AD集成方案之中国计算机报原稿

2023-11-06 13:10

本文主要是介绍AD集成方案之中国计算机报原稿,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

得到《中国计算机报》 李编的批准 把这篇原稿发在博客里。 纪念一下,虽然名字写错了一个字:)
希望更多的朋友重视域,更好的利用域。
感谢《中国计算机报》、中计在线。
中计在线稿件地址: [url]http://www.ciw.com.cn/ciwepaper/information/20080421113506.shtml[/url]
下面附报纸扫描件

    解决企业内部网络安全最强利器--windows

(一)问题
   前几天,某电力公司的信息主管(一位刚刚上任的朋友)打电话过来问:“有没有好一点的网管软件啊?现在机子多了,人手一机,问题也越来越多了,相互猜密码的、丢资料、丢账号、系统成天崩溃的、在工位上玩游戏的、乱用打印机的。总之很乱,也不好管、就算自己看见了,平时关系也不错,也不好意思说,说了也起不倒多大作用。我这个信息主管,有名无实啊。”。听完以后十分感慨,微软的桌面称霸中国市场这么久,竟然有这么多人不知道微软的服务才是管理桌面的最强利器。
   那么今天,我们就来分享一下,我为这位友人出的解决方案:
(二)案例
   一、项目背景
       公司简介:某某市某某供电局,通过合理的运营和管理,发展迅速,员工人数已有200人左右,为了满足公司未来的发展和企业运营的需求,公司决定重新部署企业网络。公司计划部署一个由200台计算机组成的局域网。用于完成企业数据通信和资源共享。
       公司由运行科,保护科,变配电科,巡检科,人力资源,招标办公室,对标办公室,财务办公室,工程部,抢险办公室、工会12个部门组成(涉及保密情况部门内容有所保留)。
       运行科:负责公司主要的电力运行作业。
       保护壳:负责公司拟定电力运行资料的规划、管理规范,对电力运行资料进行监测监视。
       变配电科:负责对变电站的高压、低压设备的运行维护。
       巡检科:负责对公司日常运行的质量安全巡检。
       人力资源:负责公司各个部门的人力资源配比,人员档案管理、规划,以及相关人才储备。
       招标办公室:负责公司工程招标工作。
       对标办公室:负责公司工程指标的同业对标工作。
       财务办公室:负责工资结算、公司账目管理。
       工程部:负责公司的工程策划、及工程实施监管工作。
       抢险办公室:负责公司电力设备的应急工作。
       工会:负责保障职工生活福利,与有关部门配合,共同办好职工的集体福利事业。
       局长办公室:负责公司运营管理监督工作。
      II IT概况:公司已有一个局域网,运行200台计算机,服务器操作系统是windows server 2003,客户机的操作系统是
windows xp,工作在工作组模式下,员工一人一机办公。公司从ISP申请了100M专线。采用代理方式上网。由于计算机比较多,管理上缺乏层次,公司希望能够利用windows域环境管理所有网络资源,提高办公效率,加强内部网络安全,规范计算机使用。
  
   
  二、需求分析
    
 
      帐户管理:
       
        公司对员工帐户的需求如下:
       
l   员工一人一个帐户
l   所有帐户集中存储管理
l   按部门管理帐户
l   帐户密码长度不小于8
l   密码不能为简单密码,如12345678等
l   对个别员工试探别人密码的行为要有所防范。
l   员工的权限级别有3种:局长、科长、普通员工,他们在访问网络资源时权限不同。
 
     II 文件管理:
       
        公司对文件和文件夹管理的需求如下:
        
u   公司所有的常用软件的安装文件共享到一台文件服务器上。
u   员工工作文档需要可靠存储、方便访问。局长可读取和修改全公司文档。科长可读取和修改部门文档。普通员工可读取本部门的文档和修改自己的文档。
u   在文件服务器上对员工空间限制:普通员工最大100MB,科长最大1000MB,局长的使用空间不限制。
u   在文件服务器上的重要文档有定期备份。
u   审核员工登陆和访问文档的行为。
 
     III 打印机管理:
         公司对打印的需求如下:
l   局长和财务部使用一台打印设备,运行科、保护科、变电配料、巡检科使用一台,招标办公室、工程部、工会使用一台,对标办公室、抢险办公室、人力资源使用一台。
l   局长的优先级高于科长,科长的优先级高于普通员工。
    
