组建域服务器

组建域服务器----域服务器部署方案一、网络对办公、学习环境造成的危害随着Internet 接入的普及和带宽的增加，一方面师生上网的条件得到改善，另一方面也给学校带来更高的网络使用危险性、复杂性和混乱

组建域服务器

----域服务器部署方案

一、网络对办公、学习环境造成的危害

随着Internet 接入的普及和带宽的增加，一方面师生上网的条件得到改善，另一方面也给学校带来更高的网络使用危险性、复杂性和混乱，内部员工的不当操作等使信息维护人员疲于奔命。网络对办公环境造成的危害主要表现为：

1、 为给用户电脑提供正常的标准的办公环境，安装操作系统和应用软件已经耗费了信息管理中心人员一定的精力和时间，同时又难以限制用户安装软件，导致管理人员必须花费其50以上的精力用于维护用户的PC 系统，无法集中精力去开发信息系统的深层次功能，提升信息系统价值。

2、 由于使用者的防范意识普遍偏低，防毒措施往往不到位，一旦发生病毒感染，往往扩散到整个网络，令网络陷于瘫痪状态，部分致命的蠕虫病毒利用TCP/IP协议的各种漏洞，使得木马、病毒传播迅速，影响规模大，导致网络长时间处于带毒运行，反复发作而维护人员疲于维护。

3、 部分网站网页含有恶意代码，强行在用户电脑上安装各种网络搜索引擎插件、广告插件或中文域名插件等，增加了办公电脑大量的资源消耗，导致计算机反应缓慢；

4、 个别教师和学生私自安装从网络下载安装的软件，这些从网络上下载的软件安装包多数附带各种插件、木马和病毒，并在安装过

程中用户不知情的情况下强行安装在办公电脑上，增加了办公电脑大量的资源消耗，导致计算机反应缓慢，甚至被远程控制；

5、 局域网共享，包括默认共享（无意），文件共享（有意），一些病毒比如ARP 通过广播四处泛滥，影响到整个片区办公电脑的正常工作。

6、 部分教师、学生使用学校计算机上网聊天、听歌、看电影、打游戏，部分教师全天24小时启用P2P 软件下载音乐和影视文件，由于flashget 、迅雷和BT 等软件并发线程多，导致大量带宽被部分教师、学生占用，网络速度缓慢，导致应用软件系统无法正常开展业务，即便是严格的计算机使用管理制度也很难保障企业中的计算机只用于企业业务本身，PC 的业务专注性、管控能力不强。

二、网络管理和维护策略

针对以上这些因素，我们可以通过域服务器来统一定义客户端机器的安全策略，规范，引导用户安全使用办公电脑。

（一）域服务器的作用

1、安全集中管理，统一安全策略

2、软件集中管理 ，按照学校要求限定所有机器只能运行必需的办公软件。

3、环境集中管理，利用AD 可以统一客户端桌面,IE,TCP/IP等设置

4、活动目录是企业基础架构的根本，为学校整体统一管理做基础 其它isa,exchange, 防病毒服务器，补丁分发服务器，文件服务

器等服务依赖于域服务器。

（二）建立域管理

1、建立域控制器，并规定所有办公、学生电脑必须加入域，接受域控制器的管理，同时严格控制用户的权限。汕尾发电厂的教师帐号只有标准user 权限。不允许信息系统管理员泄露域管理员密码和本地管理员密码。

在如今各种流氓插件、广告插件、木马和病毒霸道横行的网络环境中，普通教师只具备标准的power user权限，实际上是对公环境有效的保护。

办公、学生PC 必须严格遵守OU 命名规则，同时实现实名负责制。指定教师对该PC 负责，这不但是固定资产管理的要求，也是网络安全管理的要求。对PC 实施教师实名负责是至关重要的，一旦发现该教师电脑中毒和在广播病毒包，信息系统管理员能准确定位，迅速做出反应，避免扩大影响。

2、PC 维护包干到户。

管理员在实际工作中可能存在拿本地管理员权限作为人情，这其实是一种自杀行为。任何一个具备管理管理员权限的教师，即使是管理员，使用Administrator 权限上网，稍有不慎，便掉入网络陷阱。为避免这种情况，对PC 维护人员，采取区域包干到户的管理，同时区域负责人的域用户帐号具备该区域内所有办公、学生电脑本地管理员的权限；如果区域负责人他愿意增加本地电脑管理员权限，增加的风险和工作量将由他自己承担。所有办公、学生电脑的本地管理员密

