|
小弟单位领导要求做个域实现以下功能,小弟初学不太明白。请各位前辈赐教,不胜感激!
小弟单位领导要求做个域实现以下功能,小弟初学不太明白。请各位前辈赐教,不胜感激!
,v�L4w5b"A�p7R6q5j�W�H
需求:�Q m/M�~,@2E
一、在该域中共有近100个用户,分别来自9个部门,从权限上可以分为4类:�R X!F)i:n3z�|�A
1、 可以创建、编辑和删除本机的文档,如: office、Photo、text等文档或图片;可以接收并发送来自内部局域网的邮件信息;不允许上外网;3p)q�w3X�T"W�C�K4G
2、 可以创建、编辑和删除本机的文档,如: office、text等文档或图片;可以接收并发送来自内部局域网的邮件信息;只可以登录指定的网站;�w�z/H�T�M�N
3、 可以创建、编辑和删除本机的文档,如: office、text等文档或图片;可以接收并发送来自内部局域网的邮件信息;可以在网上浏览网页,但不允许从网上下载任何软件;
�P,k�P�P�o
4、 具有管理员的权限;.Z�p
A0^�R�y4M�Q�^
二、在该域中的用户全部采用MAC地址与IP地址绑定的方式,通过DHCP服务来管理。
�e�~�Q+A1F
三、采用域管理还有哪些好处?列举几条对实际工作有帮助的并制定可行方案。
s/p5K�i+N�T
�`,]'H c2r*a�s�m
另外,有个问题,如果AD服务器IP地址为172.16.0.1 那么有一台计算机IP为172.17.0.55可否加入这个域呢?
*@&f6Y�P�J1L�w/Z
那位前辈了解这方面的,请指点小弟一下。 |
| tomsli1982 | | 2008-7-17 01:05 |
|
[color=red][b]此回复于2008-07-31 06:54被 [url=http://bbs.51cto.com/profile-uid-298148.html]cy0557[/url] 评为最佳答案[/b][/color]�_8h�O�V�^�r�Z�c
�e+k�[:c�j:r(]�l%x0P�T�l
第一个问题:针对部门划分VLAN,用ACL控制访问,可实现网络访问控制;把域帐户加入成员计算机本地管理员组,实现第4个小问题的需求(不建议这样做,给予用户本地管理员权限后,用户权限过高造成误操作很容易造成系统崩溃,一般给予本地Power User权限即可);�\�y2V6j"w�D9j
第二个问题:在DHCP管理器里可详细配置,自己摸索下就能做好,也可以参考相关资料;
�U0W)P�Y"@�a5J�W�R�L(@
第三个问题:采用域管理可以实现帐户集中管理和权限设置;比如第一个问题中如果你给予用户本地管理员权限后,可以在域组策略里再限制他的管理权限,防止用户在本地权限过高造成误操作;具体配置很多,这里就不多说,论坛里有很多相关帖子可以参考; 而且如果要架设Exchange服务器的话,必须得有域环境。
�l)m�e�S*i,H�X�}�N
第四个问题:如果AD服务器IP地址为172.16.0.1 那么有一台计算机IP为172.17.0.55可否加入这个域呢? 答案是可以,通过设置子网掩码是两台计算机在同一子网段即可。 |
|
| 还是要加防火墙和UTM吧, 单独依赖域实现起来很麻烦.....至于机器能不能加入域,需要AD主机的DNS名称能够被解析,不然无法加入,比如,,,,,,ping ad.x.x,能返回172.16.0.1,,,,,,如果不行,更改本机HOST文件,也可以更改DNS服务器,...VLAN网间路由能到,就可以加入 |
|
| 后面的我会说服领导,可是前面3条如何实现呢?怎么才能限制他只访问许可的网站呢 |
|
有UTM安全网关这类设备的话,可以分组对用户进行设置,针对IP分组设权限,锁定IP和MAC地址,启用白名单,,,黑名单
!r3o�^�t�[#o-]�h�Z�n�{�G
这个也可以看看我的一个贴子[url]http://bbs.51cto.com/viewthread.php?tid=434416&highlight[/url] ,白名单为正常用的,黑名单为不能用的,如果是限制不能上网的话,不给电脑加DNS,因为加入域后,权限都收归域管理员了,只要客户机加入到了域,,,,至于域的策略设置还是蛮麻烦的,要分组,不同的组给予不同的权限,你可以看我这个贴子,希望能帮到你....借助SMS,100台电脑估计至少要两台DC了[url]http://bbs.51cto.com/viewthread.php?tid=464289&highlight=[/url]5](?�m#z"M�|%C�V
n)r/o�`-R�P)|
[[i] 本帖最后由 superzxh 于 2008-7-17 09:31 编辑 [/i]] |
|
SMS?! SMS是做补丁更新、软件分发、资产收集和远程协助的把?
�q l
q1e-q-\
不知道SMS可以对他有什么帮助?
