AD集成方案之中国计算机报原稿

2023-11-06 13:10

本文主要是介绍AD集成方案之中国计算机报原稿,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

得到《中国计算机报》 李编的批准 把这篇原稿发在博客里。 纪念一下,虽然名字写错了一个字:)
希望更多的朋友重视域,更好的利用域。
感谢《中国计算机报》、中计在线。
中计在线稿件地址: [url]http://www.ciw.com.cn/ciwepaper/information/20080421113506.shtml[/url]
下面附报纸扫描件

    解决企业内部网络安全最强利器--windows

(一)问题
   前几天,某电力公司的信息主管(一位刚刚上任的朋友)打电话过来问:“有没有好一点的网管软件啊?现在机子多了,人手一机,问题也越来越多了,相互猜密码的、丢资料、丢账号、系统成天崩溃的、在工位上玩游戏的、乱用打印机的。总之很乱,也不好管、就算自己看见了,平时关系也不错,也不好意思说,说了也起不倒多大作用。我这个信息主管,有名无实啊。”。听完以后十分感慨,微软的桌面称霸中国市场这么久,竟然有这么多人不知道微软的服务才是管理桌面的最强利器。
   那么今天,我们就来分享一下,我为这位友人出的解决方案:
(二)案例
   一、项目背景
       公司简介:某某市某某供电局,通过合理的运营和管理,发展迅速,员工人数已有200人左右,为了满足公司未来的发展和企业运营的需求,公司决定重新部署企业网络。公司计划部署一个由200台计算机组成的局域网。用于完成企业数据通信和资源共享。
       公司由运行科,保护科,变配电科,巡检科,人力资源,招标办公室,对标办公室,财务办公室,工程部,抢险办公室、工会12个部门组成(涉及保密情况部门内容有所保留)。
       运行科:负责公司主要的电力运行作业。
       保护壳:负责公司拟定电力运行资料的规划、管理规范,对电力运行资料进行监测监视。
       变配电科:负责对变电站的高压、低压设备的运行维护。
       巡检科:负责对公司日常运行的质量安全巡检。
       人力资源:负责公司各个部门的人力资源配比,人员档案管理、规划,以及相关人才储备。
       招标办公室:负责公司工程招标工作。
       对标办公室:负责公司工程指标的同业对标工作。
       财务办公室:负责工资结算、公司账目管理。
       工程部:负责公司的工程策划、及工程实施监管工作。
       抢险办公室:负责公司电力设备的应急工作。
       工会:负责保障职工生活福利,与有关部门配合,共同办好职工的集体福利事业。
       局长办公室:负责公司运营管理监督工作。
      II IT概况:公司已有一个局域网,运行200台计算机,服务器操作系统是windows server 2003,客户机的操作系统是
windows xp,工作在工作组模式下,员工一人一机办公。公司从ISP申请了100M专线。采用代理方式上网。由于计算机比较多,管理上缺乏层次,公司希望能够利用windows域环境管理所有网络资源,提高办公效率,加强内部网络安全,规范计算机使用。
  
   
  二、需求分析
    
 
      帐户管理:
       
        公司对员工帐户的需求如下:
       
l   员工一人一个帐户
l   所有帐户集中存储管理
l   按部门管理帐户
l   帐户密码长度不小于8
l   密码不能为简单密码,如12345678等
l   对个别员工试探别人密码的行为要有所防范。
l   员工的权限级别有3种:局长、科长、普通员工,他们在访问网络资源时权限不同。
 
     II 文件管理:
       
        公司对文件和文件夹管理的需求如下:
        
u   公司所有的常用软件的安装文件共享到一台文件服务器上。
u   员工工作文档需要可靠存储、方便访问。局长可读取和修改全公司文档。科长可读取和修改部门文档。普通员工可读取本部门的文档和修改自己的文档。
u   在文件服务器上对员工空间限制:普通员工最大100MB,科长最大1000MB,局长的使用空间不限制。
u   在文件服务器上的重要文档有定期备份。
u   审核员工登陆和访问文档的行为。
 
