一、活動目錄架構圖
二、面臨的問題
1、信息'孤島'多,數(shù)據(jù)冗余大;
2、用戶需要記憶多份登錄憑證;
3、數(shù)據(jù)資源訪問繁瑣;
4、企業(yè)制定的IT系統(tǒng)管理規(guī)范無法被貫徹實施。
三、解決方案
通過Windows Server 2012R2 的AD(活動目錄)功能,我們可以將所有的AD對象(用戶、計算機、打印機、文件等)存儲在AD數(shù)據(jù)庫中,然后通過AD實現(xiàn)集中化的管理,實現(xiàn)集中化管理后,我們可以隨時、靈活的根據(jù)單位需求定制統(tǒng)一的安全管理策略,減少問題,例如:
1)配置動態(tài)的IP管理策略,以后所有用戶計算機的IP都由服務器統(tǒng)一租用,用戶不允許配置靜態(tài)的IP信息,沒有權力更改相關配置。
2)用戶每天開機后,都自動將自己的計算機信息注冊到DNS、WINS服務器中,不需要管理手工來注冊、維護用戶計算機信息,保證單位內(nèi)部DNS、NETBIOS列表是動態(tài)安全的。
3)用戶以后每天上班打開計算機只能登陸到我們的AD域中,登陸到指定的計算機,不可以登陸到本地,保證只有通過驗證的用戶才能登陸計算機。
4)定制統(tǒng)一、安全的個人防火墻策略,防止網(wǎng)絡、蠕蟲的攻擊
5)定制統(tǒng)一的IE安全策略,禁止流氓軟件、惡意網(wǎng)絡攻擊、隨意更改IE配置。
6)通過AD定制用戶的應用權限,當有一臺或幾臺計算機感染木馬、蠕蟲等病毒時,由于用戶的權限有限,所以中毒計算機的傳播能力很差,對整個企業(yè)網(wǎng)絡不會造成很大的影響。
7)定制統(tǒng)一的外設(U盤、移動設備等)訪問機制,禁止網(wǎng)絡鄰居功能,減少用戶通過外設和網(wǎng)絡鄰居隨意泄密文檔、傳播病毒。
8)定制統(tǒng)一的密碼策略,不符合安全的密碼策略的用戶不能登陸計算機。
9)定制統(tǒng)一更新補丁的安全策略,用戶的計算機在規(guī)定的時間會到指定的安全服務器上更新最新的補丁,然后通過SCCM可以產(chǎn)看相關的更新信息。
10)根據(jù)單位的需求可以隨時配置新的安全策略、修改以前的安全策略、更改安全策略應用的對象(什么用戶收到策略的影響,什么用戶不受策略的影響)。
由于采取了集中化管理,以上所有的安全配置都是由域管理員在服務器端集中配置的,用戶不能進行任何修改,所以實現(xiàn)了很高的安全管理。