資源描述:
《局域網(wǎng)安全配置方案》由會員上傳分享�,免費在線閱讀���,更多相關(guān)內(nèi)容在行業(yè)資料-天天文庫。
1����、局域網(wǎng)安全配置方案目錄:(一)規(guī)劃OU層次結(jié)構(gòu)(二)創(chuàng)建并啟用安全模板(三)添加管理模板(四)其他的安全設(shè)置(五)規(guī)劃和實現(xiàn)軟件更新服務(wù)(六)安裝和配置IIS(七)FTP服務(wù)器架設(shè)(八)IIS安全設(shè)置(九)設(shè)置安全的虛擬主機(jī)訪問權(quán)限規(guī)劃OU層次結(jié)構(gòu)根據(jù)業(yè)務(wù)單位管理委派和"組策略"要求規(guī)劃OU層次結(jié)構(gòu)是創(chuàng)建委派模型的首要步驟之一。設(shè)計良好的OU層次結(jié)構(gòu)應(yīng)當(dāng)可以滿足組織的"組策略"要求���,同時還可根據(jù)組織的管理要求簡化管理授權(quán)的委派�����。設(shè)計OU結(jié)構(gòu)時��,應(yīng)記住一個基本等式:簡單性+適用性=可持續(xù)性���。如果OU設(shè)計過于簡單,則它可能并不適用�,因此將不得不過于頻
2����、繁地進(jìn)行更改���。如果OU設(shè)計適用性過強(qiáng)���,則所有內(nèi)容都將被分類,這會使情況變得過于復(fù)雜����。有三個關(guān)于組策略、委派和對象管理的關(guān)鍵原則�����,它們可為我們的設(shè)計決策提供指導(dǎo)���?��! ?是否需要創(chuàng)建此OU結(jié)構(gòu),以便可對其應(yīng)用唯一的組策略對象(GPO)??特定管理員組是否需要對此OU中的對象具有權(quán)限??此新OU是否會使其內(nèi)部對象管理變得更為輕松?如果上述任一問題的答案均為“是”����,則可以建此OU�����。如果所有三個問題的答案均為“否”��,則應(yīng)重新考慮布局并確定其他設(shè)計是否更加合適�����。選擇模型幾乎任何模型都可以實現(xiàn)小范圍的成功,但隨著企業(yè)的擴(kuò)大�����,我們對環(huán)境的處理能力會逐漸縮減�����。因此
3�、,首先在充分的實驗室環(huán)境中對我們的模型進(jìn)行全面測試�����。盡管最初可以很輕松地更改OU結(jié)構(gòu)�����,但這些結(jié)構(gòu)實施的時間越長,就越難以更改���。以下介紹三種常見的OU結(jié)果模型���。淺模型56 “淺模型”的名稱源自它大多保持平整這一事實。在此模型中�,幾個高級別的OU包含絕大多數(shù)對象。此模型主要在小型企業(yè)中運(yùn)用��。為避免對性能產(chǎn)生負(fù)面影響�,建議子OU數(shù)不要超過10個,盡管Microsoft提出的子OU限制數(shù)是15個�。保持OU結(jié)構(gòu)范圍廣泛(而不是深度)的一個優(yōu)勢是ActiveDirectory搜索速度將更快。圖1(淺模型)地理模型 在地理模型中���,主要是針對不同的地理區(qū)域創(chuàng)
4�����、建單獨的OU�。此模型最適合用于企業(yè)部門分散但不希望因操作多個域而帶來成本的組織。56圖2(地理模型)基于類型的模型 基于類型的模型按用途來分類對象�����。當(dāng)我們創(chuàng)建上一個用戶對象時�����,它是用于普通用戶帳戶�����、管理帳戶還是服務(wù)帳戶?在基于類型的模型中���,上述每種對象的處理方式均不同。圖3(基于類型的模型)實例: 創(chuàng)建OU OU的創(chuàng)建需要在DC(域控制器)中進(jìn)行���,創(chuàng)建步驟如下:1.以Administrator(系統(tǒng)管理員)身份登錄域控制器���。然后依次單擊“開始/管理工具/ActiveDirectory用戶和計算機(jī)”菜單,打開“ActiveDirectory用
5�、戶和計算機(jī)”控制臺窗口。561.在左窗格中用鼠標(biāo)右鍵單擊域名�,并在彈出的快捷菜單中執(zhí)行“新建/組織單位”命令。563.打開“新建對象-組織單位”對話框�����,在“名稱”編輯框中鍵入新的OU的名稱(如“廈門理工”),并單擊“確定”按鈕4.在“廈門理工”組織單位下創(chuàng)建二級組織單位��。565.二級組織單位創(chuàng)建完畢后����,為各個二級組織單位常見下屬OU。6.各個部門的組織單位創(chuàng)建完成后就可以為各個OU分配用戶權(quán)限���。56創(chuàng)建并啟用安全模板安全模板并非WindowsServer2003或XP獨創(chuàng)的功能��,第一次提出這個概念的是NT4.0SP4��。安全模板是每一個管理員都必須
6����、了解的重要工具�。安全模板不會讓你修改不能通過其他方式修改的安全選項,它只是提供了一種快速批量修改安全選項的辦法���。凡是可以利用安全模板設(shè)置的安全選項�����,同樣可以使用Windows的GUI工具手工修改�,但后者耗費的時間肯定多得多。一�、安全模板可以批量修改的五類和安全有關(guān)的設(shè)置1.管理組 2.調(diào)整NTFS權(quán)限 3.啟用和禁用服務(wù)4.調(diào)整注冊表授權(quán)5.控制本地安全策略設(shè)置56二、創(chuàng)建安全模板安全模板其實就是文本文件��,因此從理論上講���,我們可以用記事本來創(chuàng)建安全模板�。不過事實上��,用記事本創(chuàng)建安全模板的工作量相當(dāng)大�,如果改用微軟管理控制臺的安全模板管理單元就要
7、方便多了���。1.首先打開一個空的MMC控制臺�。點擊“開始”→“運(yùn)行”����,輸入“mmc”�����,按Enter鍵打開一個空白的MMC控制臺。2.在該控制臺中�����,點擊“文件”→“添加/刪除管理單元”���,打開“添加/刪除管理單元”對話框��,點擊“添加”打開“添加獨立管理單元”對話框����,在管理單元清單中選擇“安全模板”��,依次點擊“添加”�����、“關(guān)閉”�����、“確定”���。接下來就可以開始設(shè)置安全模板了���。563.在安全模板下的“C:WINDOWSsecuritytemplates”樹形菜單上右鍵選擇添加模板����,輸入新建的模板名與該模板描述���。564.創(chuàng)建完成后展開該模板����,右邊的窗格顯示出
8����、可以利用該安全模板控制的安全選項類別: ⑴帳戶策略:控制密碼策略��、鎖定策略��、Kerberos策略�。 ?��、票镜夭呗裕嚎刂茖徍瞬呗?��、用戶權(quán)