     III 打印机管理:
         公司对打印的需求如下:
l   局长和财务部使用一台打印设备,运行科、保护科、变电配料、巡检科使用一台,招标办公室、工程部、工会使用一台,对标办公室、抢险办公室、人力资源使用一台。
l   局长的优先级高于科长,科长的优先级高于普通员工。
    
     IIII 访问internet
l   员工可以上网查资料
l   监控员工上网行为
三、项目规划
       
 
       要组建windows办公网络,首先要规划IP地址,然后考虑域环境采用单域还是多域结构。接下来考虑帐户、文件和打印服务
等内容。
 
     规划IP地址
      
       本项目中IP地址采用192.168.0.0/24网段。 计算机的默认网关为 192.168.0.1-192.168.0.10之间的IP,客户机占用192.168.0.11以上的IP。具体分配方案见下表。
IP地址分配表
计算机名称
IP 地址
子网掩码
首选DNS服务器地址
DC1
192.168.0.2
255.255.255.0
192.168.0.2
DC2
192.168.0.3
255.255.255.0
192.168.0.2
Filesvr
192.168.0.4
255.255.255.0
192.168.0.2
Printsvr1
192.168.0.5
255.255.255.0
192.168.0.2
Printsvr2
192.168.0.6
255.255.255.0
192.168.0.2
Printsvr3
192.168.0.7
255.255.255.0
192.168.0.2
Printsvr4
192.168.0.8
255.255.255.0
192.168.0.2
Daili
192.168.0.9
255.255.255.0
192.168.0.2
客户机
192.168.0.X
255.255.255.0
192.168.0.2
 
     II 规划域
     
        根据网络规模及集中管理和结构简单原则采用单域结构,域名为angerfire.cn。域多域结构相比,实现网络资源集中管理,并保障管理上的简单性和低成本。
        在域内按照部门名称划分组织单位(OU),即创建11个组织单位,分别是运行科,保护科,变配电科,巡检科,人力资源,招标办公室,对标办公室,财务办公室,工程部,抢险办公室、工会,用于存储和管理各部门的用户帐户、组及打印机等资源。整个域结构与公司管理结构相匹配可以实现资源的层次管理,如下图所示。
       
        域控制器作为整个域的核心服务器,完成对公司所有员工的帐户管理和安全策略的实施,为保证其可靠性,需要安装2台域控制器。
 
III 规划用户帐户和组
    在各部门的OU中分别为该部门员工创建唯一的域用户帐户,帐户名为员工姓名的拼音,例如“songyang”。初始密码为“123.com”,并要求域用户帐户在首次登陆时更改密码。密码最小长度为8,并且符合复杂性要求。
   为每个部门创建全局组,命名见下表
                        用户组规划表
部门
全局组
运行科
Yunxing
保护科
Baohu
变配电科
Bianpeidianliao
巡检科
Xunjian
人力资源
Renliziyuan
招标办公室
Zhaobiao
对标办公室
Duibiao
财务办公室
Caiwu
工程部
Gongcheng
抢险办公室
Qiangxian
工会
局长办公室
Gonghui
Juzhang
并将同部门的员工帐户分别加入各部门的全局组。
 
IIII 规划文件服务器
     通过一台专用文件服务器存储公共文件以及员工的工作文档。文件服务器的C盘容量为10G(安装操作系统和软件),D盘容量大于100GB,并采用NTFS文件系统。在D盘的一个文件夹“software”存放公共文件,如常用软件、规章制度等。另一个文件夹“share”,存放部门和员工的工作文档。
 
     D:\share下为每个部门建立文件夹,部门文件夹下创建每个员工的文件夹。配置共享权限和NTFS权限,保障文件只被授权的用户访问。权限的配置应遵循AGDLP规则。避免直接为用户授权,除非该文件夹只有一个员工访问。文件服务器权限设置见下表。
文件夹权限设置
文件夹名
共享权限
NTFS 权限
D:\software
Everyone 读取
Everyone 读取
D:\share
Everyone 完全控制
Everyone 列出文件夹目录,总经理完全控制
D:\share\ 运行科
全局组yunxing读取、本部门经理和总经理完全控制
D:\share\ 保护科
全局组baohu读取、本部门经理和总经理完全控制
D:\share\ 变配电科
全局组bianpeidianliao读取、本部门经理和总经理完全控制
D:\share\ 巡检科
全局组xunjian读取、本部门经理和总经理完全控制
D:\share\ 人力资源
全局组renliziyuan读取、本部门经理和总经理完全控制
D:\share\ 招标办公室
全局组zhaobiao读取、本部门经理和总经理完全控制
D:\share\ 对标办公室
全局组duibiao读取、本部门经理和总经理完全控制
D:\share\ 财务办公室
全局组caiwu读取、本部门经理和总经理完全控制
D:\share\ 工程部
全局组gongcheng读取、本部门经理和总经理完全控制
D:\share\ 抢险办公室
全局组qiangxian读取、本部门经理和总经理完全控制
D:\share\ 工会
 