     IIII 访问internet
l   员工可以上网查资料
l   监控员工上网行为
三、项目规划
       
 
       要组建windows办公网络,首先要规划IP地址,然后考虑域环境采用单域还是多域结构。接下来考虑帐户、文件和打印服务
等内容。
 
     规划IP地址
      
       本项目中IP地址采用192.168.0.0/24网段。 计算机的默认网关为 192.168.0.1-192.168.0.10之间的IP,客户机占用192.168.0.11以上的IP。具体分配方案见下表。
IP地址分配表
计算机名称
IP 地址
子网掩码
首选DNS服务器地址
DC1
192.168.0.2
255.255.255.0
192.168.0.2
DC2
192.168.0.3
255.255.255.0
192.168.0.2
Filesvr
192.168.0.4
255.255.255.0
192.168.0.2
Printsvr1
192.168.0.5
255.255.255.0
192.168.0.2
Printsvr2
192.168.0.6
255.255.255.0
192.168.0.2
Printsvr3
192.168.0.7
255.255.255.0
192.168.0.2
Printsvr4
192.168.0.8
255.255.255.0
192.168.0.2
Daili
192.168.0.9
255.255.255.0
192.168.0.2
客户机
192.168.0.X
255.255.255.0
192.168.0.2
 
     II 规划域
     
        根据网络规模及集中管理和结构简单原则采用单域结构,域名为angerfire.cn。域多域结构相比,实现网络资源集中管理,并保障管理上的简单性和低成本。
        在域内按照部门名称划分组织单位(OU),即创建11个组织单位,分别是运行科,保护科,变配电科,巡检科,人力资源,招标办公室,对标办公室,财务办公室,工程部,抢险办公室、工会,用于存储和管理各部门的用户帐户、组及打印机等资源。整个域结构与公司管理结构相匹配可以实现资源的层次管理,如下图所示。
       
        域控制器作为整个域的核心服务器,完成对公司所有员工的帐户管理和安全策略的实施,为保证其可靠性,需要安装2台域控制器。
 
III 规划用户帐户和组
    在各部门的OU中分别为该部门员工创建唯一的域用户帐户,帐户名为员工姓名的拼音,例如“songyang”。初始密码为“123.com”,并要求域用户帐户在首次登陆时更改密码。密码最小长度为8,并且符合复杂性要求。
   为每个部门创建全局组,命名见下表
                        用户组规划表
部门
全局组
运行科
Yunxing
保护科
Baohu
变配电科
Bianpeidianliao
巡检科
Xunjian
人力资源
Renliziyuan
招标办公室
Zhaobiao
对标办公室
Duibiao
财务办公室
Caiwu
工程部
Gongcheng
抢险办公室
Qiangxian
工会
局长办公室
Gonghui
Juzhang
并将同部门的员工帐户分别加入各部门的全局组。
 
IIII 规划文件服务器
     通过一台专用文件服务器存储公共文件以及员工的工作文档。文件服务器的C盘容量为10G(安装操作系统和软件),D盘容量大于100GB,并采用NTFS文件系统。在D盘的一个文件夹“software”存放公共文件,如常用软件、规章制度等。另一个文件夹“share”,存放部门和员工的工作文档。
 
     D:\share下为每个部门建立文件夹,部门文件夹下创建每个员工的文件夹。配置共享权限和NTFS权限,保障文件只被授权的用户访问。权限的配置应遵循AGDLP规则。避免直接为用户授权,除非该文件夹只有一个员工访问。文件服务器权限设置见下表。
文件夹权限设置
文件夹名
共享权限
NTFS 权限
D:\software
Everyone 读取
Everyone 读取
D:\share
Everyone 完全控制
Everyone 列出文件夹目录,总经理完全控制
D:\share\ 运行科
全局组yunxing读取、本部门经理和总经理完全控制
D:\share\ 保护科
全局组baohu读取、本部门经理和总经理完全控制
D:\share\ 变配电科
全局组bianpeidianliao读取、本部门经理和总经理完全控制
D:\share\ 巡检科
全局组xunjian读取、本部门经理和总经理完全控制
D:\share\ 人力资源
全局组renliziyuan读取、本部门经理和总经理完全控制
D:\share\ 招标办公室
全局组zhaobiao读取、本部门经理和总经理完全控制
D:\share\ 对标办公室
全局组duibiao读取、本部门经理和总经理完全控制
D:\share\ 财务办公室
全局组caiwu读取、本部门经理和总经理完全控制
D:\share\ 工程部
全局组gongcheng读取、本部门经理和总经理完全控制
D:\share\ 抢险办公室
全局组qiangxian读取、本部门经理和总经理完全控制
D:\share\ 工会
 
