局域网客户端的管理策略.docVIP

局域网客户端管理策略 随着网络用户数量的不断增加，由此引发的网络通信和安全故障越来越多,尤其体现在网络滥用导致的网络拥塞、蠕虫病毒泛滥导致的性能下降，以及系统漏洞导致的恶意攻击等方面。如果不采取相应有力的应对措施，那么网络瘫痪的情形将不断上演。由此可见，对网络客户端进行必要的甚至是严格的管理与控制，已成为保障网络高效、稳定、安全运行的重要措施。　　合理规划组织单位　　网络服务中最关键的问题是安全，安全的基础是权限。那么，如何为用户划分权限呢?为每个用户分别设置权限虽然理论上可行，但是，当用户数量较多时，不仅管理的工作量非常巨大，而且还可能因误操作而产生问题。因此，借助工作组实现对用户权限的划分，就成为提高管理效率的重要手段。该方法的实现非常简单，只需将用户指定至不同的工作组，然后为不同的工作组划分权限，最终，这些权限就会对该工作组中的所有用户产生作用。　　Windows 2003 Server服务器操作系统在Active Directory活动目录中增加了组织单位这种对象，使得整个域的规划和管理更具弹性，更能发挥出“分层负责、授权自治”的优点。简而言之，组织单位就是一个比域还小的管理单位。若能善用组织单位，就可以有效避免形成多域架构，节约企业成本。下面介绍几种常见的组织单位划分方法。　　以管理或对象观点划分 当以管理的观点来建立组织单位结构时，对所有拥有该组织单位的管理员来说是有利的。在Active Directory服务中，可以建立以对象观点为基础的组织单位，如使用者、计算机、应用程序、群组、打印机以及安全性原则等。　　以地理观点划分 该划分方法可以建立一个包含每个地域的组织单位，它将形成一个永久、稳定的结构。但是,如果公司的组织结构出现重大变动时，就必须考虑其它多方面的因素来设定组织单位了。　　以商业功能观点划分 如果企业重视商业功能，可以按照不同的行政职能(如市场部、IT部以及行政部)来划分组织单位。即使该组织自身结构并不十分稳定，但它们对这些功能的需求却是固定的。　　以部门观点划分 这种划分方法的思路是建立一种能反映部门架构的组织单位。该方法能够与当前组织相互对应，但是当组织重组时将非常不稳定。　　以项目观点划分 使用这一类型的组织单位模式是以项目为中心来考虑的。这种组织单位通常用来作为其它更稳定组织单位的下层结构。如果要采用这种类型，切记必须指定由谁来管理该组织单位。　　利用组策略实现自动化管理　　随着网络内计算机数量的不断增加，软件安装、系统安全以及文件夹共享等基本操作都会成为系统管理员的“累赘”，系统维护和安全维护的工作量也会越来越大。尽管系统管理员变得越来越忙碌，但安全隐患和用户抱怨却越来越多，如何管理和部署这些基本操作已成为系统管理员的“心病”。　　组策略(Group Policy，简称GP)是系统管理员为计算机和用户所定义的，用来控制应用程序、系统设置和管理模板的一种机制。通俗一点说，组策略是介于控制面板和注册表之间的一种修改系统设置的工具，它提供了一种对批量计算机进行高效管理的方法。　　Windows 2000 Server和Windows 2003 Server作为功能强大的服务器操作系统，内置强大的组策略管理平台。通过组策略管理可以完成网络环境中客户端的统一软件部署、安全设置、脚本设置、软件限制、客户端桌面环境部署以及浏览器功能统一设置等功能，同时根据策略的不同需求可以分为计算机配置策略和用户策略。如果系统管理员不想在重装系统、升级系统补丁和病毒库等琐碎的日常工作中疲于奔命，就必须要掌握组策略。　　借助于组策略的应用，管理员可以通过域控制器，让系统自动而高效地完成许多重复、繁琐的系统管理与安全管理工作，提高网络管理工作的效率和网络的安全性，保持系统和网络的稳定运行。　　借助交换机实现访问限制　　交换机特别是接入层交换机作为客户端连接网络的接口和网络传输的通道，在限制客户访问时起着非常重要的作用。交换机中的访问限制可以概括为3个方面:限制非授权用户访问网络，包括802.1x身份认证、安全端口、MAC地址绑定和禁用/启用端口;限制用户滥用网络，包括时间访问限制、网络协议和端口访问限制、IP/MAC地址访问限制和连接带宽限制;网络用户的隔离，包括VLAN(Virtual LAN，虚拟局域网)访问限制、PVLAN(专用虚拟局域网)访问限制和Trunk中继访问限制。下面给出其中几种常用的访问限制方法。　　基于端口的传输限制 借助对端口传输控制的配置，既可以有效杜绝广播风暴对整个网络的冲击，保证网络的正常通信,又可以拒绝未授权的计算机接入网络，限制某个端口接入计算机的数量，保证网络的接入安全，避免网络被个别用户滥用。　　基于VLAN的访问限制 由于位于不同VLAN中的计算机，就像真