老克的煩惱 拯救老克的整體方案

入題：

一、資金，既然總監(jiān)說(shuō)了給你支持，也分 2 種情況。

1、 錢多，我的預(yù)算在 6.5W 左右

2、 錢少，我的預(yù)算在 2.5W 左右

技術(shù)，我的技術(shù)本身不高，但也能把現(xiàn)在供職的公司內(nèi)網(wǎng)管理?yè)纹饋?lái)，相信大家都做 IT 的，多 google，多資料，全部不在話下。

1、 AD 域，Server 2008

2、 H3C、Cisco ——了解 rule 命令即可；實(shí)在不行，打廠商售后技術(shù)支持；

H3C：400-810-0504

Cisco：根據(jù)地域選擇吧

3、 WDS 部署 根據(jù)實(shí)際情況，看視頻最后，老克公司有臺(tái)式機(jī)，筆記本。既然是公司且含有客服部，這樣的公司 PC 和 Notebook 應(yīng)該是統(tǒng)一型號(hào)或者相差不多。

4、 編寫(xiě)需強(qiáng)制性執(zhí)行守則文檔。

二、設(shè)備、 必須：

1、一至兩臺(tái)中低檔的服務(wù)器，拿來(lái)做 AD 域服務(wù)器。我們公司用的 DELL 710，我 名下的幾臺(tái)域服務(wù)器，也就 2.3W 一臺(tái)。（只有一臺(tái)服務(wù)器的，就拿來(lái)做主域，再 找臺(tái)配置高點(diǎn)的 PC 或者其他服務(wù)器做備份域服務(wù)器；兩臺(tái)服務(wù)器的就一臺(tái)主一臺(tái) 備份）

2、企業(yè)版殺毒軟件。獲得這些殺毒軟件的流程請(qǐng)自行 google，正版或者盜版看領(lǐng) 導(dǎo)意思。我個(gè)人推薦邁克菲，部署方便是主要，殺毒也是不錯(cuò)的。殺毒軟件的服 務(wù)器，不必那么高，目前我們公司企業(yè)殺毒軟件我也只是放在一臺(tái) PC 上面。

3、支持 Vlan，Dhcp 的網(wǎng)絡(luò)設(shè)備。這些老克公司應(yīng)該都有的。Dhcp 服務(wù)器可以直接搭建在域服務(wù)器上。

這樣算下來(lái)，一臺(tái)服務(wù)器的話也就在 2.5W 左右，如果有空閑的服務(wù)器最好了，連這 筆錢都省了，殺毒軟件和操作系統(tǒng)請(qǐng)自行獲得。

PS：看視頻中的一些人員還有環(huán)境猜測(cè)，有實(shí)力購(gòu)買全套正版工具的公司也不會(huì)出現(xiàn)這 樣的問(wèn)題了，呵呵。僅僅題外話。

可選：

1、 上網(wǎng)行為管理設(shè)備。網(wǎng)康或者深信服 北方用網(wǎng)康多些，南方用深信服多些。地域文化的一些差別，呵呵。 如果老克的老總或者一些部門(mén)領(lǐng)導(dǎo)希望自己有更多的特權(quán)就選擇深信服，深信服 更為圓滑一點(diǎn)。

實(shí)施步驟：（也不能算的上是實(shí)施步驟，我多寫(xiě)點(diǎn)可以解決哪方面的問(wèn)題吧）

一、 搭建域環(huán)境，微軟公司明確建議過(guò)，局域網(wǎng)中超過(guò) 10 臺(tái) PC 就最好搭建域環(huán)境

1、 操作系統(tǒng) Server 2008 （也許我可以給你提供一枚 KEY）

2、 搭建域的方法和方式自行 google，51cto 里也有很多文獻(xiàn)資料

PS：細(xì)節(jié)

1、 直接從 AD 域下發(fā)禁用 360，360 殺毒，電腦管家，市面上比較流行的計(jì)算機(jī)優(yōu)化管理軟 件的策略。（具有域工作模式的公司里的 IT 相信都很反感某些計(jì)算機(jī)優(yōu)化管理軟件吧）

（禁用這些軟件可以使通過(guò)域管理的計(jì)算機(jī)更穩(wěn)定，那些軟件很有可能阻礙你的下發(fā)策略）

2、 直接在路由中 deny 掉上述軟件的官網(wǎng)和任何下載地址

（禁止通過(guò)公司網(wǎng)絡(luò)下載這些軟件）

3、 某些部門(mén)可以根據(jù)實(shí)際情況在域服務(wù)器上下發(fā)禁用 USB 接口

（加強(qiáng)信息安全）

4、 域服務(wù)器統(tǒng)一下發(fā)本地管理員賬號(hào)和密碼（即加了域的計(jì)算機(jī)，本地管理員賬號(hào)和密碼 將修改，以防止某些用戶登錄本機(jī)管理員）

