資源描述:
《局域網(wǎng)安全配置方案》由會(huì)員上傳分享�����,免費(fèi)在線閱讀,更多相關(guān)內(nèi)容在行業(yè)資料-天天文庫(kù)����。
1、局域網(wǎng)安全配置方案目錄:(一)規(guī)劃OU層次結(jié)構(gòu)(二)創(chuàng)建并啟用安全模板(三)添加管理模板(四)其他的安全設(shè)置(五)規(guī)劃和實(shí)現(xiàn)軟件更新服務(wù)(六)安裝和配置IIS(七)FTP服務(wù)器架設(shè)(八)IIS安全設(shè)置(九)設(shè)置安全的虛擬主機(jī)訪問(wèn)權(quán)限規(guī)劃OU層次結(jié)構(gòu)根據(jù)業(yè)務(wù)單位管理委派和"組策略"要求規(guī)劃OU層次結(jié)構(gòu)是創(chuàng)建委派模型的首要步驟之一�。設(shè)計(jì)良好的OU層次結(jié)構(gòu)應(yīng)當(dāng)可以滿足組織的"組策略"要求,同時(shí)還可根據(jù)組織的管理要求簡(jiǎn)化管理授權(quán)的委派����。設(shè)計(jì)OU結(jié)構(gòu)時(shí),應(yīng)記住一個(gè)基本等式:簡(jiǎn)單性+適用性=可持續(xù)性����。如果OU設(shè)計(jì)過(guò)于簡(jiǎn)單�����,則它可能并不適用��,因此將不得不過(guò)于頻繁地進(jìn)行更改���。如果OU設(shè)計(jì)適用性過(guò)強(qiáng)�����,則所有內(nèi)
2�����、容都將被分類(lèi)�,這會(huì)使情況變得過(guò)于復(fù)雜。有三個(gè)關(guān)于組策略�、委派和對(duì)象管理的關(guān)鍵原則,它們可為我們的設(shè)計(jì)決策提供指導(dǎo)�����?���! ?是否需要?jiǎng)?chuàng)建此OU結(jié)構(gòu),以便可對(duì)其應(yīng)用唯一的組策略對(duì)象(GPO)??特定管理員組是否需要對(duì)此OU中的對(duì)象具有權(quán)限??此新OU是否會(huì)使其內(nèi)部對(duì)象管理變得更為輕松?如果上述任一問(wèn)題的答案均為“是”�,則可以建此OU。如果所有三個(gè)問(wèn)題的答案均為“否”�����,則應(yīng)重新考慮布局并確定其他設(shè)計(jì)是否更加合適�。選擇模型幾乎任何模型都可以實(shí)現(xiàn)小范圍的成功,但隨著企業(yè)的擴(kuò)大��,我們對(duì)環(huán)境的處理能力會(huì)逐漸縮減。因此��,首先在充分的實(shí)驗(yàn)室環(huán)境中對(duì)我們的模型進(jìn)行全面測(cè)試���。盡管最初可以很輕松地更改OU結(jié)構(gòu)���,但這些
3、結(jié)構(gòu)實(shí)施的時(shí)間越長(zhǎng)���,就越難以更改��。以下介紹三種常見(jiàn)的OU結(jié)果模型�。淺模型56 “淺模型”的名稱源自它大多保持平整這一事實(shí)����。在此模型中��,幾個(gè)高級(jí)別的OU包含絕大多數(shù)對(duì)象����。此模型主要在小型企業(yè)中運(yùn)用。為避免對(duì)性能產(chǎn)生負(fù)面影響���,建議子OU數(shù)不要超過(guò)10個(gè)�����,盡管Microsoft提出的子OU限制數(shù)是15個(gè)��。保持OU結(jié)構(gòu)范圍廣泛(而不是深度)的一個(gè)優(yōu)勢(shì)是ActiveDirectory搜索速度將更快��。圖1(淺模型)地理模型 在地理模型中��,主要是針對(duì)不同的地理區(qū)域創(chuàng)建單獨(dú)的OU����。此模型最適合用于企業(yè)部門(mén)分散但不希望因操作多個(gè)域而帶來(lái)成本的組織。56圖2(地理模型)基于類(lèi)型的模型 基于類(lèi)型的模型按用途
