系列文章:
實戰某小型企業項目系列一:需求描述
實戰某小型企業項目系列二:方案設計
實戰某小型企業項目系列三:項目實施規劃_網絡部分
實戰某小型企業項目系列四:項目實施規劃_系統部分
實戰某小型企業項目系列五:項目驗收及培訓
------------------------------------------------------------
注:本項目案例來源於真實企業的實際網絡環境,爲避免權益糾紛,以下項目已經過適當調整,可適合於大多數以Windows服務器應用爲主的小型企業。
------------------------------------------------------------
前言:
由於yye1.com公司網絡設備僅有不到100臺,且使用的服務器系統也不是很多,大部分應用服務不需要對Internet開放。爲了便於管理和應用,使用的服務器操作系統爲Windows Server 2008 R2。客戶端使用Windows 7 操作系統,內部員工通過撥號路由連接Internet,具體網絡拓撲如下圖所示:
網絡總體設計:
1)局域網環境設計:
公司局域網採用有線域無線技術相結合的方式提供互聯。無線網絡不僅可以作爲有線網絡的補充及延伸,還可以與有線網絡互爲備份。
對有線區域進行綜合佈線,安裝信息模塊,配線架等。採用三臺交換機互聯。
使用兩臺AP完成無線區域覆蓋。設置信道,防止信號干擾。使用戶輕鬆實現AP間漫遊。
2)互聯網接入設計:
公司申請8M ADSL線路接入,採用固定IP地址。在路由器的WAN接口配置ISP分配的公網IP,LAN接口配置IP地址192.168.88.1/24,爲局域網提供網關功能,並開啓DHCP功能,爲客戶端分配IP地址。
3)局域網安全設計:
爲了提高局域網的安全性,必須強制關閉交換機上不使用的端口,以防止用戶非法接入,配置無線AP,啓用無線加密功能,並使用WPA2-PSK算法進行加密,開啓隱藏SSID功能,保護無線網絡安全。
系統總體設計:
根據yye1.com公司的系統設計要求(實戰某小型企業項目系列一:需求描述 http://minitoo.blog.51cto.com/4201040/877978),IT項目組專門爲yye1.com公司規劃設計了整個公司範圍內的辦公自動化系統方案,本方案將從系統架構、文件服務器和打印服務器三方面做設計規劃的具體介紹。
1)系統架構設計:
根據yye1.com公司的管理結構,本方案採用Windows系統提供的域模式來組織和管理全部系統資源。
(1)域設計內容:
1.基於技術層面管理Windows資源。
2.提供驗證(登錄)和授權(資源方向)服務。
詳細內容如下:
1.企業組織內用戶的登錄賬戶和密碼。
2.Windows資源對象、組、計算機對象、組織單位。
3.對域中所有用戶賬戶應用密碼策略。
(2)域命名空間:
1.基於單域結構設計,所以不存在子域名設計。
2.單域可以更加靈活地通過OU來體現組織結構的改變。
3.域名的設計方案:yye1.com 。
(3)站點拓撲:
在單域模式當中,yye1.com公司放置了兩臺DC,提供域控制器的容錯功能,提高用戶驗證的效率。
(4)合理使用企業管理員和域管理的權限。。
Enterprise Admins(企業管理員組)和Domain Admins(域管理員組)是活動目錄林中內置的兩個管理員組,它們分別擁有管理整個活動目錄林和域的權限。
把企業管理員和域管理員的數量限制在一個比較小的範圍內,以便於:
1.減少來自誤操作的風險。
2.只要授予IT管理團隊對特定資源必要和足夠的管理權限即可。
3.增強對IT操作的審覈。
(5)賬戶策略:
默認域策略定義域中所有用戶的密碼策略和賬戶策略,不支持在同一個域中使用不同的密碼策略和賬戶鎖定策略。
1.密碼複雜性。
“密碼必須符合複雜性要求的設置”被啓動時,必須遵守下列規則。
*不能包含用戶賬戶名的全部或部分。
*長度至少爲6個字符。
*至少包含下面四類字符中的三類。
!至少大寫字符(從A到Z)。
!英文小寫字符(從a到z)。
!10個基本數字(從0到9)。
!非字母字符(如?!@#¥%&*)。
2.賬戶鎖定。
