windows域服务器部署专项方案.doc

域服务器布署方案 一、网络对办公环境造成危害 　　伴随Internet接入普及和带宽增加，首先职员上网条件得到改善，其次也给企业带来更高网络使用危险性、复杂性和混乱，内部职员不妥操作等使信息维护人员疲于奔命。网络对办公环境造成危害关键表现为： 　　1. 为给用户电脑提供正常标准办公环境，安装操作系统和应用软件已经花费了信息管理中心人员一定精力和时间，同时又难以限制用户安装软件，造成管理人员必需花费其50%以上精力用于维护用户PC系统，无法集中精力去开发信息系统深层次功效，提升信息系统价值。 　　2. 因为使用者防范意识普遍偏低，防毒方法往往不到位，一旦发生病毒感染，往往扩散到全网络，令网络陷于瘫痪状态，部分致命蠕虫病毒利用TCP/IP协议多种漏洞，使得木马、病毒传输快速，影响规模大，造成网络长时间处于带毒运行，反复发作而维护人员。 　　3. 部分网站网页含有恶意代码，强行在用户电脑上安装多种网络搜索引擎插件、广告插件或汉字域名插件等，增加了办公电脑大量资源消耗，造成计算机反应缓慢； 4. 部分职员私自安装从网络下载安装软件，这些从网络上下载软件安装包多数附带多种插件、木马和病毒，并在安装过程中用户不知情情况下强行安装在办公电脑上，增加了办公电脑大量资源消耗，造成计算机反应缓慢，甚至被远程控制； 5. 局域网共享，包含默认共享（无意），文件共享（有意），部分病毒比如ARP经过广播四处泛滥，影响到整个片区办公电脑正常工作； 　6. 部分职员使用企业计算机上网聊天、听歌、看电影、打游戏，部分职员全天二十四小时启用P2P软件下载音乐和影视文件，因为flashget、迅雷和BT等软件并发线程多，造成大量带宽被部分职员占用，网络速度缓慢，造成应用软件系统无法正常开展业务，即便是严格计算机使用管理制度也极难保障企业中计算机只用于企业业务本身，PC业务专注性、管控能力不强。 二、网络管理和维护策略 针对以上这些原因，我们能够经过域服务器来统一定义用户端机器安全策略，规范，引导用户安全使用办公电脑。 域服务器作用 1.安全集中管理 统一安全策略 2.软件集中管理 根据企业要求限定全部机器只能运行必需办公软件。 3.环境集中管理 利用AD能够统一用户端桌面,IE,TCP/IP等设置 4.活动目录是企业基础架构根本，为企业整体统一管理做基础 其它isa,exchange,防病毒服务器，补丁分发服务器，文件服务器等服务依靠于域服务器。 建立域管理 　　1，建立域控制器，并要求全部办公电脑必需加入域，接收域控制器管理，同时严格控制用户权限。汕尾发电厂职员帐号只有标准user权限。不许可信息系统管理员泄露域管理员密码和当地管理员密码。 　　在现在多种流氓插件、广告插件、木马和病毒霸道横行网络环境中，一般职员只含有标准power user权限，实际上是对公环境有效保护。 　　办公PC必需严格遵守OU命名规则，同时实现实名负责制。指定职员对该PC负责，这不不过固定资产管理要求，也是网络安全管理要求。对PC实施职员实名负责是至关关键，一旦发觉该职员电脑中毒和在广播病毒包，信息系统管理员能正确定位，快速做出反应，避免扩大影响。 　　2：PC维护包干到户。 管理员在实际工作中可能存在拿当地管理员权限作为人情，这其实是一个自杀行为。任何一个含有管理管理员权限职员，即使是管理员，使用Administrator权限上网，稍有不慎，便掉入网络陷阱。为避免这种情况，对PC维护人员，采取区域包干到户管理，同时区域责任人域用户帐号含有该区域内全部办公电脑当地管理员权限；假如区域责任人她愿意增加当地电脑管理员权限，增加风险和工作量将由她自己负担。全部办公电脑当地管理员密码由域控制器责任人掌握、设定或变更。 　　3：在防火墙上只开放常见或业务系统需要端口，如80、25、21、110、443，其它端口一律封锁，有效实施对P2P和BT软件封锁。 4：接入网络计算机必需接收信息中心管理。经过在防火墙上设置相关策略，许可经信息中心核准一些IP组能够在本机上直接访问Internet，或一些IP组只能连接局域网应用服务器，对于不遵守OU命名规则机器IP和没有经过信息系统管理员授权机器IP，不许可访问Internet和Intranet，只能单机使用。 5：建立WSUS服务器。WSUS是微软推出无偿Windows更新管理服务，现在最新版本除了支持Windows系统（Windows 全系列、Windows XP全系列和Windows server 全系列）更新管理外，还能够支持SQL Server、Exchange /、Office XP/等系统更新管理，而且在以后，WSUS将实现微软全系列产品更新管理。