（防止員工猜測(cè)或者直接破解管理員密碼）

二、 員工系統(tǒng)（XP 為主，視頻看到）---只要電腦型號(hào)不太老，都是支持網(wǎng)卡 PXE 模式的，也就是網(wǎng)絡(luò)啟動(dòng)。

1、 從網(wǎng)絡(luò)上 Download Windows XP SP3（安裝使用前先 MD5 校驗(yàn)碼是否與官方公布相同） 這套系統(tǒng)直接關(guān)系到公司內(nèi)所有電腦的系統(tǒng)一定要保證是干凈純凈。

（安全純凈才是王道）

2、 在一臺(tái)硬件設(shè)備都完好的 PC 上，安裝 XP XP3，打好官方所放出的所有安全補(bǔ)丁以及系 統(tǒng)補(bǔ)丁，以及常用的辦公軟件 Office，RAR，PDF

（保證系統(tǒng)的及時(shí)可用性。如果公司的電腦設(shè)備硬件不同，請(qǐng)收集硬件驅(qū)動(dòng)存在在 C 盤(pán)某新 建文件夾中）

3、 封裝此系統(tǒng)，切忌只能封裝，不要妄想 Ghost，Ghost 出來(lái)的系統(tǒng)安全標(biāo)示符是一模一樣 的。在域工作模式下的 PC 中的操作系統(tǒng)，系統(tǒng)安全標(biāo)示符不能相同。

4、 既然已經(jīng)中了病毒，就重新安裝系統(tǒng)，通過(guò)遠(yuǎn)程網(wǎng)卡安裝，100MB 交換機(jī) 15 分鐘一臺(tái)。 系統(tǒng)重裝，是全體公司員工重裝。遙想我當(dāng)時(shí)公司的 400 臺(tái)電腦�。」�！

（這里你可以部署一臺(tái) FTP 或者直接在一臺(tái) PC 上開(kāi)啟全員共享，把他們的個(gè)人資料， 工作資料上傳到此處，然后把員工電腦全盤(pán)格式化。放置員工文件的那臺(tái) PC，安裝一個(gè) 殺毒軟件，提示：中毒文件不要?jiǎng)h除，隔離掉，以防刪除了員工資料）

PS：細(xì)節(jié)

1、 保證系統(tǒng)純凈不要做任何所謂的優(yōu)化，一些官方允許的優(yōu)化你都可以在最后通過(guò)域服務(wù) 器下發(fā)策略來(lái)完成。

2、 不要想通過(guò) Ghost 來(lái)完成部署。原因不明請(qǐng) google。

3、 封裝的系統(tǒng)最好是能完成最基本的辦公操作，什么技術(shù)部，財(cái)務(wù)部的軟件不要安裝并封 裝。

WDS 部署：（通過(guò)網(wǎng)絡(luò)上的教程來(lái)操作，一般不會(huì)出現(xiàn)什么大問(wèn)題） 我們之前在實(shí)施時(shí)，由于網(wǎng)卡驅(qū)動(dòng)在 WDS 中添加的引導(dǎo)文件中不包含，這個(gè)問(wèn)題糾結(jié)了 24 小時(shí)，后來(lái)直接把網(wǎng)卡放在了引導(dǎo)文件中即解決。

WDS 部署前，要確定你的域環(huán)境是搭建好的，穩(wěn)定的。因?yàn)槟悴渴鹜暌慌_(tái)電腦就把這臺(tái)電 腦加入公司域去。讓員工使用他們唯一的賬號(hào)來(lái)登錄系統(tǒng)。

三、 網(wǎng)絡(luò)環(huán)境

1、 盡可能的劃分出部門(mén)的 Vlan，至少我們公司是把客服部單獨(dú)劃分出來(lái)了，直接禁用了客 服部的網(wǎng)絡(luò)，只放開(kāi)幾個(gè)單一的網(wǎng)站。

2、 在全網(wǎng)中，通過(guò) rule deny 掉一些網(wǎng)站，垃圾網(wǎng)站和一些娛樂(lè)網(wǎng)站，一些游戲網(wǎng)站。因?yàn)?這些網(wǎng)站是人們大多數(shù)喜歡訪問(wèn)的，受到黑客的掛馬也是正常的。你直接 deny 掉。

3、 添加 acl 開(kāi)放一些網(wǎng)站給自己或者其他領(lǐng)導(dǎo)層用

四、部署企業(yè)殺毒軟件

1、 企業(yè)殺毒軟件都是與 AD 域想通的，加入域的計(jì)算機(jī)可以直接在后臺(tái)安裝殺毒軟件，通 過(guò)殺毒軟件服務(wù)器設(shè)置可以禁止客戶機(jī)不能關(guān)閉殺毒軟件。

服務(wù)器租用/服務(wù)器托管中國(guó)五強(qiáng)！虛擬主機(jī)域名注冊(cè)頂級(jí)提供商！15年品質(zhì)保障！--億恩科技[ENKJ.COM]