网络域控制器管理方案

一、 解决方案为了更好地进行网络管理，合理分配和使用网络资源，规范，引导用户安全使用办公电脑，加强对用户帐号，密码策略，用户访问权限以及文件安全管理机制，我司建议采用域控制器与文件服务器相结合的管理模

一、 解决方案

为了更好地进行网络管理，合理分配和使用网络资源，规范，引导用户安全使用办公电脑，加强对用户帐号，密码策略，用户访问权限以及文件安全管理机制，我司建议采用域控制器与文件服务器相结合的管理模式。

二、 域的概述

1 域控制器的定义

域”的真正含义指的是服务器控制网络上的计算机能否加入的计算机组合。一提到组合势必需要严格的控制。所以实行严格的管理对网络安全是非常必要的。在对等网模式下任何一台电脑只要接入网络，其他机器就都可以访问共享资源，如共享上网等。尽管对等网络上的共享文件可以加访问密码，但是非常容易被破解。不过在“域”模式下，至少有一台服务器负责每一台联入网络的电脑和用户的验证工作，相当于一个单位的门卫一样，称为“域控制器（Domain Controller简写为DC ）”。

2 域控制器的好处

1 户帐号与密码管理

域控制器中包含了由这个域的账户、密码、属于这个域的计算机等信息构成的数据库。当电脑联入网络时，域控制器首先要鉴别这台电脑是否是属于这个域的，用户使用的登录账号是否存在、密码是否正确。如果以上信息有一样不正确，那么域控制器就会拒绝这个用户从这台电脑登录。不能登录用户就不能访问服务器上有权限保护的资源他只能以对等网用户的方式访问Windows 共享出来的资源，这样就在一定程度上保护了网络上的资源。

2 户文件安全性

域控制器中包含了每个人的专用文件夹，并对文件夹设定了用户访问权限，每个人只可以访问到自己的专用文件夹，而管理员拥有对所有文件夹的访问权限，并进行统一的管理，同时可对指定文件夹进行读、写限制，并给予统一的帐号和密码进行访问，从而大大提高了用户文件的安全性实现了文件资源的合理分配和使用，便于管理员对网络进行统一的管理。

3) 用户权限的分配

为了更好地对网络进行统一管理，减轻管理员的负担，域控制器中包含了对用户使用权限的分配情况。在域控制器中，域用户没有权限安装任何软件，他必须经过域管理员同意后并授予一定的权限方可对软件进行安装，卸载等操作。同时，避免了下载或安装一

些来历不明的程序而引起病毒感染或系统文件受损，造成用户数据丢失等问题的出现，从而，大大提高了用户数据安全性。

三、 文件共享服务器概述

在企业的网络中，最常用的功能莫过于“共享文件”了。财务部门需要当月员工的考勤信息人事部门可能不会亲自拿过，而是在网络上共享，生产部门的生产报表也不会用书面的资料分发，而是放在网络的共享文件夹下，谁需要的话，就自己去查看就可以了，等等。类似的需求还有很多。可见，共享文件的功能，提高了企业办公的效率，使企业局域网应用中的一个不可缺的功能。但是，由于共享文件夹管理不当，往往也给企业带来了一些安全上的风险。如某些共享文件莫名其妙的被删除或者修改，有些对于企业来说数据保密的内容在网络上被共享，所有员工都可以访问，共享文件成为病毒、木马等传播的最好载体等等。所以，共享文件若管理不当会造成比较严重的后果。另外，若把企业的共享文件分散在各个用户终端管理的话，有一个问题就是用户对于共享操作的熟悉程度不同或者安全观念有差异。所以，很难从部署一个统一的文件共享安全策略。如分散在用户主机的共享文件，员工一般不会定期对其进行备份，以防止因为意外损害而进行及时恢复，一般也不会设置具体的访问权限，如只允许一些特定的员工访问等等。因为这些操作的话，一方面可能需要一些专业知识，另一方面设置企业也比较繁琐。所以，即使我们出了相关的制度，但是，员工一般很难遵守。

所以，建议部署一个文件共享服务器，来统一管理共享文件。采取这种策略的话，有如下好处：

1) 可以定时的对共享文件进行备份，从而减少因为意外修改或者删除而导致的损失。若能够把共享文件夹都放在文件服务器上，则我们就可以定时的对文件服务器上的文件进行备份。如此的话，即使因为权限设置不合理，导致文件被意外修改或者删除，有时会员工自己也会在不经意中删除不该删的文件，遇到这种情况的时候，则我们可以通过文件恢复作业，把原有的文件恢复过来，从而减少这些不必要的损失。