在域服务器上经过组策略设定用户端PC自动更新服务，。 6：建立防病毒服务器（比如诺顿），经过防病毒立即更新计算机病毒库，增强整体病毒抵御能力，立即消亡网内病毒。 7：启用组策略。检验用户计算机是否含有了对应安全策略。只有符合对应安全策略计算机才许可访问外部网络，不含有对应安全条件用户计算机，不许可上网。这么从根本上提升了企业用户计算机安全性，降低了企业用户遭受蠕虫、病毒、木马和间谍软件风险。 8：主干设备上做数据过滤，屏蔽掉非办公应用数据流。 9：使用DameWare NT Utilities软件进行远程维护，实现快速维护响应。 10：借助于入侵检测防御系统，使得管理员能够依据统计进行统计分析，发觉有潜在危险办公计算机，能够有针对性地进行预防性检验。 整体计划： 最上面是单域 下面创建OU：zydx Zydx下面创建以下多个OU Groups：这里是全部部门 Users：这里是全部用户 Servers：服务器群，比如病毒服务器，补丁分发服务器，isa服务器 Mobiles：全部移动电脑 Workstations：全部工作站 It：特殊组，部分管理员和特殊用户。 不一样部门能够设置不一样安全策略，以满足不一样部门办公需求，通用策略能够设置在根域上，特殊权限在不一样部门分别做策略。 用户及名称计划 全部用户均用工号及密码来登录域环境，域加入能够做一个加入域批处理，用户经过输入自己用户名和密码既可登录到域服务器。 全部接入电脑必需严格遵守OU命名规则，即电脑名必需改为部门加工号，比如电脑部易小辉，则其计算机名为：dnb236294。当我们经过部分软件找到病毒机器时能够经过电脑名称快速定位电脑位置，经过工号能够立即联络责任人进行处理。 各部门用户加入各部门组，便于用户管理及依据部门进行不一样策略设置 计算机帐户中删除多出用户，仅保留域用户及administrator，重命名管理员帐户，而且强制统一管理员密码，方便以后维护。 用户权限及策略计划 全部用户初始权限为power user 能正常访问当地全部资源，受限安装软件，严禁用户修改注册表，严禁修改TCP/IP，严禁修改计算机设置。 常见软件能够用软件分发来做，部分用户特殊软件能够远程安装。近期使用计算机指派,文件服务器共享等方法，远期使用SMS. 具体实施 具体技术方案包含： 1，需求搜集。 搜集各部门工作需要用到软件，和工作相关网页，常见部分机器故障。 2．计划。计划服务器，用户端母盘制作，用户权限计划。 在安装活动目录之前，我们首先要对活动目录结构进行细致计划设计，让用户和管理员在使用时更为方便。域结构遵照简单标准，采取单域模式，人员组织以部门为组织单位加入域中 1.计划DNS 假如用户准备使用活动目录，则需要首先计划名称空间。当DNS域名称空间可在Windows 中正确实施之前，需要有可用活动目录结构。所以，从活动目录设计着手并用合适DNS名称空间支持它。 2.计划用户域结构 最轻易管理域结构就是单域。计划时，用户从单域开始，而且只有在单域模式不能满足用户要求时，才增加其它域。单域可跨越多个地理站点，而且单个站点可包含属于多个域用户和计算机。在一个域中，能够使用组织单元(OU，Organizational Units)来实现这个目标。然后，能够指定组策略设置并将用户、组和计算机放在组织单元中。 3.计划用户权限 我们给用户那些权限,user（最低权限，不能安装软件），power user（能完成全部任务但不能更改管理员设置）？提议早期给power user 稳定后回收权限。 需要限制用户使用那些软件 用户能够访问那些资源 组策略有以下多个比较关键应用 1， 软件分发，分发msi格式软件，非msi格式可经过工具转换 2， 软件限制（非办公软件能够使用软件策略进行限制） 3， 文件夹重定向，能够把用户资料保留到安全位置 4， 管理设置,关键设置部分windows组件相关内容，比如开始菜单显示内容 5， Ie相关设置（信任站点，控件下载，文件下载等） 6， 安全设置（帐户策略，系统服务，注册表，文件系统） 7， 实现部分脚本功效（比如分发部分脚本进行MAC地址绑定进行ARP免疫） 文件服务器要求 1、每个用户全部能存取删除自己所拥有文件。 2、每个使用者全部要有自己帐户，而且对特定文件夹访问需要形成日志保留下来供管理员查看。 3、确保用户存放在服务器上文件不携带病毒和其它有危害性代码。 4、每个用户只能在服务器上存放一定大小,类型文件，而不是无限大文件，而且当存放文件到特定警戒线时候能通知管理员。 4.母盘制作相关问题 A，那些软件是必需安装 B，系统做那些优化 C，安全设置（ie安全设置，共享安全设置等） D，避免sid问题 3．布署。 