解决方案

首页 > 解决方案

办公区建设

作者:管理员  发布时间:2015-7-13  浏览量:7095

域建设

设计思路描叙如下:

1、  需要增添两台物理服务器(两台都作为域控制器,其中第二台同时作为补丁管理服务器)

2、  单森林的目录服务(AD)单域环境实现集中管理,设置2台域控制器(DC)承担本地用户的身份验证,同时实现本地DC的冗余,都放置在总部(如果加入分部,则可以在分部配置一台DC实现分部用户的验证),定制域中统一的用户客户机工作环境.

3、  在总部本地配置为一个目录服务的site,如果有分部则在各地均设置一台GC

4、  按照组织架构实现域组织单元(OU)的规划设计

5、  集成AD规划、实施网络基础架构(利用windows DHCP实现IP的动态管理、利用DNSWINS实现用户计算机FQDNNETBIOS名称的动态注册、管理)

6、  第2台域控制器上构建统一的WSUS补丁管理系统,提供可管理的补丁分发.

7、  将文件共享、存储区功能集成AD集中到当前现有的1台文件服务器,规划、安装、部署文件服务器.

 

端点准入

准入控制器物理单臂、逻辑串联于核心交换机上。主要作用是仅允许符合要求的设备进入内网,实现内网PC机的主机完整性检查。

部署准入控制系统后,改变了电脑终端接入网络的行为模式。一般来说,电脑终端接入网络需要:

n  第一步,用户开机并以有线或无线方式接入企业内部网络,并发起网络访问;

n  第二步,网络内部接入设备要求用户接入认证(身份与安全策略);

n  第三步,根据用户终端的身份、安全状态的审计结果,分别采取以下措施:

p  未安装agent的终端,拒绝接入网络或划入访客区;

p  已安装agent,但身份不合法的终端,拒绝接入网络或划入访客区;

p  已安装agent、身份合法,但安全策略不合法的终端,拒绝接入网络或划入修复区(如:启用guest帐户、未装杀毒软件等);

p  已安装agent、身份合法、安全策略合法的终端,系统授权给终端相应的工作区资源,允许用户访问应该访问的资源。

p  已安装agent、身份合法、安全策略合法的终端,但终端的硬件ID标识不合法,拒绝接入网络或划入访客区、修复区。即LeagView UniAccess可以将用户和终端设备硬件ID进行绑定,即某个用户只能通过某台合法终端设备接入到网络中,这样可以禁止内部合法身份的员工私自将个人或他人电脑接入到网络中。

第四步,合法身份的用户以及满足组织安全规范的终端设备接入到网络时,系统会根据用户身份自动将终端设备切换到属于该用户的工作区中,从而实现不同权限的人可以访问不同的网络资源。