五一期間應朋友要求幫忙去安裝他公司的網絡,網絡不大,不過基本上包括了通過網絡安裝客戶機、域結構建立、組策略設計和網絡殺毒等等,其他網絡都可以在此基礎上進行擴充,希望對大家有所幫助。
先說說基本情況:朋友的公司是一個合資工廠,現在在籌建期間,他就屬於總管一類的角色,除了技術,雜七雜八的事都歸他管。現在的公司電腦是不可少的,大約60多臺。很可氣的一點,公司各部門各工種人員配置非常齊全,可老闆不願招IT支持人員。所以他要求儘量減少員工對電腦進行更改的機率,並都能順利的互相訪問、打印文件,還要上網(唉,這是他爲自己準備的)。
先做吧……
注:請不要在意文中的數字,我想數目不能決定什麼,關鍵是設計思路和實現方法)
一、 域的組建1.服務器配置因爲只有本地辦公,所以只需要單域就夠了。服務器是三臺IBM 服務器,*作系統是WINDOWS 2000 SERVER版(也不一定要三臺,實際上一臺也能完成這些服務,至於用不用高級服務器版隨你便了)。
SERVER(192.168.0.1):主域控制器,域名final.com,IP192.168.0.1;並配置爲主DNS服務器(轉發DNS請求到ISP的DNS服務器IP,這樣當客戶機的DNS指向SERVER時不僅可以正常使用局域網也可以訪問Internet);安裝WINS服務。
SERVER2(192.168.0.2):備份域控制器,DHCP服務器,建立作用域192.168.0.0/24,提供192.168.0.10~192.168.0.100(具體提供多少IP地址請根據需要自定,關鍵是請留出一部分IP給服務器用);配置作用域選項,其中網關爲192.168.0.254(寬帶共享路由器),DNS、WINS服務器地址爲192.168.0.1. SERVER3(192.168.0.3):備用。
如果爲了穩定,可以在SERVER2上配置爲DNS爲主DNS的備份區域及GC,這樣即使SERVER因調試重啓或故障暫時不能使用時保證客戶機仍可正常使用網絡。
請不要問我如何安裝DC、DNS、DHCP、WINS服務,微軟的設計簡直就是*瓜化的安裝。
2.OU的建立公司有人事部、行政部、財務部、工程部、市場部五個部門(虛擬的)。
爲了管理及配置策略方便,建立以下OU層級。
建立一級OU名爲“FINAL”,“FINAL”下建三個二級OU,分別爲“管理員”、“公司領導”、“部門”。在“部門”下按部門名稱建立五個部門OU.在每個二級OU和**OU下分別建立安全組和用戶,並把用戶加入相應的安全組。
用戶帳號建立原則:以公司花名冊爲準,用員工工號爲登錄名建立用戶帳號,建立後移動到相應的部門OU,並加入相應的安全組,員工的帳號均爲Domain Users組。
如在“管理員”OU裏建立“管理組”,建立用戶“000”,並把用戶“000”加入安全組“管理組”;在OU“部門”-“人事部”下建立用戶“004”,加入安全組“人事組”。
建立用戶帳號的時候請完整輸入用戶的姓名資料,以便日後若安裝Exchange時使用。
請注意:這時OU裏並沒有計算機帳號,因爲在設計OU時客戶機並沒有安裝,請看後面的客戶機安裝。
3.組策略及網絡使用按以上設計的OU層級,可以在公司、管理層次、功能部門分別設計相應的組策略。以下舉兩個實例以供參考。
例一:限制客戶機登錄用戶客戶機加入域後(客戶機的安裝及配置見後),默認情況下任何一個域帳號可以在任何一臺客戶機登錄到域使用該臺客戶機。可我朋友公司的人竟然不接受這個觀點,說這樣子豈不是每個人的電腦其他人都可以打開了,不安全,要給每臺電腦再加上CMOS開機密碼。當時我氣的差點兒六孔噴血而亡(當時正在吃KFC,嘴裏不會吐出來的)。
在我幾番耐心講解,告訴他們“電腦應做爲公司一種共享的辦公設備,而不是某個單用的電腦。任何一個連入網絡的設備(電腦、打印機)都是網絡的一部分,都是公司的資源”。終於達成以下協議,每個部門的人只能登錄該部門的電腦。這一點從一定程度上增加了客戶機的安全性。
在**OU,如“人事部”上創建組策略,在“計算機設置”-“本地策略”-“用戶權利指派”-“在本地登錄”,設置Domain Admin組和“人事組”有效,這樣只有管理員和人事部的人才能登錄人事部的電腦了。其他部門分別添加相應組策略。
例二:網絡共享的設計及文件夾重定向由於給用戶的是Domain User的權限,所以用戶不能共享本地的文件,那麼如何解決用戶文件共享的需要呢?這就要求在服務器上有管理員統一設置了。
服務器上的共享:在SERVER3上建立一個文件夾“DATA”,並完全共享,共享名爲默認的“DATA”。在“DATA”文件夾下建立“SHARE DOCUENT”文件夾,在此文件夾建立每個部門的文件夾並設置NTFS權限。
其中DATA,Share document文件夾設置Domain Admin組,SYSTEM完全控制,Everyone只讀;部門文件夾的NTFS權限設置爲Domain admin組和本部門安全組有完全控制權限,Everyone只讀。
用戶帳號配置:建立用戶帳號時,爲用戶配置“主文件夾”,連接到服務器上的本部門文件夾。
圖中的部門文件夾路徑應爲完整的UNC,如 “\\server3\data\share document\人事部”。
這樣設置當用戶登錄後在“我的電腦”裏會多一個網絡映射Z盤,映射到用戶本部門共享文件夾,用戶可以把需要共享的文件拷貝到Z盤,其他用戶就可以通過共享訪問。
放在共享裏的文件,本部門人的有完全控制權限,其他部門人具有隻讀權限。用戶可以進一步在本部門文件夾內建立自己的文件夾,並設置更嚴格的權限。有些用戶可能沒有固定的電腦,個人文件放在部門共享文件夾裏會有一些問題出現。一是安全性有待進一步設計,二是用戶對共享不是很熟悉,多數人不會去設置文件夾安全屬性。考慮到這一點,再加上文件存放的方便性,我做了文件夾重定向。
在一級OU FINAL上添加組策略,這是爲了保證域內所有的用戶的My Document文件夾都存放到服務器上。
組策略-用戶配置-Windows設置-文件夾重定向,設置My Document屬性,設置"基本-將每個人的文件夾定向到同一位置","目錄文件夾位置"爲file://Server3/Data/User Document/%username.以上的設計完成了兩個通過網絡共享方案:(1)存放在My Document裏的文件,用戶無論在哪臺客戶機登錄時均可正常訪問,且只有自己可以訪問;(2)各部門可在服務器上共享文件,且只有本部門有修改權限。
還可以在服務器上再建立一個文件夾,讓所有用戶均可以任意讀寫的權限。
再提一點,爲了防止用戶在服務器上存放垃圾文件並提高服務器的利用率,在Server3上啓用磁盤限額,每個用戶默認限制使用100M.這裏的100M是用戶存放在My Document和部門共享文件夾裏的文件總和。
組策略的設計關鍵在於你有什麼需求,有了需求再去設計該用什麼策略來完成它。
首先,要確定所需策略設置的類型。策略設置通常劃分爲以下幾部分:
l 安全設置。
l 要部署的應用程序包。
l 計算機系統設置。
l 用戶環境設置。
l 特定於應用程序的設置。
本文來自CSDN博客,轉載請標明出處:http://blog.csdn.net/RockyOnFire/archive/2008/11/29/3410338.aspx