表1  用户组规划表
表2  文件夹权限设置表
    前几天,某电力公司的信息主管(一位刚刚上任的朋友)打电话过来问:“有没有好一点的网管软件?现在机子多了,人手一机,问题越来越多了,相互猜密码的、丢资料的、丢账号的、系统整天崩溃的、在工位上玩游戏的、乱用打印机的……总之很乱,也不好管理。就算自己看见了,因为平时关系不错,也不好意思说,就是说了也起不到多大作用。我这个信息主管实在是有名无实啊。”我听完以后十分感慨,微软的桌面系统进入中国市场这么久,竟然还有这么多人不知道Windows域服务才是管理桌面的利器。那么,今天我们就来分享一下给这位友人提出的解决方案。
    对多用户管理缺乏层次
    某市某供电局,有员工200人左右和12个业务或支撑部门。为了满足公司未来发展和日常运营管理的安全需求,公司决定重新部署企业网络。公司计划部署一个由200台计算机组成的局域网,用于完成企业数据通信和资源共享。
    公司已有一个局域网,运行200台计算机,服务器操作系统是Windows Server 2003,客户端的操作系统是Windows XP,工作在工作组模式下,员工一人一机办公。公司从ISP申请100M专线,采用代理方式上网。由于计算机比较多,管理上缺乏层次,公司希望能够利用Windows域环境管理所有网络资源,提高办公效率,加强内部网络安全,规范计算机使用。
按单域规划办公网络
    要组建Windows办公网络,首先要规划IP地址,然后再根据域环境决定是采用单域还是多域结构,最后考虑账户、文件和打印服务等内容。
    规划IP地址   本项目中IP地址采用192 . 168 . 0 . 0/24网段。 计算机默认网关为 192 . 168 . 0 . 1~192 . 168 . 0 . 10之间的IP,客户机占用192 . 168 . 0 . 11以上的IP。
    规划域   根据网络规模、集中管理与结构简单原则,公司决定采用单域结构,域名为angerfire . cn。与多域结构相比,它能实现网络资源集中管理并保障管理上的简单性和低成本。在域内按照部门名称划分组织单位(OU),分别是运行科、保护科、变配电科、巡检科、人力资源科、招标办公室、对标办公室、财务办公室、工程部、抢险办公室、工会和局长办公室(见表1),用于存储和管理各部门的用户资源。整个域结构与公司管理结构相匹配,可以实现网络资源的层次管理。域控制器作为整个域的核心服务器,完成对公司所有员工的账户管理和安全策略的实施。
    规划用户账户和组   在各部门的OU中分别为该部门员工创建唯一的域用户账户,并要求域用户账户在首次登录时更改密码。密码最小长度为8位,并且符合复杂性要求。为每个部门创建全局组,并将同部门的员工账户分别加入各部门的全局组。
    规划文件服务器   通过一台专用文件服务器存储公共文件以及员工的工作文档。文件服务器的C盘容量为10GB(安装操作系统和软件),D盘容量大于100GB,并采用NTFS文件系统。在D盘的一个名为software的文件夹中存放公共文件,如常用软件、规章制度等。另一个名为share的文件夹存放部门和员工的工作文档。
    在D:\share下为每个部门建立文件夹,部门文件夹下创建每个员工的文件夹,并为每个用户配置共享权限和NTFS权限,保障文件只被授权的用户访问(见表2)。权限的配置应遵循AGDLP规则,避免直接为用户授权,除非该文件夹只有一个员工访问。
    在文件服务器上,普通员工最大使用空间为100MB,部门经理的最大使用空间为1000MB,总经理的最大使用空间不受限制。在文件上传类型方面,只允许上传文件后缀为.doc、.xls、.ppt、.wps、.txt、.rar 的文件。对重要的文件夹要制定备份策略,可以采用常规备份加差异备份的策略,按任务计划自动执行。
    规划打印系统   根据公司需求,需要采购4台打印设备(HP Laserjet 1020)。4台设备分别安装在打印服务器printsrv1、printsrv2、printsrv3、printsrv4 上,printsrv1供局长办公室和财务办公室使用,printsrv2和printsrv3供招标办公室、工程部和工会使用,printsrv4供对标办公室、抢险办公室和人力资源科使用。局长、科长和普通员工的优先级分别规划为90、50和1。同时还要规划逻辑打印机权限。
    规划上网方式    公司租用一条100M专线上网。采用代理服务器软件使局域网接入Internet。防火墙/代理服务器软件使用微软应用级防火墙ISA2006。代理服务器的专用连接IP为192 . 168 . 0 . 1,公共连接与100MB专线连通,IP地址从ISP那里动态获得,启用的代理协议是HTTP,使用域策略完成客户端的统一配置,实现共享上网,启用防火墙策略对用户上网行为进行监控并阻绝一切不适用的网络通信。
    启示:遵从法则更重要
    目前信息化项目层出不穷,内部网络的安全规划是重中之重。我们通常习惯性地认为安全就要靠防火墙和杀毒软件。殊不知,这些都是解决表面问题的手段。
    一个真正意义上的安全网络,首先需要安全强壮的网络拓扑结构,其次是基于强壮骨架之上的服务。而应用层的解决方法其实就在我们所熟知的Windows域中。在基于域环境的计算机管理手段中,策略是强行管理企业内部网络的钢铁法则。域环境之所以强大,之所以安全,也正是由于域的管理模式是基于法则的。
    社会安定需要健全的法律来支持。而Windows域环境正是以法则的方式对域中的计算机和账户等资源进行集中管理的。