通過設置賬戶鎖定時間來保護企業免受密碼猜測***,並減少密碼鎖定帶來的管理員負擔。設置賬戶鎖定閾值和復位賬戶鎖定計數器,使用戶只需等待指定時間,賬戶便會自動解鎖,無需呼叫桌面維護人員執行解鎖工作。
域控制器的具體配置見下表:
| 公司域控制器 | |
| 服務器名稱 | DC |
| IP地址 | 192.168.8.10 |
| 首選DNS服務器IP地址 | 192.168.8.10 |
| 備用DNS服務器IP地址 | 192.168.8.11 |
| FQDN | dc.yye1.com |
| 文件系統 | NTFS |
| 操作系統 | Windows Server2008 R2 |
額外域控制器的具體配置見下表:
| 公司額外域控制器 | |
| 服務器名稱 | BDC |
| IP地址 | 192.168.8.11 |
| 首選DNS服務器IP地址 | 192.168.8.10 |
| 備用DNS服務器IP地址 | 192.168.8.11 |
| FQDN | bdc.yye1.com |
| 文件系統 | NTFS |
| 操作系統 | Windows Server 2008 R2 |
2)文件服務器設計:
將企業中的文件分類,統一存放到一臺或多臺文件服務器上,客戶端不再存放企業的重要文件,並且所有文件共享操作都要在服務器完成,禁止用戶自行共享文件。
yye1.com公司的文件服務器解決方案將使用Windows Server 2008 R2來做文件服務器,它在文件服務器管理方面具有以下優勢:
1.良好的管理特性。
在Windows Server 2008 R2文件服務器上的資源可以進行有效的管理,根據需要,分配不等的存儲空間。另外爲了保障企業投資,文件服務器必須支持對文件類型的存儲限制,不符合企業規定的文件不允許存放在文件服務器上。
2.安全性。
配合Windows域環境使用文件服務器,並在此基礎上有效劃分用戶的操作權限,不同權限的人訪問不同的文件,保證文件服務器的數據安全。
3.備份和還原特定。
作爲企業中最重要的信息資源,文件服務器必須具備良好、快速的備份恢復功能,當出現文件丟失或物理設備損壞時,通過Windows Server Backup可以有效地恢復文件數據。
4.用戶體驗。
新的文件服務器部署完成後,結合Windows域的組策略,用戶可以非常便捷地訪問到個人的文件及公司內部共享的文件。
5.提供報表、修改追蹤功能。
Windows文件服務器針對文件存儲區域提供數據報表,可以讓管理員瞭解文件存儲區域的空間利用率、存儲空間佔用排行、存儲空間佔用文件類型數據統計,另外通過審覈功能,管理員可以對用戶操作行爲進行有效控制。
文件服務器的具體配置見下表:
| 公司文件服務器 | |
| 服務器名稱 | Files |
| IP地址 | 192.168.8.20 |
| 首選DNS服務器IP地址 | 192.168.8.10 |
| 備用DNS服務器IP地址 | 192.168.8.11 |
| FQDN | files.yye1.com |
| 訪問權限 | 授權用戶訪問 |
| 訪問方式 | 遠程訪問 |
| 存儲空間 | 遠程不少於500G |
| 文件系統 | NTFS |
| 操作系統 | Windows Server 2008 R2 |
3)打印服務器設計。
文件打印是企業辦公的基本需求,但在企業中,一般出於成本的考慮,不會爲每個用戶單獨配置打印機,而是通過採取一些解決方案,使打印機成爲辦公網絡中的獨立節點,yye1.com公司原有一臺打印機,爲了節約成本,不在重新購買新的打印機,而是將原來的打印機連接到網絡中的打印服務器,計算機用戶通過網絡遠程進行打印。
打印服務器的具體配置見下表:
| 公司打印服務器 | |
| 服務器名稱 | Printer |
| IP地址 | 192.168.8.21 |
| 首選DNS服務器IP地址 | 192.168.8.10 |
| 備用DNS服務器IP地址 | 192.168.8.11 |
| FQDN | printer.yye1.com |
| 訪問方式 | 共享遠程打印 |
| 文件系統 | NTFS |
| 操作系統 | Windows Server 2008 R2 |
| 打印機型號 | HP LaserJet 2100 |