码由域控制器负责人掌握、设定或变更。

3、在防火墙上只开放常用或业务系统需要的端口，如80、25、21、110、443，其它端口一律封锁，有效实施对P2P 和BT 软件的封锁。

4、接入网络的计算机必须接受信息中心的管理。通过在防火墙上设置相关的策略，允许经信息中心核准的某些IP 组可以在本机上直接访问Internet ，或某些IP 组只能连接局域网的应用服务器，对于不遵守OU 命名规则的机器IP 和没有经过信息系统管理员授权的机器IP ，不允许访问Internet 和Intranet ，只能单机使用。

5、建立WSUS 服务器。WSUS 是微软推出的免费的Windows 更新管理服务，目前最新版本除了支持Windows 系统（Windows 2000全系列、Windows XP全系列和Windows server 2003全系列）的更新管理外，还可以支持SQL Server、Exchange 2000/2003、Office XP/2003等系统的更新管理，并且在以后，WSUS 将实现微软全系列产品的更新管理。在域服务器上通过组策略设定客户端PC 的自动更新服务器。

6、建立防病毒服务器（比如诺顿），通过防病毒及时更新计算机的病毒库，增强整体的病毒抵御能力，及时消灭网内病毒。

7、启用组策略。检查用户的计算机是否具备了相应的安全策略。只有符合相应的安全策略的计算机才允许访问外部网络，不具备相应安全条件的用户计算机，不允许上网。这样从根本上提高了企业用户计算机的安全性，减少了企业用户遭受蠕虫、病毒、木马以及间谍软

件的风险。

8、主干设备上做数据过滤，屏蔽掉非办公、学生应用的数据流。

9、使用DameWare NT Utilities软件进行远程维护，实现快速的维护响应。

10、借助于入侵检测防御系统，使得管理员可以根据记录进行统计分析，发现有潜在危险的办公、学生计算机，可以有针对性地进行预防性检查。

(三) 整体规划：

最上面是单域zhongyu.com

下面创建OU ：zydx

Zydx 下面创建以下几个OU

Groups ：这里是所有的部门

Users ：这里是所有用户

Servers ：服务器群，比如病毒服务器，补丁分发服务器，isa 服务器

Mobiles ：所有的移动电脑

Workstations ：所有工作站

It ：特殊组，一些管理员和特殊用户。

不同部门可以设置不同安全策略，以满足不同部门的办公、学生需求，通用策略可以设置在根域上，特殊权限在不同部门分别做策略。

（四）用户及名称规划

所有用户均用工号及密码来登录域环境，域的加入可以做一个加

入域的批处理，用户通过输入自己的用户名和密码既可登录到域服务器。

所有接入电脑必须严格遵守OU 命名规则，即电脑名必须改为部门加工号，比如电脑部易小辉，则其计算机名为：dnb236294。当我们通过一些软件找到病毒机器时可以通过电脑名称快速定位电脑位置，通过工号可以及时联系责任人进行处理。

各部门用户加入各部门的组，便于用户管理及根据部门进行不同的策略设置

计算机帐户中删除多余用户，仅保留域用户及administrator ，重命名管理员帐户，并且强制统一管理员密码，以便日后维护。

（五）用户权限及策略规划

所有用户初始权限为power user 能正常访问本地所有资源，受限安装软件，禁止用户修改注册表，禁止修改TCP/IP，禁止修改计算机设置。

常用软件可以用软件分发来做，个别用户的特殊软件可以远程安装。近期使用计算机指派, 文件服务器共享等方式，远期使用SMS.

（六）具体的实施

具体技术方案包括：

1、需求收集。

收集各部门工作需要用到的软件，与工作有关的网页，常见的一些机器故障。

2、规划。规划服务器，客户端母盘制作，用户权限规划。

（七）、安装活动目录

在安装活动目录之前，我们首先要对活动目录的结构进行细致的规划设计，让用户和管理员在使用时更为方便。域的结构遵循简单原则，采用单域模式，人员的组织以部门为组织单位加入域中。

1、规划DNS

如果用户准备使用活动目录，则需要首先规划名称空间。当DNS 域名称空间可在Windows 2003中正确执行之前，需要有可用的活动目录结构。所以，从活动目录设计着手并用适当的DNS 名称空间支持它。

