域控制器管理方案
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
网络域控管理方案
、八—
前言
随着Internet 接入的普及和带宽的增加,一方面员工上网的条件得到改善,另一方面也给公司带来更高的网络使用危险性、复杂性和混乱。网络对办公环境造成的危害主要表现为:
1)为给用户电脑提供正常的标准的办公环境,安装操作系统和应用软件已经耗费了信息管理中心人员一定的精力和时间,同时又难以限制用户安装软件,导致管理人员必须花费其50% 以上的精力用于维护用户的PC 系统,无法集中精力去开发信息系统的深层次功能,提升信息系统价值。
2)由于使用者的防范意识普遍偏低,防毒措施往往不到位,一旦发生病毒感染,往往扩散到全网络,令网络陷于瘫痪状态,部分致命的蠕虫病毒利用TCP/IP 协议的各种漏洞,使得木马、病毒传播迅速,影响规模大,导致网络长时间处于带毒运行,反复发作而维护人员。
3)部分网站网页含有恶意代码,强行在用户电脑上安装各种网络搜索引擎插件、广告插件或中文域名插件等,增加了办公电脑大量的资源消耗,导致计算机反应缓慢;
4)个别员工私自安装从网络下载安装的软件,这些从网络上下载的软件安装包多数附带各种插件、木马和病毒,并在安装过程中用户不知情的情况下强行安装在办公电脑上,增加了办公电脑大量的资源消耗,导致计算机反应缓慢,甚至被远程控制;
5)局域网共享,包括默认共享(无意),文件共享(有意),一些病毒比如ARP 通过广播四处泛滥,影响到整个片区办公电脑的正常工作;
6)部分员工使用公司计算机上网聊天、听歌、看电影、打游戏,部分员工全天24 小时启用P2P 软件下载音乐和影视文件,由于flashget、迅雷和BT等软件并发线程多,导致大量带宽被部分员工占用,网络速度缓慢,导致应用软件系统无法正常开展业务,即便是严格的计算机使用管理制度也很难保
障企业中的计算机只用于企业业务本身,PC 的业务专注性、管控能力不强。
一、解决方案为了更好地进行网络管理,合理分配和使用网络资源,规范,引导用户安全使用办公电脑,加强对用户帐号,密码策略,用户访问权限以及文件安全管理机制,我司建议采用域控制器与文件服务器相结合的管理模式。
二、域的概述
1.域控制器的定义域”的真正含义指的是服务器控制网络上的计算机能否加入的计算机组合。一提到组合,势必需要严格的控制。所以实行严格的管理对网络安全是非常必要的。在对等网模式下,任何一台电脑只要接入网络,其他机器就都可以访问共享资源,如共享上网等。尽管对等网络上的共享文件可以加访问密码,但是非常容易被破解。不过在“域”模式下,至少有一台服务器负责每一台联入网络的电脑和用户的验证工作,相当于一个单位的门卫一样,称为“域控制器(Domain Controller ,简写为DC )”。
2.域控制器的好处
1)用户帐号与密码管理域控制器中包含了由这个域的账户、密码、属于这个域的计算机等信息构成的数据库。当电脑联入网络时,域控制器首先要鉴别这台电脑是否是属于这个域的,用户使用的登录账号是否存在、密码是否正确。如果以上信息有一样不正确,那么域控制器就会拒绝这
个用户从这台电脑登录。不能登录,用户就不能访问服务器上有权限保护的资源,他只能以对
等网用户的方式访问Windows共享出来的资源,这样就在一定程度上保护了网络上的资源。
2 )用户文件安全性域控制器中包含了每个人的专用文件夹,并对文件夹设定了用户访问权限,每个人只可以
访问到自己的专用文件夹,而管理员拥有对所有文件夹的访问权限,并进行统一的管理,同时,可对指定文件夹进行读、写限制,并给予统一的帐号和密码进行访问,从而大大提
高了用户文件的安全性,实现了文件资源的合理分配和使用,便于管理员对网络进行统一的管
理。
3)用户权限的分配为了更好地对网络进行统一管理,减轻管理员的负担,域控制器中包含了对用户使用权限的分配情况。在域控制器中,域用户没有权限安装任何软件,他必须经过域管理员同意后并授予一定的权限方可对软件进行安装,卸载等操作。同时,避免了下载或安装一些来历不明的程序而引起病毒感染或系统文件受损,造成用户数据丢失等问题的出现,从而,大大提高
了用户数据安全性。