4��、來(lái)分類(lèi)對(duì)象��。當(dāng)我們創(chuàng)建上一個(gè)用戶對(duì)象時(shí)����,它是用于普通用戶帳戶、管理帳戶還是服務(wù)帳戶?在基于類(lèi)型的模型中���,上述每種對(duì)象的處理方式均不同��。圖3(基于類(lèi)型的模型)實(shí)例: 創(chuàng)建OU OU的創(chuàng)建需要在DC(域控制器)中進(jìn)行���,創(chuàng)建步驟如下:1.以Administrator(系統(tǒng)管理員)身份登錄域控制器����。然后依次單擊“開(kāi)始/管理工具/ActiveDirectory用戶和計(jì)算機(jī)”菜單�,打開(kāi)“ActiveDirectory用戶和計(jì)算機(jī)”控制臺(tái)窗口。561.在左窗格中用鼠標(biāo)右鍵單擊域名��,并在彈出的快捷菜單中執(zhí)行“新建/組織單位”命令�。563.打開(kāi)“新建對(duì)象-組織單位”對(duì)話框,在“名稱”編輯框中鍵入新的OU的
5�、名稱(如“廈門(mén)理工”),并單擊“確定”按鈕4.在“廈門(mén)理工”組織單位下創(chuàng)建二級(jí)組織單位����。565.二級(jí)組織單位創(chuàng)建完畢后,為各個(gè)二級(jí)組織單位常見(jiàn)下屬OU���。6.各個(gè)部門(mén)的組織單位創(chuàng)建完成后就可以為各個(gè)OU分配用戶權(quán)限。56創(chuàng)建并啟用安全模板安全模板并非WindowsServer2003或XP獨(dú)創(chuàng)的功能����,第一次提出這個(gè)概念的是NT4.0SP4�。安全模板是每一個(gè)管理員都必須了解的重要工具����。安全模板不會(huì)讓你修改不能通過(guò)其他方式修改的安全選項(xiàng),它只是提供了一種快速批量修改安全選項(xiàng)的辦法��。凡是可以利用安全模板設(shè)置的安全選項(xiàng)�,同樣可以使用Windows的GUI工具手工修改,但后者耗費(fèi)的時(shí)間肯定多得多����。一、安
6����、全模板可以批量修改的五類(lèi)和安全有關(guān)的設(shè)置1.管理組 2.調(diào)整NTFS權(quán)限 3.啟用和禁用服務(wù)4.調(diào)整注冊(cè)表授權(quán)5.控制本地安全策略設(shè)置56二、創(chuàng)建安全模板安全模板其實(shí)就是文本文件�����,因此從理論上講���,我們可以用記事本來(lái)創(chuàng)建安全模板�����。不過(guò)事實(shí)上���,用記事本創(chuàng)建安全模板的工作量相當(dāng)大����,如果改用微軟管理控制臺(tái)的安全模板管理單元就要方便多了��。1.首先打開(kāi)一個(gè)空的MMC控制臺(tái)�。點(diǎn)擊“開(kāi)始”→“運(yùn)行”,輸入“mmc”����,按Enter鍵打開(kāi)一個(gè)空白的MMC控制臺(tái)。2.在該控制臺(tái)中�����,點(diǎn)擊“文件”→“添加/刪除管理單元”�,打開(kāi)“添加/刪除管理單元”對(duì)話框,點(diǎn)擊“添加”打開(kāi)“添加獨(dú)立管理單元”對(duì)話框��,在管理單元清單中
7����、選擇“安全模板”,依次點(diǎn)擊“添加”�����、“關(guān)閉”��、“確定”����。接下來(lái)就可以開(kāi)始設(shè)置安全模板了。563.在安全模板下的“C:WINDOWSsecuritytemplates”樹(shù)形菜單上右鍵選擇添加模板����,輸入新建的模板名與該模板描述。564.創(chuàng)建完成后展開(kāi)該模板����,右邊的窗格顯示出可以利用該安全模板控制的安全選項(xiàng)類(lèi)別: ⑴帳戶策略:控制密碼策略��、鎖定策略�����、Kerberos策略?���! 、票镜夭呗裕嚎刂茖徍瞬呗?��、用戶權(quán)
