服务器管理规划方案.doc

服 务 器 管 理 规 划 方 案 随着公司电脑的数量增多和网络带宽的增加，一方面公司职员办公效率得到改善，另一方面也给公司带来更高的网络使用危险性、复杂性和混乱。 网络对办公环境造成的危害主要表现为： 1) 为给用户电脑提供正常的办公环境，安装操作系统和应用软件已经耗费了网络管理人员一定的精力和时间，同时又难以限制用户安装软件，导致网络管理人员必须花费其 50% 以上的精力用于维护用户的PC系统，无法集中精力去开发信息系统的深层次功能，提升信息系统价值。 2) 由于使用者的防范意识普遍偏低，防毒措施往往不到位，一旦发生病毒感染，往往扩散到全网络，令网络陷于瘫痪状态，部分致命的蠕虫病毒利用TCP/IP 协议的各种漏洞，使得木马、病毒传播迅速，影响规模大，导致网络长时间处于带毒运行，反复发作而维护人员切束手无策。 3) 部分网站网页含有恶意代码，强行在用户电脑上安装各种网络搜索引擎插件、广告插件或中文域名插件等，增加了办公电脑大量的资源消耗，导致计算机反应缓慢； 4) 个别员工私自从网络下载安装的软件，这些从网络上下载的软件安装包多数附带各种插件、木马和病毒，并在安装过程中用户不知情的情况下强行安装在办公电脑上，增加了办公电脑大量的资源消耗，导致计算机反应缓慢，甚至被远程控制； 5) 局域网共享，包括默认共享、文件共享，一些病毒比如 ARP 通过广播四处泛滥，影响到整个片区电脑的正常工作； 6) 部分员工使用公司计算机上网聊天、听歌、看电影、打游戏，部分员工全天24小时启用P2P 软件下载音乐和影视文件，由于迅雷和 BT 等软件并发线程多，导致大量带宽被部分员工占用，网络速度缓慢，导致应用软件系统无法正常开展业务，即便是严格的计算机使用管理制度也很难保障企业中的计算机只用于企业业务本身，PC的业务专注性、管控能力不强。 一、 解决方案 为了更好地进行网络管理，合理分配和使用网络资源，规范，引导用户安全使用办公电脑，加强对用户帐号，密码策略，用户访问权限以及文件安全管理机制，建议采用域控制器与文件服务器相结合的管理模式。 二、 域的概述 1．域控制器的定义“域”的真正含义指的是服务器控制网络上的计算机能否加入的计算机组合。一提到组合，势必需要严格的控制。所以实行严格的管理对网络安全是非常必要的。在对等网模式下，任何一台电脑只要接入网络，其他机器就都可以访问共享资源，如共享文件等。尽管对等网络上的共享文件可以加访问密码，但是非常容易被破解。不过在“域”模式下，至少有一台服务器负责每一台联入网 络的电脑和用户的验证工作，相当于一个单位的门卫一样，称为“域控制器（Domain Controller， 简写为 DC）”。 2．域控制器的好处 1）用户帐号与密码管理： 域控制器中包含了由这个域的账户、密码、属于这个域的计算机等信息构成的数据库。当电脑联入网络时，域控制器首先要鉴别这台电脑是否是属于这个域的，用户使用的登录账号是否存在、密码是否正确。如果以上信息有一样不正确，那么域控制器就会拒绝这个用户从这台电脑登录。不能登录，用户就不能访问服务器上有权限保护的资源，他只能以对等网用户的方式访问Windows 共享出来的资源，这样就在一定程度上保护了网络上的资源。 2）用户文件安全性： 域控制器中包含了每个人的专用文件夹，并对文件夹设定了用户访问权限，每个人只可以访问到自己的专用文件夹，而管理员拥有对所有文件夹的访问权限，并进行统一的管理，同时，可对指定文件夹进行读、写限制，并给予统一的帐号和密码进行访问，从而大大提高了用户文件的安全性，实现了文件资源的合理分配和使用，便于管理员对网络进行统一的管理。 3) 用户权限的分配： 为了更好地对网络进行统一管理，减轻管理员的负担，域控制器中包含了对用户使用权限的分配情况。在域控制器中，域用户没有权限安装任何软件，他必须经过域管理员同意后并授予一定的权限方可对软件进行安装，卸载等操作。同时，避免了下载或安装一些来历不明的程序而引起病毒感染或系统文件受损，造成用户数据丢失等问题的出现，从而，大大提高了用户数据安全性。 三、 文件共享服务器概述 在企业的网络中，最常用的功能莫过于“共享文件”了。财务部门需要当月员工的考勤信息， 人事部门可能不会亲自拿过去，而是在网络上共享；品牌部新设计的宣传活动视频不需通过移动硬盘进行存储和共享，而是放在网络的共享文件夹下，谁需要的话，就自己去查看就可以了，等等。