建立AD服務器的准備工作<?xml:namespace prefix = o ns = "urn:schemas-microsoft-com:office:office" />
一.
服務器
OS
的選擇
pdc
安裝
windows server 2003 r2 sp2
繁體版﹐提高服務器的安全性
.r2
版新增
DFS
文件服務器的監控功能﹐可以審核
user
刪除﹐修改﹐創建等記錄﹐便于查找問題。
二
.
服務器的基本配置
server IP:10.207.81.2
subnet mask:255.255.254.0
gateway:10.207.81.1
dns:10.207.81.2
服務器主機名﹕
glserver01
域名﹕
glfoxconn.com
dns
轉發地址﹕
10.209.128.128
三
.AD
服務器
在根
ou
建立各部門都要運用的組策略﹐每個部門在建立個性化的策略。不要繼傳根組策略的去除繼傳。
根OU要建立的策略﹕
電腦設定
1.
密碼原則﹕密碼復雜度﹐密碼有效期
停用
2. <?xml:namespace prefix = v ns = "urn:schemas-microsoft-com:vml" />
本機原則﹕審核原則
系統事件
物件存取
帳號登入事件
登入事件
成功
3.
本機原則﹕安全選項
省去客戶端每次開機按鍵
系統管理范本
4.netmeeting
停用遠端桌面共享
啟用
5.windows 元件 windows update
設定自動更新
停用
使用者設定
6.windows
設定
登入﹑登出腳本
制件一個批處理﹐
eg:
@echo off
net use P: \\glfoxconn\
精加
建立
bat
文件
user
開機自動建立網絡盤
開始功能表和工作列
7.
開始功能表中移除網絡連接線
啟用
8.
開始功能表中移除執行
啟用
9.
開始功能表中移網上芳鄰
啟用
控制台
10.
禁止存取控制台
啟用
11.
網絡網絡連接
禁止使用
TCP/IP
進階設定
防止非資訊人員去查看網絡配置情況﹐防止網絡安全事故發生。
12.
網絡
離線檔案
啟用
13.
建立的每個
user
只可以訪問自己的電腦
user
登入填入自己的計算機名
建立鎖定電腦的
OU
組策略
14.
電腦設定
安全性設定
使用者權限
本機登入
當把
users ,powerusers guest
用戶組刪除
當某台電腦員工離職了﹐要鎖定該電腦時﹐只要把
PC
移動到
lock computer
的
ou
就
OK
。
除了管理員﹐別的
user
不能進入該
PC
。
15.
建立軟件分發功能﹐把一些常用的軟件轉換成
MSI
安裝包﹐在
windows
服務器上建立軟件發策略。
客戶端根據自己的須求安裝軟件﹐不需要有
Administrator
的權限﹐省去很多工作的維護量。
16.PC
加入域﹐
windows xp
系統必須加關閉
windows
自帶防火牆。建議不要安裝任何防火牆軟件。
17.AD
授權給指定人員可以把電腦加入域的權限。
18.
用戶的命名規則﹐按使用的工號取用戶名。
19.AD
建設好﹐用
ntbackup
把
AD
做一個備份﹐當問題時可以在
Active directory
還原模式恢復。
四
.
服務器的安全管理
1.
采用
GFI USB
端口控制程序﹐在
AD
上安裝該軟件﹐把整個域的電腦加入該軟件﹐默認限制所以的
USB
設備接入
該軟件可以分
USB
存儲設備﹐掃描儀﹐軟驅﹐光驅﹐
PDA
﹐數碼相機等分控制功能強大。
2.
安裝
symantec
企業版殺毒軟件﹐
symantec control center.
可以在服務器上幫客戶安裝殺毒軟件。
服務器端更新毒病庫﹐客戶端也自動更新﹐保証網絡的安全性。
五.DHCP的建立
建立作用域
10.207.81.0
10.207.82.0
10.207.15.0
網絡暫采用手動指定
IP Adress.(和81,82在不同的VLAN中)
排除各服務器的
IP
建立超級作用域
10.207.0.0
六.DNS的建立
建立正向區域
10.207.81.0
10.207.82.0
10.207.15.0
建立相應的反向區域
因為客戶機采用首
DNS
為服務器的
IP
﹐所以要設定
DNS
轉發功能
轉發
IP
為﹕
10.209.128.128
以后考慮建立多台
DC
服務器﹐做負載平衡。
和
FSMO
的五種角色轉移﹐把域的
3
個角色轉移到其它的成員
DC
上﹐輕
PDC
的負擔和穩定性。
转载于:https://blog.51cto.com/bright/121404