D:\share\ 局长办公室
 
 
全局组gonghui读取、本部门经理和总经理完全控制
全局组juzhang读取、本部门经理和总经理完全控制
 
  
在文件服务器上,普通员工最大使用空间为100MB,部门经理最大使用空间为1000MB,总经理的使用空间不限制。
在文件上传类型上限制只允许上传.doc .xls .ppt .wps .txt .rar 这些办公文件类型。
 
   对于重要的文件夹要制定备份策略,可以采用常规备份+差异备份的策略,按任务计划自动执行。
 IIIII 规划打印系统
     根据公司需求,需要采购4台打印设备(HP laserjet 1020)。4台设备分别安装在打印服务器printsrv1printsrv2printsrv3printsrv4 上,printsrv1供局长办公室和财务办公室使用,printsrv2供,printsrv3供招标办公室、工程部、工会使用,printsrv4供对标办公室、抢险办公室、人力资源使用。
局长、科长和普通员工的优先级分别规划为90501。还要规划逻辑打印机的权限,见下表。
打印机权限
服务器名
打印机共享名
优先级
打印权限
printsrv1
HP1020_1_1
90
局长打印
printsrv1
HP1020_1_2
50
科长打印
printsrv1
HP1020_1_3
1
全局组 caiwu 打印
printsrv2
HP1020_2_1
50
科长打印
printsrv2
HP1020_2_2
1
全局组 yunxing baohu biandianpeiliao xunjian 打印
printsrv3
HP1020_3_1
50
科长打印
printsrv3
HP1020_3_2
1
全局组 zhaobiao gongcheng gonghui 打印
printsrv4
HP1020_4_1
50
科长打印
printsrv4
 
 
 
HP1020_4_2
1
全局组 duibiao qiangxian renliziyuan 打印
 
 
IIIIII 规划上网方式
     公司租用一条100M专线上网。采用代理服务器软件使公司局域网接入internet。防火墙/代理服务器软件使用微软应用级防火墙ISA2006。代理服务器的专用连接的IP192.168.0.1,公共连接与100M专线连通,IP地址从ISP动态获得。启用代理协议是HTTP。使用域策略完成客户端的统一配置,实现共享上网。并启用防火墙策略对用户上网行为进行监控并阻绝一切不使用的网络通信。
 
 
(三)分析
 
通过上面的案例,我们发现:目前国内信息化项目此起彼伏,而企业内部网络的安全规划则是我们的重中之重。
而我们却习惯性的认为安全就要靠防火墙,安全就要靠杀毒软件。殊不知这些都是解决表面问题的手段。
一个真正意义上安全的网络首先是需要一个安全强壮的网络拓扑结构,其次是基于强壮骨架之上的服务。而我们所面对的安全问题从应用层去解决的方法其实就在我们所熟知的micsoft产品中---windows域。
在基于域环境的计算机管理手段中策略正式我们强行管理企业内部网络的钢铁法则。域环境之所以强大,之所以安全也正是域的管理模式是基于法则的。
一个社会之所以安定,是要一部不断健全的法律来支持的。而我们windows域环境正是以这样的结构和方式去对域中的计算机、帐户等资源进行统一集中管理的。今天抛砖引玉,以这样的方案提出了域的概念,而对域更深层次的理解以及更详细的应用,请见下篇:《深入理解域概念之开国篇》




本文转自 angerfire 51CTO博客,原文链接:http://blog.51cto.com/angerfire/72860,如需转载请自行联系原作者

这篇关于AD集成方案之中国计算机报原稿的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!


