最近公司一個部門要求實現技術部門全部斷互聯網,使用5臺上網機查詢資料並上傳到某服務器的某個共享目錄(讀寫權限),技術部其他PC使用共享訪問該目錄(只讀權限);公共上網PC只安裝OFFICE、PDF reader、解壓縮、qq、時鐘同步等幾個軟件,並且不能隨意安裝軟件;公共PC不能向其他網段機器傳送文件,不能使用USB。禁止非法PC使用公共上網機。
看似比較簡單,其實分析分析,還是有很多事情要做:
1、涉及到3個網段,公共上網機vlan2,技術部vlan3,服務器vlan4。
vlan2只能與交換機、路由器和服務器vlan4通訊;vlan3只能與服務器vlan4通訊,禁止互聯網及其他內部網絡;
2、公共上網機需要加入域。
3、用戶問題。
應該要涉及三個域用戶,分別是登錄公共上網機的域用戶,技術部訪問服務器共享目錄的域用戶,公共上網機上傳資料到服務器共享目錄的域用戶(不能與登錄公共上網機的域用戶一樣,否則技術部可能使用它偷偷的上傳資料,因爲它有讀寫權限)
4、綁定MAC地址。
5、BIOS以及註冊表禁止USB。
6、去掉簡單文件共享,組策略中修改“網絡訪問:本地賬戶的共享和安全模型”爲經典模式。
7、其他的一些配置:
1)賦予登錄公共上網機的域用戶讀寫c:\program files\tencent\qq\files 文件夾的權限(qq寫文件必須用到)。
2)高級語言文字(qq可能用到)
3)配置防火牆等等
下面就是基本的網絡拓撲:
用戶權限示意圖:
這樣的話,基本上步驟就比較清晰了。
1)安裝公共上網機,基本配置包括硬件還有操作系統、計算機名,軟件,只保留administrator用戶並設置複雜密碼,這都交給系統管理員去做了。
2)公共上網機配置IP、dns,加域。
3)其他配置,如去掉簡單文件共享,更改網絡訪問方式。
4)在域服務器添加三個域用戶ABC,建立並共享目錄,分別對B用戶賦予讀寫權限,對C用戶賦予只讀權限。
5)將域用戶A放置在組織單位publicpc中,並在域組策略中對該組織單位強制實行以下組策略:
用戶配置->策略->Windows設置->腳本(登錄/註銷)中登錄添加如下腳本:
netuse.bat
net use Z: \\[serverIP]\[共享目錄名] [域用戶B的密碼] /USER:[域名]\[[域用戶B]
6)使用域用戶A登錄公共上網機,並綁定公共上網機的計算機名。
7)三層交換機綁定公共上網機的mac地址
例cisco3750: arp [公共上網機IP] [mac地址] ARPA
以上就是大體的配置過程,有不妥的地方敬請指點。