D:\share\ 局长办公室
 
 
全局组gonghui读取、本部门经理和总经理完全控制
全局组juzhang读取、本部门经理和总经理完全控制
 
  
在文件服务器上,普通员工最大使用空间为100MB,部门经理最大使用空间为1000MB,总经理的使用空间不限制。
在文件上传类型上限制只允许上传.doc .xls .ppt .wps .txt .rar 这些办公文件类型。
 
   对于重要的文件夹要制定备份策略,可以采用常规备份+差异备份的策略,按任务计划自动执行。
 IIIII 规划打印系统
     根据公司需求,需要采购4台打印设备(HP laserjet 1020)。4台设备分别安装在打印服务器printsrv1printsrv2printsrv3printsrv4 上,printsrv1供局长办公室和财务办公室使用,printsrv2供,printsrv3供招标办公室、工程部、工会使用,printsrv4供对标办公室、抢险办公室、人力资源使用。
局长、科长和普通员工的优先级分别规划为90501。还要规划逻辑打印机的权限,见下表。
打印机权限
服务器名
打印机共享名
优先级
打印权限
printsrv1
HP1020_1_1
90
局长打印
printsrv1
HP1020_1_2
50
科长打印
printsrv1
HP1020_1_3
1
全局组 caiwu 打印
printsrv2
HP1020_2_1
50
科长打印
printsrv2
HP1020_2_2
1
全局组 yunxing baohu biandianpeiliao xunjian 打印
printsrv3
HP1020_3_1
50
科长打印
printsrv3
HP1020_3_2
1
全局组 zhaobiao gongcheng gonghui 打印
printsrv4
HP1020_4_1
50
科长打印
printsrv4
 
 
 
HP1020_4_2
1
全局组 duibiao qiangxian renliziyuan 打印
 
 
IIIIII 规划上网方式
     公司租用一条100M专线上网。采用代理服务器软件使公司局域网接入internet。防火墙/代理服务器软件使用微软应用级防火墙ISA2006。代理服务器的专用连接的IP192.168.0.1,公共连接与100M专线连通,IP地址从ISP动态获得。启用代理协议是HTTP。使用域策略完成客户端的统一配置,实现共享上网。并启用防火墙策略对用户上网行为进行监控并阻绝一切不使用的网络通信。
 
 
(三)分析
 
通过上面的案例,我们发现:目前国内信息化项目此起彼伏,而企业内部网络的安全规划则是我们的重中之重。
而我们却习惯性的认为安全就要靠防火墙,安全就要靠杀毒软件。殊不知这些都是解决表面问题的手段。
一个真正意义上安全的网络首先是需要一个安全强壮的网络拓扑结构,其次是基于强壮骨架之上的服务。而我们所面对的安全问题从应用层去解决的方法其实就在我们所熟知的micsoft产品中---windows域。
在基于域环境的计算机管理手段中策略正式我们强行管理企业内部网络的钢铁法则。域环境之所以强大,之所以安全也正是域的管理模式是基于法则的。
一个社会之所以安定,是要一部不断健全的法律来支持的。而我们windows域环境正是以这样的结构和方式去对域中的计算机、帐户等资源进行统一集中管理的。今天抛砖引玉,以这样的方案提出了域的概念,而对域更深层次的理解以及更详细的应用,请见下篇:《深入理解域概念之开国篇》




本文转自 angerfire 51CTO博客,原文链接:http://blog.51cto.com/angerfire/72860,如需转载请自行联系原作者

这篇关于AD集成方案之中国计算机报原稿的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!



http://www.chinasem.cn/article/356830

相关文章

无人叉车3d激光slam多房间建图定位异常处理方案-墙体画线地图切分方案

墙体画线地图切分方案 针对问题:墙体两侧特征混淆误匹配,导致建图和定位偏差,表现为过门跳变、外月台走歪等 ·解决思路:预期的根治方案IGICP需要较长时间完成上线,先使用切分地图的工程化方案,即墙体两侧切分为不同地图,在某一侧只使用该侧地图进行定位 方案思路 切分原理:切分地图基于关键帧位置,而非点云。 理论基础:光照是直线的,一帧点云必定只能照射到墙的一侧,无法同时照到两侧实践考虑:关

跨国公司撤出在华研发中心的启示:中国IT产业的挑战与机遇

近日,IBM中国宣布撤出在华的两大研发中心,这一决定在IT行业引发了广泛的讨论和关注。跨国公司在华研发中心的撤出,不仅对众多IT从业者的职业发展带来了直接的冲击,也引发了人们对全球化背景下中国IT产业竞争力和未来发展方向的深思。面对这一突如其来的变化,我们应如何看待跨国公司的决策?中国IT人才又该如何应对?中国IT产业将何去何从?本文将围绕这些问题展开探讨。 跨国公司撤出的背景与

高效+灵活,万博智云全球发布AWS无代理跨云容灾方案!

