，实现了文件资源的合理分配和使用，便于管理员对网络进行统一的管理。

3) 用户权限的分配为了更好地对网络进行统一管理，减轻管理员的负担，域控制器中包含了对用户

使用权限的分配情况。在域控制器中，域用户没有权限安装任何软件，他必须经过域管理员同意后并授予一定的权限方可对软件进行安装，卸载等操作。同时，避免了下载或安装一些来历不明的程序而引起病毒感染或系统文件受损，造成用户数据丢失等问题的出现，从而，大大提高了用户数据安全性。

4）新员工和离职人员账户操作：为新加入的员工，设置新的域账号，离职员工在离职的最后一天停用其域账号。

5）权限控制以下权限控制均通过组策略来实现：

USB接口控制通过组策略来控制计算机上的USB接口是否可用。

用户文件夹重定向：使域用户的文件存放在服务器上指定的位置，既可以避免系统损坏带来的文件丢失情况，又可以在任意一台域成员机上访问到自己的文件。

软件权限限制：所有的域账号登录的计算机不具有安装和删除软件的权限，软件的安装和卸载需通知域管理员进行。在实际生产环境当中，有少部分软件是必须需要本地管理员权限才能运行的，对于这种情况，把域账号加入至本地管理组中或者使用脚本的方式来运行这类型软件。

三、文件共享服务器概述

在企业的网络中，最常用的功能莫过于“共享文件”了。财务部门需要当月员工的考勤信息，人事部门可能不会亲自拿过去，而是在网络上共享；生产部门的生产报表也不会用书面的资料分发，而是放在网络的共享文件夹下，谁需要的话，就自己去查看就可以了，等等。类似的需求还有很多。

可见，共享文件的功能，提高了企业办公的效率，使企业局域网应用中的一个不可缺的功能。但是，由于共享文件夹管理不当，往往也给企业带来了一些安全上的风险。如某些共享文件莫名其妙的被删除或者修改；有些对于企业来说数据保密的内容在网络上被共享，所有员工都可以访问；共享文件成为病毒、木马等传播的最好载体，等等。所以，共享文件若管理不当，会造成比较严重的后果。

另外，若把企业的共享文件分散在各个用户终端管理的话，有一个问题，就是用户对于共享操作的熟悉程度不同或者安全观念有差异，所以，很难从部署一个统一的文件共享安全策略。如分散在用户主机的共享文件，员工一般不会定期对其进行备份，以防止因为意外损害而进行及时恢复；一般也不会设