2) 是可以统一制定文件访问权限策略。在共享文件服务器上，我们可以根据各个员工的需求，在文件服务中预先设置一些文件夹，并设置好具体的权限。如此的话，放到共享文件服务器中的文件就自动继承了文件服务器文件夹的访问权限，从而实现统一管理文件访问权限的目的。如对于一些全公司都可以访问的行政通知类文件，我们可以为此设立一个通知类文件夹，这个文件夹只有行政人员具有读写权限，而其他职工都只有只读权限。如此的话其他员工就不能够对这些通知进行更改或者删除。所以，对共享文件

夹进行统一的管理可以省去用户每次设置权限的麻烦，从而提高共享文件的安全性。

3) 可以统一进行防毒管理。对于共享文件来说，我们除了要关心其数据是否为泄露或者非法访问外，另外一个问题就是共享文件是否会被病毒感染。病毒或者木马是危害企业网络安全的第一把杀手，而共享文件又是其很好的载体。若能够有效的解决共享文件的病毒木马感染问题，必定可以有效的抑制病毒或者木马在企业网络中为非作歹。而我们若能够在企业中统一部署文件服务器，则我们就可以利用下班的空闲时间，对文件服务器上的共享文件统一进行杀毒，以保证共享文件服务器上的文件都是干净的，没有被木马或者病毒所感染，从而避免其成为病毒或者木马的有效载体。综上所述，共享文件夹以及共享文件的安全性问题是企业网络安全管理中的一个比较薄弱的环节，但是又是一个十分重要的环节。相信做好这件工作，必定可以提高企业网络的利用价值减少网络安全事故。

四、 项目的规划

4.1规划域

根据网络规模以及集中管理和结构简单, 我们采用单域的结构域名为hl.local 。与多域结构相比实现了网络资源的集中管理。并保证了管理上的简单性和低成本。在域内部按照部门名称划分OU ，例如行政部，人事部，工程部，销售部，财务部用与存储和管理各个部门的用户帐户组以及打印机。整个域结构与公司管理结构相匹配可以实现公司资源的层次管理。

4.2规划用户帐户和组

在各个部门的ou 中分别为该部门员工创建唯一的域用户帐户，帐户名为张三 员工姓名的拼音。例如“zhangsan ”, 初始密码为“zhangsan@hl.local”并要求域用户帐户在下次登陆时更改密码。密码最小长度为8并且要符合复杂性要求。然后为每个部门创建全局组，命名如下所示，并将同部门的员工帐户分别加入各个部门的全局组中。 用户组规划表样例：

部门 全局组

行政部 Xingzheng

人事部 Renshi

销售部 Xiaoshou

财务部 Caiwu

4.3 规划文件服务器

a) 通过一台专用的文件服务器存储公共文件以及员工的工作文档

b) 配置共享权限和NTFS 权限，权限的配置应遵循AGDLP 规则

c) 启用磁盘配额

d) 制定备份策略，按任务计划自动执行我们可以规划类似以下的企业文件服务平台，既能保证绝大部分员工在IT 部门提供的文件服务平台上受益，又可最大程度保障数据文件安全。

五、 项目实施

5.1 服务器操作系统的安装

服务器由于数量较少，可以单独安装Windows Server 2003 企业版. 对系统进行初始化设置并将计算名命名为:dc，使用ipconfig /all 以及ping 命令验证网络的连通性。最后使用Ghost 工具对系统进行全备份。

5.2 Windows域的创建

在dc 上执行命令”dcpromo ”安装AD 提升为域控制器。为该公司创建一个新域。域名为hl.local 。在安装AD 的过程中安装DNS 服务。

5.3根据部门划分OU

为了匹配公司的管理模型，在域内按照部门名称划分组织单位ou, 例如分别是行政部、人事部、销售部、财务部。将来创建各个部门的用户帐户和组属于各个部门ou 。使用AD 活动目录里的“用户和计算机”工具创建部门ou 。

5.4 创建用户账户和组

使用【Active Directory 用户和计算机】工具在各个部门的ou 中分别为该部门员工创建用户帐户，帐户名为员工的员工姓名的拼音。例如张三“zhangsan “, 为每个部门创建全局组，将同部门的员工帐户分别加入各个部门的全局组。注意，在创建完成之后要进行dc 的数据备份即系统的状态数据。

5.5 配置域安全策略

单击【开始】|【管理工具】|【域安全策略】打开域安全策略

密码策略

密码长度最小值为8 个字符

密码必须符合复杂性要求

帐户锁定策略

帐户锁定阈值为5

账户锁定时间为默认值30 分钟

审核策略

账户登录事件

对象访问

5.6 配置文件服务器

根据不同用户和不同部门创建共享文件夹

配置共享权限和NTFS 权限

启用磁盘配额

六、 实施时间

整个项目实施难度不大，估计2-3个工作日即可完成。

七、 域控制器的软硬件需求

1 操作系统

Windows 2003 Server 操作系统。

2 硬件配置