4)新员工和离职人员账户操作:为新加入的员工,设置新的域账号,离职员工在离职的最后一天停用其域账号。
5 )权限控制以下权限控制均通过组策略来实现:
USB接口控制通过组策略来控制计算机上的USB接口是否可用。
用户文件夹重定向:使域用户的文件存放在服务器上指定的位置,既可以避免系统损坏带来的文件丢失情
况,又可以在任意一台域成员机上访问到自己的文件。
软件权限限制:所有的域账号登录的计算机不具有安装和删除软件的权限,软件的安装和卸载需通知域管理员进行。在实际生产环境当中,有少部分软件是必须需要本地管理员权限才能运行的,对于这种情况,把域账号加入至本地管理组中或者使用脚本的方式来运行这类型软件。
三、文件共享服务器概述
在企业的网络中,最常用的功能莫过于“共享文件”了。财务部门需要当月员工的考勤信息,人事部门可能不会亲自拿过去,而是在网络上共享;生产部门的生产报表也不会用书面的资料分发,而是放
在网络的共享文件夹下,谁需要的话,就自己去查看就可以了,等等。类似的需求还有很多。
可见,共享文件的功能,提高了企业办公的效率,使企业局域网应用中的一个不可缺的功能。但是,由于共享文件夹管理不当,往往也给企业带来了一些安全上的风险。如某些共享文件莫名其妙的被
删除或者修改;有些对于企业来说数据保密的内容在网络上被共享,所有员工都可以访问;共享文件成
为病毒、木马等传播的最好载体,等等。所以,共享文件若管理不当,会造成比较严重的后果。
另外,若把企业的共享文件分散在各个用户终端管理的话,有一个问题,就是用户对于共享操作的熟悉程度不同或者安全观念有差异,所以,很难从部署一个统一的文件共享安全策略。如分散在用户主
机的共享文件,员工一般不会定期对其进行备份,以防止因为意外损害而进行及时恢复;一般也不会设置具体的访问权限,如只允许一些特定的员工访问等等。因为这些操作的话,一方面可能需要一些专业知识,另一方面,设置企业也比较繁琐。所以,即使我们出了相关的制度,但是,员工一般很难遵守。
所以,建议部署一个文件共享服务器,来统一管理共享文件。采取这种策略的话,有如下好处:
1) 可以定时的对共享文件进行备份,从而减少因为意外修改或者删除而导致的损失。若能够把共享文件夹都放在文件服务器上,则我们就可以定时的对文件服务器上的文件进行备份。如此的话,即使因为权限设置不合理,导致文件被意外修改或者删除;有时会,员工自己也会在不经意中删除不该删的文件,遇到这种情况的时候,则我们可以通过文件恢复作业,把原有的文件恢复过来,从而减少这些不必要的损失。
2)是可以统一制定文件访问权限策略。在共享文件服务器上,我们可以根据各个员工的需求,在文件服务中预先设置一些文件夹,并设置好具体的权限。如此的话,放到共享文件服务器中的文件就自动继承了文件服务器文件夹的访问权限,从而实现统一管理文件访问权限的目的。如对于一些全公司都可以访问的行政通知类文件,我们可以为此设立一个通知类文件夹,这个文件夹只有行政人员具有读写权限,而其他职工都只有只读权限。如此的话,其他员工就不能够对这些通知进行更改或者删除。所以,对共享文件夹进行统一的管理,可以省去用户每次设置权限的麻烦,从而提高共享文件的安全性。
3)可以统一进行防毒管理。对于共享文件来说,我们除了要关心其数据是否为泄露或者非法访问外,另外一个问题就是共享文件是否会被病毒感染。病毒或者木马是危害企业网络安全的第一把杀手,而共享文件又是其很好的载体。若能够有效的解决共享文件的病毒木马感染问题,必定可以有效的抑制病毒或者木马在企业网络中为非作歹。而我们若能够在企业中统一部署文件服务器,则我们就可以利用下班的空闲时间,对文件服务器上的共享文件统一进行杀毒,以保证共享文件服务器上的文件都是干净的,没有被木马或者病毒所感染,从而避免其成为病毒或者木马的有效载体。
综上所述,共享文件夹以及共享文件的安全性问题,是企业网络安全管理中的一个比较薄弱的环节,但是,又是一个十分重要的环节。相信,做好这件工作,必定可以提高企业网络的利用价值,减少网络安全事故。
四、项目的规划
4.1规划域
根据网络规模以及集中管理和结构简单,我们采用单域的结构,域名为DFSL 。与多域结构相比,实现了网络资源的集中管理。并保证了管理上的简单性和低成本。