类似的需求还有很多。 可见，共享文件的功能，提高了企业办公的效率，使企业局域网应用中的一个不可缺的功能。 但是，由于共享文件夹管理不当，往往也给企业带来了一些安全上的风险。如某些共享文件莫名其妙的被删除或者修改；有些对于企业来说数据保密的内容在网络上被共享，所有员工都可以访问；共享文件成为病毒、木马等传播的最好载体，等等。所以，共享文件若管理不当，会造成比较严重的后果。 另外，若把企业的共享文件分散在各个用户终端管理的话，有一个问题，就是用户对于共享操作的熟悉程度不同或者安全观念有差异，所以，很难从部署一个统一的文件共享安全策略。 如分散在用户主机的共享文件，员工一般不会定期对其进行备份，以防止因为意外损害而进行及时恢复；一般也不会设置具体的访问权限，如只允许一些特定的员工访问等等。因为这些操作的话，一方面可能需要一些专业知识，另一方面，权限设置也比较繁琐。所以，即使我们出了相关的制度，但是，员工一般很难遵守。 所以，建议部署一个文件共享服务器，来统一管理共享文件。采取这种策略的话，有如下好处： 1) 可以定时的对共享文件进行备份，从而减少因为意外修改或者删除而导致的损失。若能够把共享文件夹都放在文件服务器上，则我们就可以定时的对文件服务器上的文件进行备份。如此的话，即使因为权限设置不合理，导致文件被意外修改或者删除；有时员工自己也会在不经意中删除不该删的文件，遇到这种情况的时候，则我们可以通过备份文件进行恢复，把原有的文件恢复过来，从而减少这些不必要的损失。 2) 是可以统一制定文件访问权限策略。在共享文件服务器上，我们可以根据各个员工的需求，在文件服务中预先设置一些文件夹，并设置好具体的权限。如此的话，放到共享文件服务器中的文件就自动继承了文件服务器文件夹的访问权限，从而实现统一管理文件访问权限的目的。如对于一些全公司都可以访问的行政通知类文件，我们可以为此设立一个通知类文件夹，这个文件夹只有行政人员具有读写权限，而其他职工都只有只读权限。如此的话，其他员工就不能够对这些通知进行更改或者删除。所以，对共享文件夹进行统一的管理，可以省去用户每次设置权限的麻烦，从而提高共享文件的安全性。 3) 可以统一进行防毒管理。对于共享文件来说，我们除了要关心其数据是否为泄露或者非法访问外，另外一个问题就是共享文件是否会被病毒感染。病毒或者木马是危害企业网络安全的第一把杀手，而共享文件又是其很好的载体。若能够有效的解决共享文件的病毒木马感染问题，必定可以有效的抑制病毒或者木马在企业网络中为非作歹。而我们若能够在企业中统一部署文件服务器，则我们就可以利用下班的空闲时间，对文件服务器上的共享文件统一进行杀毒，以保证共享文件服务器上的文件都是干净的，没有被木马或者病毒所感染，从而避免其成为病毒或者木马的有效载体。 综上所述，共享文件夹以及共享文件的安全性问题，是企业网络安全管理中的一个比较薄弱的环节，但是，又是一个十分重要的环节。相信，做好这件工作，必定可以提高企业网络的利用价值，减少网络安全事故。 四、 项目的规划 4.1 规划域 根据网络规模以及集中管理和结构简单化,我们采用单域的结构，域名为。与多域结构相比，实现了网络资源的集中管理。并保证了管理上的简单性和低成本。 在域内部按照部门名称划分 OU（组织单元），例如：行政部，工程部，销售部，财务部，仓管部，公建部，审计部等，用与存储和管理各个部门的用户帐户，组，以及打印机。整个域结构与公司管理结构相匹配可以实现公司资源的层次管理。 4.2 规划用户帐户和组 在各个部门的OU中分别为该部门员工创建唯一的域用户帐户，帐户名为张三员工姓名的拼音。例如：“zhangsan”,初始密码为 “123456”，并要求域用户帐户在下次登陆时更改密码。密码最小长度为 6，并且要符合复杂性要求。然后为每个部门创建全局组，命名如下所示，并将同部门的员工帐户分别加入各个部门的全局组中。 用户组规划表样例： 部门： 全局组 行政部 行政 工程部 工程 销售部 销售 财务部 财务 4.3 规划文件服务器 a) 通过一台专用的文件服务器存储公共文件以及员工的工作文档； b) 配置共享权限和 NTFS 权限; c) 启用磁盘配额； d) 制定备份策略，按任务计划自动执行，既能保证绝大部分员工在 IT 部门提供的文件服务平台上受益，又可最大程度保障数据文件安全； 五、 项目实施 5.1 服务器操作系统的安装 服务器安装 Windows Server 2003 企业版.