�p7f�N�h0d/c
请教了 |
| tomsli1982 | | 2008-7-17 02:36 |
|
[quote]原帖由 [i]realonly[/i] 于 2008-7-17 09:10 发表
�Q0^�~�}�b�s�U�Z�B
后面的我会说服领导,可是前面3条如何实现呢?怎么才能限制他只访问许可的网站呢 [/quote]5\)u*F3b�x#?�A
P�I6r4i2o
g.~,k#d9n�v
在组策略里可以设置,自己可以查看下组策略配置的文章; |
| tomsli1982 | | 2008-7-17 02:39 |
|
一般的公司IT部门资金有限,管理员最好能多利用系统自带的各种工具来达到管理目的;�[
v9~)Y�b�?'c�O
也可以利用一些免费的第三方网络管理软件来管理。 |
|
感谢tomsli1982的回帖 现在就是这样的情况 单位现在被查的很严 如果不是正版的软件根本不让安装 a�d�I1D-A;g&b�u&E�I
免费版的又实现不了那么多功能 所以才出现这样的要求 由于采购了N多正版软件,今年预算早就超了
�Z*r4y%A�w.@�R |4x8[
不太可能添置硬件了。如果运用组策略的话 能细化到这种程度吗? |
|
如果运用组策略的话 能细化到这种程度吗?�q
F�l�L�E�d#\�I
�C�Z7d�C0^3` A�t
一、在该域中共有近100个用户,分别来自9个部门,从权限上可以分为4类
�y7H�W+^�O�~�E
,[�o�L8x�s'H�j�h�V3_
根据用户需求:9个部门。那就是9个OU 9个本地域组。100个帐户。 Z9y5[+x�S2S0M�{
�`�T'k�N�F-\�x�o
1、 可以创建、编辑和删除本机的文档,如: office、Photo、text等文档或图片;可以接收并发送来自内部局域网的邮件信息;不允许上外网; (此OU中的组策略中设置。无法修改IP地址。上外网使用代理服务器的网关。无法修改TCP/IP设置。不给他们网关就可以。也不可以修改IP 无法上网了。)
�O�m6U0j(g�R�m�L6}*L�T,^(x
�O�K,k�|�Z2p�k�N%t
对应此OU中的本地域组中的成员设置权限。读取。写入。编辑。
7\5b
S/@�b�N E2|3O
�e�[�O3g%i,k
2、 可以创建、编辑和删除本机的文档,如: office、text等文档或图片;可以接收并发送来自内部局域网的邮件信息;只可以登录指定的网站(只可访问的网站。使用代理服务器。很简单的ccproxy就可实现域名的过滤功能)�Z$u1Z#f)c�q�M*^�S0w
�Y�J�a�N"m�_$n�e4u
3[�L.g!t�q�?�O�|-l
3、 可以创建、编辑和删除本机的文档,如: office、text等文档或图片;可以接收并发送来自内部局域网的邮件信息;可以在网上浏览网页,但不允许从网上下载任何软件(此OU的组策略中的网络设置中不允许下载即可。关掉USB接口。和其他外设CDROM 软驱。)�Q
k�D5I8O�}�t
7q�U�_5i�t�I�f
�d�h$@�D2{
4、 具有管理员的权限;(此类用户加入administrators组与DOAMIN administrator组也就是域管理员组)
(m�o�x�B/k�o7Z
二、在该域中的用户全部采用MAC地址与IP地址绑定的方式,通过DHCP服务来管理。(那DHCP服务器要设置很麻烦的了。设置的全都是保留的IP地址与绑定的MAC地址。在DHCP控制台调协。)�O
z8}�U1_�u�};A,V
三、采用域管理还有哪些好处?(管理方便,节省工作量的强度。发布到域中的资源方便查找,可设置很强的权限管理与组策略设置。有windows的安全认证。灵活的设置各种权限。实现各种企业不同的需求。)+v�A�g,[�T�_ O1f�[+j�k
(u�j�w�f;R6Z
列举几条对实际工作有帮助的并制定可行方案
�v-S$]7A�s�?9Z.O
(做出详细的域结构图。包含组。OU 用户的规划。及组策略。安全。权限的设置。域中各种资源的备份一定要做好。额外域控制器的设置。各种7*24小时服务器的冗余)�X"d!E�n�z9E�?1z
另外,有个问题,如果AD服务器IP地址为172.16.0.1 那么有一台计算机IP为172.17.0.55可否加入这个域呢?:?,q�X�f!_�y9I.Y�w
答:可以。需要改动子网掩码。不能设置成255.255.0.0 了。要改成.255.240.0.0 |
|
[quote]原帖由 [i]boblzj[/i] 于 2008-7-17 12:45 发表(N1_�R�z�_�a#S
可以创建、编辑和删除本机的文档,如: office、text等文档或图片;可以接收并发送来自内部局域网的邮件信息;可以在网上浏览网页,但不允许从网上下载任何软件[b][color=Red](此OU的组策略中的网络设置中不允许下载即可。关掉USB接口。和其他外设CDROM 软驱。)[/color][/b][/quote]
-]�j-Z(n'@#f+X.a
�y