原文地址:https://blog.csdn.net/weixin_33819479/article/details/90078164
本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.chinasem.cn/article/356830

相关文章

SpringBoot3应用中集成和使用Spring Retry的实践记录

《SpringBoot3应用中集成和使用SpringRetry的实践记录》SpringRetry为SpringBoot3提供重试机制,支持注解和编程式两种方式,可配置重试策略与监听器,适用于临时性故... 目录1. 简介2. 环境准备3. 使用方式3.1 注解方式 基础使用自定义重试策略失败恢复机制注意事项

SpringBoot集成LiteFlow实现轻量级工作流引擎的详细过程

《SpringBoot集成LiteFlow实现轻量级工作流引擎的详细过程》LiteFlow是一款专注于逻辑驱动流程编排的轻量级框架,它以组件化方式快速构建和执行业务流程,有效解耦复杂业务逻辑,下面给大... 目录一、基础概念1.1 组件(Component)1.2 规则(Rule)1.3 上下文(Conte

SpringBoot服务获取Pod当前IP的两种方案

《SpringBoot服务获取Pod当前IP的两种方案》在Kubernetes集群中,SpringBoot服务获取Pod当前IP的方案主要有两种,通过环境变量注入或通过Java代码动态获取网络接口IP... 目录方案一:通过 Kubernetes Downward API 注入环境变量原理步骤方案二:通过

Springboot3+将ID转为JSON字符串的详细配置方案

《Springboot3+将ID转为JSON字符串的详细配置方案》:本文主要介绍纯后端实现Long/BigIntegerID转为JSON字符串的详细配置方案,s基于SpringBoot3+和Spr... 目录1. 添加依赖2. 全局 Jackson 配置3. 精准控制(可选)4. OpenAPI (Spri

关于跨域无效的问题及解决(java后端方案)

《关于跨域无效的问题及解决(java后端方案)》:本文主要介绍关于跨域无效的问题及解决(java后端方案),具有很好的参考价值,希望对大家有所帮助,如有错误或未考虑完全的地方,望不吝赐教... 目录通用后端跨域方法1、@CrossOrigin 注解2、springboot2.0 实现WebMvcConfig

在Java中将XLS转换为XLSX的实现方案

《在Java中将XLS转换为XLSX的实现方案》在本文中,我们将探讨传统ExcelXLS格式与现代XLSX格式的结构差异,并为Java开发者提供转换方案,通过了解底层原理、性能优势及实用工具,您将掌握... 目录为什么升级XLS到XLSX值得投入?实际转换过程解析推荐技术方案对比Apache POI实现编程

使用vscode搭建pywebview集成vue项目实践

《使用vscode搭建pywebview集成vue项目实践》:本文主要介绍使用vscode搭建pywebview集成vue项目实践,具有很好的参考价值,希望对大家有所帮助,如有错误或未考虑完全的地... 目录环境准备项目源码下载项目说明调试与生成可执行文件核心代码说明总结本节我们使用pythonpywebv

Maven项目中集成数据库文档生成工具的操作步骤

《Maven项目中集成数据库文档生成工具的操作步骤》在Maven项目中,可以通过集成数据库文档生成工具来自动生成数据库文档,本文为大家整理了使用screw-maven-plugin(推荐)的完... 目录1. 添加插件配置到 pom.XML2. 配置数据库信息3. 执行生成命令4. 高级配置选项5. 注意事

Java实现本地缓存的常用方案介绍

《Java实现本地缓存的常用方案介绍》本地缓存的代表技术主要有HashMap,GuavaCache,Caffeine和Encahche,这篇文章主要来和大家聊聊java利用这些技术分别实现本地缓存的方... 目录本地缓存实现方式HashMapConcurrentHashMapGuava CacheCaffe

Java集成Onlyoffice的示例代码及场景分析

《Java集成Onlyoffice的示例代码及场景分析》:本文主要介绍Java集成Onlyoffice的示例代码及场景分析,本文给大家介绍的非常详细,对大家的学习或工作具有一定的参考借鉴价值,需要... 需求场景:实现文档的在线编辑,团队协作总结:两个接口 + 前端页面 + 配置项接口1:一个接口,将o