机。其中前面2种在林范围内起作用,后面3种在域范围内起作用,为了使用所有的操作主机更好的工作,保障正常的工作并且不产生大的复制流量,方案采用了Windows系统默认的设置,根域中第一台DC承担了五种操作主机的角色,每个子域中的 第一台DC承担了域范围内的三种操作主机角色。 4.3.2系统管理设计
在系统设计时包括三个部分,分别是OU,用户及组的设计,为了更好的满足集团的需要,便于系统管理员方便管理企业中的所有用户,系统管理结构与集团的管理结构相匹配,方案中采用了如下所述的设计。
? OU的设计
集团的OU设计目的是为了使用用户管理更有效率,结构更加清晰,并能够使系统的管理结构与集团的商业模型相匹配。在本方案中按部门划分OU的方法,将每个公司中以部门为单位创建OU,并在部门OU中保存该部门的用户帐户,计算机帐户及组采用这种设计的方法,可以在系统管理中清楚的体现公司的管理结构,一般情况下,一个部门内部中的用户常常有相似的安全需求,利用这样的设计方法,也可以方便的将安全策略应用到某个部门。 ? 拥护管理
为了规范用户帐户的管理,系统中所有的用户采用统一的命名规范,每个用户在网络中拥有唯一的登陆名。用户帐户在
所属的部门的OU中创建。 ? 组的管理
为了满足集团用户管理的需求,更好的在网络中管理用户权限的分配,使系统的管理得到最大的简化,方案中采用AGDLP策略及AGUDLP策略。在每个域中创建全局组,用与组织本域的帐户,在没个域中创建域本地组,用于完成权限的指派。在本域内的权限的分配,可以使用AGDLP策略,在域间的权限分配,使得AGDLP策略,依次将用户加入全局组,将全局组加入通用组,在将通用组加入域本地组,最后可以根据需要将权限授予指定的域本地组,采用这样的方式,不仅可以使用户的组织和权限分配简单,也可以减少域间的复制流量,从而提高系统的性能。如图所示: 全局组
用户 用户 通用组 域本地组 通用组 分配权限 全局组
4.3.3系统的安全设计
在设计方案中,安全的设计主要分2个部分,首先是ISA Server的应用,通过ISA Server的配置,建立软件防火墙,保护集团内部网络不受外部用户的攻击,同时利用ISA Server提供的网站过滤功能和服务器发布功能,对企业内部用户的上网行为进行规范,并能保障服务器的安全使用。其次,在方案设计中,充分应用Window系统提供
的组策略功能,利用组策略,可以在每个公司的域中设计安全策略。防止用户进行非授权的访问,保护用户在工作环境不受破坏。具体的设计方案如下:
? ISA Server:ISA Server是微软公司出品的软件防火墙代理服务器产品,它不仅可以起到代理服务器的缓存作用,也能实现防火墙的功能,通过软件防火墙上设置过滤规则,可以控制内部用户对网站的访问,同时利用其提供的服务器发布功能,也可以将企业内部的服务器发布到Internet上,提供互联网的访问,在本方案的设计中,主要利用了网站过滤和服务器发布的功能,在集团中心即房安装和配置ISA服务器,继承防火墙功能和代理服务器的功能,将集团总部及子公司的WEB服务器及MAIL服务器发布到互联网上。集团中所有的客户端做为ISA的客户端,所有的互联网的访问均通过ISA服务器转发,这样,就可以在ISA服务器上对所有网络流量进行监控并对实现网络访问的过滤。具体部署如图:
xuri.com 对外发布WEB MAIL ISA Server 森林 树 ISA Client ISA Client
? 防火墙功能:ISA服务器位于企业网络和外网之间,采用三网卡分别连接内网和外网和DZM区,充分利用防火墙的角色,并利用网站和内容规则来限制用户能够访问的网站 ? 服务器发布:利用ISA服务器将企业中的邮件和WEB服务器发布到互联网上,保证外部用户可以访问公司的WEB服务器,并将公司用户可以与外部客户利用邮件交换信息。 ? 客户端:在所有用户计算机上安装ISA客户端软件,并配置浏览器使用ISA Server作为代理服务器上网。
? 安全策略:在Windows系统中的域模式下,安全策略是保护系统及用户在工作环境不被破坏的重要工具,在本方案中
采用了组策略这个工具对全部系统提供安全保护,由于集团各个子公司采用独立的管理模式,所以在每个域中单独设置组策略,并使组策略应用到每个域中的用户和计算机。各个子公司的系统管理员可以独立的管理子公司的域,并可以在以后修改和编辑组策略,以适应公司未来的需求。在本方案中,根据集团的目前的需求,建立了基本的组策略 ⑴ 密码长度最小值为7 ⑵ 密码最长存留期为30天 ⑶ 密码过期期限为50天 ⑷ 帐户锁定阀值为5次无效登陆 ⑸ 启动密码必须符合复杂性需求策略 五、Windows服务器解决方案 5.1. WEB服务器
微软Windows Server 2003中的IIS 6.0为用户提供了集成的、可靠的、可扩展的、安全的及可管理的内联网、外联网和互联网Web服务器解决方案。IIS 6.0经过改善的结构可以完全满足全球客户的需求。 优点
IIS 6.0 和 Windows Server 2003在网络应用服务器的管理、可用性、可靠性、安全性、性能与可扩展性方面提供了许多新的功能。IIS 6.0同样增强了网络应用的开发与国际性支持。IIS 6.0
大型公司网络规划方案方案 - 图文