V�@ O+m�C,B8w
红色部分 怎么做啊?给个图解好吗?我怎么找不到组策略中的网络设置? |
|
在组策略的--->用户配置--->管理模版下---->windows组件-->IE-->安全功能-->限制文件下载
m1^�L�Y.j�R7o/l0O&Z�_�k
另IE下还可以关上用户对IE的高级设置 你仔细看看下面的选项设置吧. |
| tomsli1982 | | 2008-7-17 06:29 |
|
不好意思,刚出去吃饭+理疗了,没及时回答你的问题;)}�l!F�Y8J�Q;S�l
windows组策略其实就是windows注册表的另一种表现方式,比注册表更为方便实用;而注册表可以实现电脑控制的几乎所有功能,换句话说,组策略也几乎可以实现电脑控制的所有功能; 组策略一直以来没有被很多人所重视,在我看来,如果你能把组策略或者注册表任何一项学精通,系统管理的绝大部分问题都能得到很好的解决; 目前windosw自带组策略实现的功能还不够全面,有些功能还需要自己自定义组策略文件才能实现;这里推荐你上官方网站下载GPMC(组策略控制台,是对自带组策略的升级,可以更便捷的定制组策略)
0W:W�v�y y:r�] O.g�G
7h�O1p-B9|&?6r
针对你问题的具体回答,boblzj已经比较详细的予以回答,在这里就不再重复了。 |
| tomsli1982 | | 2008-7-17 06:36 |
|
仔细看了下你的描述,看来你们公司对IT方便还算重视,至少还是有预算可以用;!g�D$g�i%o2y
i�_8~�~,Q
所以估计你们公司也应该有可管理的3层交换机或路由器,在3层交换机或路由器上配置ACL来限制某些IP不能访问外网是第一个问题的最佳解决方式(这里是直接在OSI 第2层或者3层控制访问,而在系统里控制的话,因为首先要经过系统内核,无论是反映速度还是对服务器的负载控制来说都不理想); |
| yangyl1989 | | 2008-7-17 07:07 |
|
前面的三个问题只需要一个防火墙做一下策略就可能搞定了。。)U5J5|�D�g�P
至于第四个问题就和5楼一样。。做一下可变长子网掩码。。只要能PING通就可以了!!! |
|
| 应该系统学习一下MCSE的相关课程,否则工作很难有成效。 |
| tomsli1982 | | 2008-7-18 03:25 |
|
[quote]原帖由 [i]yangyl1989[/i] 于 2008-7-17 15:07 发表
�M)[ N
`7T�k0i
前面的三个问题只需要一个防火墙做一下策略就可能搞定了。。
�r�s�D;z�I$M
至于第四个问题就和5楼一样。。做一下可变长子网掩码。。只要能PING通就可以了!!! [/quote]�f�w�W"q�B�V M%H:n
�k-j�}8N�L�L G%O(r�R�d
楼主目前的现状是公司只能用正版软件,而目前又预算不足…… |
| stone20058 | | 2008-7-21 02:04 |
|
1.可以创建、编辑和删除本机的文档,如: office、Photo、text等文档或图片--------这个问题不清楚,难道是控制安装的软件来做,
�Y�d8s!w$m'?�V�@�N�R(J
2. 邮件的问题: 你们应该有自己的mail server ,一般的mail软件都有这样 的功能,�V�o-Q�F�w
3.对外网访问的控制, 简单的用代理服务器就可以了(ISA \WINGATE);8a�u�|'Q!v2v�G�N
4. 只要的你的DNS 和子网没有问题,而且在VLAN 上没有做控制就可以的 |
|
255.255.0.0 了。要改成.255.240.0.0??能告诉改这个是什么意思吗?》
另外,有个问题,如果AD服务器IP地址为172.16.0.1 那么有一台计算机IP为172.17.0.55可否加入这个域呢?
4l(|�b![�?�d-I
�X+G4R7o�L1d0B�V-{�a�Q
k:~'Z8Q�{8G�^�t51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水答:可以。需要改动子网掩码。不能设置成255.255.0.0 了。要改成.255.240.0.0
&S�E0u�q$|�]�B:x
什么意思呢?%\6T3E+Y�L�N
子网掩码随便可以改的? |
| tomsli1982 | | 2008-7-21 04:13 |
|
| 子网掩码当然可以随便改的。。 |
|
回复 #10 boblzj 的帖子
10 楼的正解,顶, |
| tianya1631 | | 2008-9-13 12:07 |
|
| 学习了,都是高手啊 |
| chixinruyu | | 2008-9-14 06:42 |
|
| 学习啦 |
相关文章:
谢
[问题]新建子域又出问题了![内详-图]
网络适配器不见了?
Windows Server 2003 ActiveDirectory 配置指南分卷2呢
倾听 Hyper-V的美妙
Powered by 51CTO.COM
|