对系统进行初始化设置并将计算名命名为:dc，使用网络检测命令验证网络的连通性。然后使用 Ghost 工具对系统进行全备份。 5.2 Windows 域的创建 在dc上执行命令”dcpromo”安装AD，提升为域控制器。为公司创建一个域。域名为。在安装 AD 的过程中安装 DNS 服务。 5.3 根据部门划分OU 为了匹配公司的管理模型，在域内按照部门名称划分组织单位（OU）,例如分别是：行政部、 工程部、销售部、财务部。将来创建各个部门的用户帐户和组属于各个部门OU。使用 AD 活动目录里的“用户和计算机”创建部门OU。 5.4 创建用户账户和组 使用【Active Directory 用户和计算机】工具在各个部门的OU中分别为该部门员工创建用户帐户，帐户名为员工的员工姓名的拼音。例如：张三“zhangsan “,为每个部门创建全局组，将同部门的员工帐户分别加入各个部门的全局组。注意：在创建完成之后要进行dc的数据备份即系统的状态数据。 5.5 配置域安全策略 单击【开始】|【管理工具】|【域安全策略】打开域安全策略 密码策略：密码长度最小值为6个字符 密码必须符合复杂性要求 帐户锁定策略 账户锁定时间为默认值 10 分钟 审核策略 账户登录事件 5.6 配置文件服务器 根据不同用户和不同部门创建共享文件夹 配置共享权限和 NTFS 权限启用磁盘配额 六、域控制器的软硬件需求 1．操作系统 Windows 2003 Server R2企业版。 2．硬件配置； 品牌型号：惠普 DL388 G7 CPU: Intel E5620 2.4GHZ 主板：Intel 5520 –ICH10 内存：8 GB DDR3 1333MHZ 硬盘：惠普SCSI 750GB 光驱：TEAC DV-28S-W 七、 文件服务器软硬件需求 1．操作系统 Windows 2003 Server R2企业版。 2．硬件配置； 品牌型号：惠普 DL388 G7 CPU: Intel E5620 2.4GHZ 主板：Intel 5520 –ICH10 内存：8 GB DDR3 1333MHZ 硬盘：惠普SCSI 750GB 光驱：TEAC DV-28S-W 5771001803090012095 579036822859633082 5771001803090012386 576137399735760696 5771001803090013594 578077579902515512 5771001803090012387 577164982601818051 5771001803090012138 572131192158918326 5771001803090012359 579036822361076053 5771001803090012356 576135286143791742 5771001803090012355 575087869704693279 17088100343355274 101229944325833379 17088100343355275 101866732938832008 17088100343356107 101581152501500522 17088100343356108 101000180059871732 17088100343354295 101074194142687017 17088100343356184 101878660869628802 17088100343356185 101775831174086674 17088100343356109 101086014373572846 17088100343356110 101152207216014916 17088100343355237 101027041605702709 17088100343355238 101229364861425414 17088100343356169 101862204402635718 17088100343354928 101760654089788804