布署用户端 考虑到ris服务器需要dhcp服务器支持，且对网络带宽有较高要求，能够经过分批加入域，分批GHOST 布署域服务器、dns服务器及文件服务器，假如需要做dhcp，需要张工，徐工考虑DHCP实现方法。后期还要添加WSUS服务器，sms服务器，诺顿防病毒服务器及vpn服务器，因为全部用户机操作系统全部为XP，没有98或其它系统，个人认为wins服务器在域环境下没有必需。域服务器按计划做好策略，文件服务器做好权限控制。 4．测试。 部门办公应用在域环境下能否正常使用，安全性方面能否达成预期效果。 办公应用：erp系统能否正常登录，打印；office软件能否正常运行；bbs能否正常登录使用； 5．建立各类使用及维护文档。 帮助大家在域环境下更方便使用办公电脑。 6．检验全部电脑，假如检测认定安全直接加入域，假如是HOME版及机器有问题，重做系统。 7．域备份 域备份关键是经过做备份域，和微软自带备份工含有份帐户数据等。 效果 最终用户端系统桌面以下 运行其它非必需程序提醒： 对文件服务器正常访问： 浏览bbs： 服务器安全 1、域控制器安全确保：域控制器关键是管理局域网用户和机器，并对用户权限进行控制，一旦主域控制器系统损坏，重新安装系统后就必需重新建立用户信息，为了预防系统损坏而影响系统使用，在局域网中又设置一台备份域服务器，备份域服务器能将主域控制器上全部用户信息备份到本机，并在主域控制器失效时自动充当主域控制器角色，确保系统能正常运行。 2、文件服务器安全确保：文件服务器关键是保留多种企业私密文件，所以其安全性关键是考虑服务器上保留文件安全性，文件服务器本身做磁盘冗余，这么即使服务器有一个硬盘损坏也不会造成文件丢失，另外我们还经过异地备份将文件服务器上文件保留一份到其它服务器上，这么即使文件服务器遭遇灾难性损坏我们文件也不会丢失。 3、综合安全优化 1，停掉Guest 帐号 2，修改管理员帐号和创建陷阱帐号： 重命名Administrator账号，然后新建一个名称为Administrator陷阱帐号“受限制用户”，把它权限设置成最低，什么事也干不了，而且加上超级复杂密码　　 3，删除默认共享 　　Windows安装好以后，系统会创建部分隐藏共享，要严禁或删除这些共享以确保安全，方法是：首先编写以下内容批处理文件： 　　@echo off 　　net share C$ /del 　　net share D$ /del 　　net share E$ /del 　　net share F$ /del 　　net share admin$ /del 　　能够经过组策略编辑器使用户机系统开机即实施脚本删除系统默认共享。 4，禁用IPC连接　　 　　Ipc连接 比如 net use\\ip\ipc$ "password" /user:"usernqme"。能够经过修改注册表来禁用IPC连接。打开注册表编辑器。找到HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa中restrictanonymous子键，将其值改为1即可禁用IPC连接。 重新设置远程可访问注册表路径 5，设置远程可访问注册表路径为空，这么能够有效地预防黑客利用扫描器经过远程注册表读取计算机系统信息及其它信息。打开组策略编辑器，然后选择“计算机配置”→“Windows设置”→“安全选项”→“网络访问：可远程访问注册表路径”及“网络访问：可远程访问注册表”，将设置远程可访问注册表路径和子路径内容设置为空即可。 6，关闭不需要端口　　 7，关闭不需要服务 服务提供了关键操作系统功效，如Web 服务、事件日志统计、文件服务、帮助和支持、打印、加密和错误汇报，并不是全部默认服务全部是我们需要。我们不需要能够停用、禁用，来释放系统资源。 8，锁住注册表 9，运行防病毒软件 10,备份 3、监视服务器性能： 经过实时和日志方法来监视服务器性能； 监视服务器内存性能； 监视服务器处理器性能； 监视服务器磁盘性能； 监视网络性能。 4、建立完备管理制度 为能跟上整改后计算机网络管理和使用，需要逐步完善各类对应管理制度，包含： 《计算机网络管理措施》 关键针对用户对计算机操作使用，管理及保护等进行叙述，明文要求不得进行哪些相关操作及网络访问等； 《关键网络设置管理措施》 针对网络设备、服务器等设置及管理做具体叙述； 《IT管理职员作手册》 岗位说明书，规范IT管理人员日常必需维护事项及操作方法，包含设备盘点记录表、设备健康卡，日常维护统计表、工作日志、设备申购表、报废表等； 《计算机维护指南》 关键针对分机构计算机用户自我计算机维护操作指南，关键包含：常见操作系统安装说明、常见病毒及网络安全设置步骤、病毒