摘要 近日,万博智云推出了基于AWS的无代理跨云容灾解决方案,并与拉丁美洲,中东,亚洲的合作伙伴面向全球开展了联合发布。这一方案以AWS应用环境为基础,将HyperBDR平台的高效、灵活和成本效益优势与无代理功能相结合,为全球企业带来实现了更便捷、经济的数据保护。 一、全球联合发布 9月2日,万博智云CEO Michael Wong在线上平台发布AWS无代理跨云容灾解决方案的阐述视频,介绍了

Android平台播放RTSP流的几种方案探究(VLC VS ExoPlayer VS SmartPlayer)

技术背景 好多开发者需要遴选Android平台RTSP直播播放器的时候,不知道如何选的好,本文针对常用的方案,做个大概的说明: 1. 使用VLC for Android VLC Media Player(VLC多媒体播放器),最初命名为VideoLAN客户端,是VideoLAN品牌产品,是VideoLAN计划的多媒体播放器。它支持众多音频与视频解码器及文件格式,并支持DVD影音光盘,VCD影

计算机毕业设计 大学志愿填报系统 Java+SpringBoot+Vue 前后端分离 文档报告 代码讲解 安装调试

🍊作者:计算机编程-吉哥 🍊简介:专业从事JavaWeb程序开发,微信小程序开发,定制化项目、 源码、代码讲解、文档撰写、ppt制作。做自己喜欢的事,生活就是快乐的。 🍊心愿:点赞 👍 收藏 ⭐评论 📝 🍅 文末获取源码联系 👇🏻 精彩专栏推荐订阅 👇🏻 不然下次找不到哟~Java毕业设计项目~热门选题推荐《1000套》 目录 1.技术选型 2.开发工具 3.功能

【区块链 + 人才服务】区块链集成开发平台 | FISCO BCOS应用案例

随着区块链技术的快速发展,越来越多的企业开始将其应用于实际业务中。然而,区块链技术的专业性使得其集成开发成为一项挑战。针对此,广东中创智慧科技有限公司基于国产开源联盟链 FISCO BCOS 推出了区块链集成开发平台。该平台基于区块链技术,提供一套全面的区块链开发工具和开发环境,支持开发者快速开发和部署区块链应用。此外,该平台还可以提供一套全面的区块链开发教程和文档,帮助开发者快速上手区块链开发。

从戴尔公司中国大饭店DTF大会,看科技外企如何在中国市场发展

【科技明说 | 科技热点关注】 2024戴尔科技峰会在8月如期举行,虽然因事未能抵达现场参加,我只是观看了网上在线直播,也未能采访到DTF现场重要与会者,但是通过数十年对戴尔的跟踪与观察,我觉得2024戴尔科技峰会给业界传递了6大重要信号。不妨简单聊聊:从戴尔公司中国大饭店DTF大会,看科技外企如何在中国市场发展? 1)退出中国的谣言不攻自破。 之前有不良媒体宣扬戴尔将退出中国的谣言,随着2

JavaFX应用更新检测功能(在线自动更新方案)

JavaFX开发的桌面应用属于C端,一般来说需要版本检测和自动更新功能,这里记录一下一种版本检测和自动更新的方法。 1. 整体方案 JavaFX.应用版本检测、自动更新主要涉及一下步骤: 读取本地应用版本拉取远程版本并比较两个版本如果需要升级,那么拉取更新历史弹出升级控制窗口用户选择升级时,拉取升级包解压,重启应用用户选择忽略时,本地版本标志为忽略版本用户选择取消时,隐藏升级控制窗口 2.

如何选择SDR无线图传方案

在开源软件定义无线电(SDR)领域,有几个项目提供了无线图传的解决方案。以下是一些开源SDR无线图传方案: 1. **OpenHD**:这是一个远程高清数字图像传输的开源解决方案,它使用SDR技术来实现高清视频的无线传输。OpenHD项目提供了一个完整的工具链,包括发射器和接收器的硬件设计以及相应的软件。 2. **USRP(Universal Software Radio Periphera

【Shiro】Shiro 的学习教程(三)之 SpringBoot 集成 Shiro

目录 1、环境准备2、引入 Shiro3、实现认证、退出3.1、使用死数据实现3.2、引入数据库,添加注册功能后端代码前端代码 3.3、MD5、Salt 的认证流程 4.、实现授权4.1、基于角色授权4.2、基于资源授权 5、引入缓存5.1、EhCache 实现缓存5.2、集成 Redis 实现 Shiro 缓存 1、环境准备 新建一个 SpringBoot 工程,引入依赖: