发布时间 : 星期二 文章Windows Server 2008 R2域的安全管理 - 图文更新完毕开始阅读7f7b730690c69ec3d5bb75cf
项目一 基于Windows Server 2008 R2域的安全管理
Windows Server 2008 R2是微软最新的服务器操作系统,该操作系统秉承“按需定制”的原则,可以根据需要选择安装组件。网络中常用的基础服务以“角色”的方式体现,更多的管理任务以“功能”的方式体现。由于系统安装的服务少,因而能够减少网络攻击面,提升网络安全。其中的AD DS域服务是Windows网络的基础网络服务,是Windows系列应用型产品的核心平台,是用户管理、计算机管理的基础。
一、项目简介
本项目实现计算机系OU中若干计算机账号和用户账号(见表1-1)的统一的管理。
表1-1 网络环境描述 名称 Server1 Server2、Server3… PC1 PC2 类型 服务器 服务器 客户端计算机1 客户端计算机2 作用 DC 文件服务器等 用户登录的计算机 用户登录的计算机 普通账号 DC 备注 域控制器 域的成员服务器 OU内 OU内 域内用户 文件服务器 User1、user2、user3 用户账号
……
PC机
图1-1 基于域的网络拓扑图
图1-1是网络拓扑图。 二、实训环境 1、软件环境
Windows Server 2008 R2、Windows 7 等镜像文件光盘、VMware 7.1以上版本的虚拟机软件。
2、学院域gdsspt.net,计算机系是域中的一个OU。 三、项目学时
本项目预计学时24学时,包含评讲。
任务1 应用组策略管理用户工作环境(6学时)
组策略是一个能够让系统管理员充分管理用户工作环境的技术,通过它来确保用户拥有与权限相符的工作环境,也通过它来限制用户,如此不但可以让用户拥有适当的环境,也可以减轻系统管理员的管理负担。
[安全管理需求]
用户使用统一的方式上网,在登录、注销时使用统一脚本,普通用户在离开时可以关闭本地服务器。为便于备份和管理,要实现文件夹的重定向,将文件目录统一放至文件服务器上。用户登录后环境要求统一,如桌面、磁盘配额等。为了安全起见,不允许用户私自使用移动存储介质,如USB、光盘设备。
[任务描述]
1、设置用户使用代理服务器上网
设置域gdsspt.net内的计算机系内的用户必须使用企业内部的代理服务器(Proxy Server)上网,代理服务器的网址为proxy.gdsspt.net,端口号为8080,同时要将用户浏览器IE的连接标签内更改代理服务器设置的功能禁用,以免用户私自通过此处更改这些设置值。
2、设置计算机配置中的安全设置
为计算机系中的用户user1分配可以关闭计算机(文件服务器)Server2的权限。 3、设置首选设置
要让位于计算机系OU内的所有用户登录时,其驱动器号Z:都会自动链接到\\\\dc\\tools共享文件夹;另外还要使用过滤功能让计算机系内的用户user2登录时,其磁盘驱动器Y:会自动链接到\\\\dc\\database共享文件夹,但是同样是计算机系的其他用户登录时不会有Y:磁盘。(其中dc表示域控制器)
4、设置用户登录/注销脚本
实现客户计算机PC1启动脚本,显示类似于如图所示的对话框。
图1-2 登录脚本示意图
当用户注销时显示注销脚本,如图1-3所示。
图1-3 用户注销脚本示意图
5、设置用户配置中的文件夹重定向
为计算机系中的所有用户实现文件的集中管理,把My Documents文件夹指向网络中的文件服务器server2下的ShareFile共享文件夹。
6、设置用户配置中的管理模板
使用组策略来限制访问可移动存储设备。 [步骤提示]
1、设置用户使用代理服务器上网 (1)将Windows Server 2008 R2升级为域控制器,域名为gdsspt.net,客户机Windows7加入域中。
(2)在域控制器上创建组织单元(OU)—计算机系,并将Windows7移到OU计算机系中。完成后如图1-4所示。
图1-4 客户机加入OU中示意图
(3)在计算机系OU上设置组策略对象(GPO)并编辑,在“用户配置”-》“策略”-》“Windows设置”-》“Internet Explorer”-》“连接”下设置代理。如图1-5所示。