前幾天，某電力公司的信息主管(一位剛剛上任的朋友)打電話過來問：“有沒有好一點的網管軟件?現在機子多了，人手一機，問題越來越多了，相互猜密碼的、丟資料的、丟賬號的、系統整天崩潰的、在工位上玩游戲的、亂用打印機的……總之很亂，也不好管理。就算自己看見了，因為平時關系不錯，也不好意思說，就是說了也起不到多大作用。我這個信息主管實在是有名無實啊。”我聽完以后十分感慨，微軟的桌面系統進入中國市場這么久，竟然還有這么多人不知道Windows域服務才是管理桌面的利器。那么，今天我們就來分享一下給這位友人提出的解決方案。

　　對多用戶管理缺乏層次

　　某市某供電局，有員工200人左右和12個業務或支撐部門。為了滿足公司未來發展和日常運營管理的安全需求，公司決定重新部署企業網絡。公司計劃部署一個由200臺計算機組成的局域網，用于完成企業數據通信和資源共享。

　　與公司管理結構相匹配的域結構示意圖

　　公司已有一個局域網，運行200臺計算機，服務器操作系統是Windows Server 2003，客戶端的操作系統是Windows XP，工作在工作組模式下，員工一人一機辦公。公司從ISP申請100M專線，采用代理方式上網。由于計算機比較多，管理上缺乏層次，公司希望能夠利用Windows域環境管理所有網絡資源，提高辦公效率，加強內部網絡安全，規范計算機使用。

　　按單域規劃辦公網絡

　　要組建Windows辦公網絡，首先要規劃IP地址，然后再根據域環境決定是采用單域還是多域結構，最后考慮賬戶、文件和打印服務等內容。

　　規劃IP地址 本項目中IP地址采用192 . 168 . 0 . 0/24網段。 計算機默認網關為 192 . 168 . 0 . 1～192 . 168 . 0 . 10之間的IP，客戶機占用192 . 168 . 0 . 11以上的IP。

　　規劃域 根據網絡規模、集中管理與結構簡單原則，公司決定采用單域結構，域名為angerfire . cn。與多域結構相比，它能實現網絡資源集中管理并保障管理上的簡單性和低成本。在域內按照部門名稱劃分組織單位(OU)，分別是運行科、保護科、變配電科、巡檢科、人力資源科、招標辦公室、對標辦公室、財務辦公室、工程部、搶險辦公室、工會和局長辦公室(見表1)，用于存儲和管理各部門的用戶資源。整個域結構與公司管理結構相匹配，可以實現網絡資源的層次管理。域控制器作為整個域的核心服務器，完成對公司所有員工的賬戶管理和安全策略的實施。

　　表1 用戶組規劃表

#p#副標題#e#

　　規劃用戶賬戶和組 在各部門的OU中分別為該部門員工創建唯一的域用戶賬戶，并要求域用戶賬戶在首次登錄時更改密碼。密碼最小長度為8位，并且符合復雜性要求。為每個部門創建全局組，并將同部門的員工賬戶分別加入各部門的全局組。

　　規劃文件服務器 通過一臺專用文件服務器存儲公共文件以及員工的工作文檔。文件服務器的C盤容量為10GB(安裝操作系統和軟件)，D盤容量大于100GB，并采用NTFS文件系統。在D盤的一個名為software的文件夾中存放公共文件，如常用軟件、規章制度等。另一個名為share的文件夾存放部門和員工的工作文檔。

　　在D:share下為每個部門建立文件夾，部門文件夾下創建每個員工的文件夾，并為每個用戶配置共享權限和NTFS權限，保障文件只被授權的用戶訪問(見表2)。權限的配置應遵循AGDLP規則，避免直接為用戶授權，除非該文件夾只有一個員工訪問。

　　表2 文件夾權限設置表

　　在文件服務器上，普通員工最大使用空間為100MB，部門經理的最大使用空間為1000MB，總經理的最大使用空間不受限制。在文件上傳類型方面，只允許上傳文件后綴為.doc、.xls、.ppt、.wps、.txt、.rar 的文件。對重要的文件夾要制定備份策略，可以采用常規備份加差異備份的策略，按任務計劃自動執行。

　　規劃打印系統 根據公司需求，需要采購4臺打印設備(HP Laserjet 1020)。4臺設備分別安裝在打印服務器printsrv1、printsrv2、printsrv3、printsrv4 上，printsrv1供局長辦公室和財務辦公室使用，printsrv2和printsrv3供招標辦公室、工程部和工會使用，printsrv4供對標辦公室、搶險辦公室和人力資源科使用。局長、科長和普通員工的優先級分別規劃為90、50和1。同時還要規劃邏輯打印機權限。

　　規劃上網方式 公司租用一條100M專線上網。采用代理服務器軟件使局域網接入Internet。防火墻/代理服務器軟件使用微軟應用級防火墻ISA2006。代理服務器的專用連接IP為192 . 168 . 0 . 1，公共連接與100MB專線連通，IP地址從ISP那里動態獲得，啟用的代理協議是HTTP，使用域策略完成客戶端的統一配置，實現共享上網，啟用防火墻策略對用戶上網行為進行監控并阻絕一切不適用的網絡通信。

　　啟示：遵從法則更重要

　　目前信息化項目層出不窮，內部網絡的安全規劃是重中之重。我們通常習慣性地認為安全就要靠防火墻和殺毒軟件。殊不知，這些都是解決表面問題的手段。

　　一個真正意義上的安全網絡，首先需要安全強壯的網絡拓撲結構，其次是基于強壯骨架之上的服務。而應用層的解決方法其實就在我們所熟知的Windows域中。在基于域環境的計算機管理手段中，策略是強行管理企業內部網絡的鋼鐵法則。域環境之所以強大，之所以安全，也正是由于域的管理模式是基于法則的。