局域网安全配置方案.doc

局域网安全配置方案 目录： 规划 OU 层次结构 添加管理模板 其他的安全设置 规划和实现软件更新服务 安装和配置IIS FTP服务器架设 IIS安全设置 设置安全的虚拟主机访问权限 规划 OU 层次结构 根据业务单位管理委派和组策略要求规划 OU 层次结构是创建委派模型的首要步骤之一。 设计良好的 OU 层次结构应当可以满足组织的组策略要求，同时还可根据组织的管理要求简化管理授权的委派。 　　 是否需要创建此 OU 结构，以便可对其应用唯一的组策略对象 (GPO)? 特定管理员组是否需要对此 OU 中的对象具有权限? 此新 OU 是否会使其内部对象管理变得更为轻松? 如果上述任一问题的答案均为“是”，则可以建此 OU。如果所有三个问题的答案均为“否”，则应重新考虑布局并确定其他设计是否更加合适。 选择模型 　　“浅模型”的名称源自它大多保持平整这一事实。在此模型中，几个高级别的 OU 包含绝大多数对象。此模型主要在小型企业中运用。为避免对性能产生负面影响，建议子 OU 数不要超过 10 个，尽管 Microsoft 提出的子 OU 限制数是 15 个。保持 OU 结构范围广泛(而不是深度)的一个优势是 Active Directory 搜索速度将更快。 图1（浅模型） 地理模型 　　在地理模型中，主要是针对不同的地理区域创建单独的 OU。此模型最适合用于企业部门分散但不希望因操作多个域而带来成本的组织。 图2（地理模型） 基于类型的模型 　　基于类型的模型按用途来分类对象。当我们创建上一个用户对象时，它是用于普通用户帐户、管理帐户还是服务帐户?在基于类型的模型中，上述每种对象的处理方式均不同。 图3（基于类型的模型） 实例： 　　创建OU 　　OU的创建需要在DC(域控制器)中进行，创建步骤如下： 以Administrator(系统管理员)身份登录域控制器。然后依次单击“开始/管理工具/Active Directory用户和计算机”菜单，打开“Active Directory用户和计算机”控制台窗口。 在左窗格中用鼠标右键单击域名，并在弹出的快捷菜单中执行“新建/”命令。 打开“新建对象-”对话框，在“名称”编辑框中键入新的OU的名称(如“”)，并单击“确定”按钮 4．在 “厦门理工”组织单位下创建二级组织单位。 5.二级组织单位创建完毕后，为各个二级组织单位常见下属OU。 6.各个部门的组织单位创建完成后就可以为各个OU分配用户权限。 创建并启用安全模板 安全模板并非Windows Server 2003或XP独创的功能，第一次提出这个概念的是NT 4.0 SP 4。安全模板是每一个管理员都必须了解的重要工具。安全模板不会让你修改不能通过其他方式修改的安全选项，它只是提供了一种快速批量修改安全选项的办法。凡是可以利用安全模板设置的安全选项，同样可以使用Windows的GUI工具手工修改，但后者耗费的时间肯定多得多。一、安全模板可以批量修改的五类和安全有关的设置 管理组　调整NTFS权限　　 启用和禁用服务 调整注册表授权 控制本地安全策略设置 二、创建安全模板安全模板其实就是文本文件，因此从理论上讲，我们可以用记事本来创建安全模板。不过事实上，用记事本创建安全模板的工作量相当大，如果改用微软管理控制台的安全模板管理单元就要方便多了。 2.在该控制台中，点击“文件”→“添加/删除管理单元”，打开“添加/删除管理单元”对话框，点击“添加”打开“添加独立管理单元”对话框，在管理单元清单中选择“安全模板”，依次点击“添加”、“关闭”、“确定”。接下来就可以开始设置安全模板了。 3.在安全模板下的 “C:\WINDOWS\security\templates”树形菜单上右键选择添加模板，输入新建的模板名与该模板描述。 4.创建完成后展开该模板，右边的窗格显示出可以利用该安全模板控制的安全选项类别： 　　⑴ 帐户策略：控制密码策略、锁定策略、Kerberos策略。 　　⑵ 本地策略：控制审核策略、用户权利指派、安全选项。 　　⑶ 事件日志：控制事件日志设置和NT的事件查看器的行为。 　　⑷ 受限制的组：控制哪些用户能够或者不能够进入各种本地组。 　　⑸ 系统服务：启动、关闭各种系统服务，控制哪些用户有权修改系统服务的启动方式。 　　⑹ 注册表：控制修改或查看各个注册键的权限，启用注册键的修改审核功能。 　　⑺ 文件系统：控制文件夹、文件的NTFS授权。 、安全模板gpupdate /force”刷新组策略。 添加管理模板 管理模板是Windows Server 2003组策略的一个重要组件，他们均为Unicode格式的文本文件，扩展名.adm，组策略对象编辑器用户界面的管理模板部分即由他们创建。 通过对象编辑