2、规划用户的域结构

最容易管理的域结构就是单域。规划时，用户从单域开始，并且只有在单域模式不能满足用户的要求时，才增加其他的域。单域可跨越多个地理站点，并且单个站点可包含属于多个域的用户和计算机。在一个域中，可以使用组织单元(OU，Organizational Units) 来实现这个目标。然后，可以指定组策略设置并将用户、组和计算机放在组织单元中。

3、规划用户的权限

我们给用户那些权限,user （最低权限，不能安装软件），power user （能完成所有任务但不能更改管理员设置）？建议初期给power user 稳定后回收权限。

需要限制用户使用那些软件

用户能够访问那些资源

组策略有以下几个比较重要的应用：

1、软件分发，分发msi 格式软件，非msi 格式可通过工具转换

2、软件限制（非办公、学生软件可以使用软件策略进行限制）

3、文件夹重定向、可以把用户资料保存到安全位置

4、管理设置, 主要设置一些windows 组件相关内容，比如开始菜单显示的内容

5、Ie 相关设置（信任站点，控件下载，文件下载等）

6、安全设置（帐户策略，系统服务，注册表，文件系统）

7、 实现一些脚本的功能（比如分发一些脚本进行MAC 地址绑定进行ARP 免疫）

（八）文件服务器的要求

1、每个用户都能存取删除自己所拥有的文件。

2、每个使用者都要有自己的帐户，并且对特定文件夹的访问需要形成日志保存下来供管理员查看。

3、保证用户存放在服务器上的文件不携带病毒和其它有危害性的代码。

4、每个用户只能在服务器上存放一定大小, 类型的文件，而不是无限大的文件，并且当存放文件到特定警戒线的时候能通知管理员。

5、母盘制作相关问题

A 、那些软件是必须安装的

B 、系统做那些优化

C 、安全设置（ie 安全设置，共享安全设置等）

D 、避免sid 问题

6、部署。

⑴部署客户端

考虑到ris 服务器需要dhcp 服务器支持，且对网络带宽有较高要求，可以通过分批加入域，分批GHOST

⑵部署域服务器、dns 服务器及文件服务器，如果需要做dhcp ，需要张工，徐工考虑DHCP 的实现方式。后期还要添加WSUS 服务器，sms 服务器，诺顿防病毒服务器及vpn 服务器，因为所有客户机操作系统都为XP ，没有98或者其他系统，个人认为wins 服务器在域环境下没有必要。域服务器按规划做好策略，文件服务器做好权限控制。

7、测试。

部门办公、学生应用在域环境下能否正常使用，安全性方面能否达到预期效果。

办公、学生应用：erp 系统能否正常登录，打印；office 软件能否正常运行；bbs 能否正常登录使用；

8、建立各类使用及维护文档。

帮助大家在域环境下更方便的使用办公、学生电脑。

9、检查所有电脑，如果检测认定安全的直接加入域，如果是HOME 版及机器有问题的，重做系统。

10、域的备份

域的备份主要是通过做备份域，以及微软自带的备份工具备份帐数据等。

三、服务器的安全

1、域控制器的安全保证：域控制器主要是管理局域网的用户和机器，并对用户的权限进行控制，一旦主域控制器系统损坏，重新安装系统后就必须重新建立用户信息，为了防止系统损坏而影响系统使用，在局域网中又设置一台备份域服务器，备份域服务器能将主域控制器上的所有用户信息备份到本机，并在主域控制器失效时自动充当主域控制器的角色，保证系统能正常运行。

2、文件服务器的安全保证：文件服务器主要是保存各种公司私密文件，所以其安全性主要是考虑服务器上保存的文件的安全性，文件服务器本身做磁盘冗余，这样即使服务器有一个硬盘损坏也不会导致文件丢失，另外我们还通过异地备份将文件服务器上文件保存一份到其他服务器上，这样即使文件服务器遭遇灾难性的损坏我们的文件也不会丢失。

3、综合安全优化

⑴停掉Guest 帐号

⑵修改管理员帐号和创建陷阱帐号：

重命名Administrator 账号，然后新建一个名称为Administrator 的陷阱帐号“受限制用户”，把它的权限设置成最低，什么事也干不了，并且加上超级复杂密码

⑶删除默认共享

Windows2003安装好以后，系统会创建一些隐藏的共享，要禁止或删除这些共享以确保安全，方法是：首先编写如下内容的批处理文