一、企业IT管理工作面临的主要问题

　　1.1资源管理混乱

　　资源管理混乱表现：一方面，计算机软件资源并非由信息管理部门统一管理，而是各部门分散管理。随意使用。各计算机用户也可以随意下载安装盗版软件、自由软件，随意对计算机进行重新安装操作系统；另一方面，计算机硬件运行的相关制度没有制定或者执行不彻底，信息管理部门无法准确掌握计算机硬件投运、报废、变更信息，对网络信息的安全性造成很大威胁。

　　1.2 网络安全存在隐患

　　虽然会在网络的各个出口安装防火墙设备，但病毒总是在防病毒措施出现之前诞生，而企业用户普遍使用本机超级用户登录使用，可完成计算机的任何操作，用户计算机应用水平低，往往在病毒入侵或受到攻击时不采取措施，或者不知道采取什么措施，防范不力，导致计算机受到感染。企业用户计算机权限过大，是网络安全存在的一个很大隐患。

　　1.3信息管理部门成了救火队

　　由于企业计算机的随意使用，使计算机安全很大程度上依靠用户本身对计算机的了解程度。企业多数用户对计算机专业知识的了解并不是很深，表现在计算机操作系统补丁从不更新、防病毒软件不安装或者设置不当，信息管理部门不得不花费大量精力对个人计算机进行维护，成为计算机故障处理救火队。

　　1.4用户操作错误

　　少数用户喜欢对计算机设置进行更改。由于不具备足够的专业知识，而又具备很高的使用权限，常常造成自己或者他人上网故障，如更改本机的网络设置，造成IP地址或者计算机名称冲突；另一种情况是用户在使用计算机时。无意的误操作也常常导致计算机使用故障。如在清理计算机文件时误将有用文件删除。这2种情况都是不能完全杜绝的。

　　二、解决方案概述

　　造成以上问题的根源在于用户计算机没有得到规范使用。作为企业信息管理部门，信息网络安全是工作的第一前提，但计算机用户并不具备足够的计算机知识，信息管理部门就是要使用技术手段来规范用户的操作，达到保证网络安全的目的。鉴于企业中主要使用的计算机操作系统是微软公司开发的windows操作系统，出于服务与客户端无缝集成考虑，本方案涉及的网络管理工具、相关配置也是基于Window8 Ser、，er 2003 R2企业版操作系统。方案分为网络基础建设部分和软件管理工具部分。

　　三、网络基础建设

　　3.1物理网络

　　物理网络是企业网络赖以工作的基础，服务器角色配置是否完整关系到整个网络是否安全，用户能否得到所需要的服务支持。方案设计使用2台以上的服务器，在核心三层交换机上为网络服务的服务器群建立1个单独VLAN(虚拟网络)，分配单独的子网IP地址，与其他的应用服务器隔离开，并且只开放相关服务所需要的端口，限制对服务器群VLAN的访问以防局域网内病毒、木马攻击以及无关人员非法访问，拓扑图见图1。

　　3.2 目录服务

　　AD(活动目录)，即Active Directory，是Windows 2000/Server 2003网络中一个用来储存网络资源的相关信息，并且让使用者或应用程序可以存取这些相关信息的网络服务。使用活动目录提供一个所有用户、计算机以及网络上的其他对象的集中数据库，有助于根据组织结构来整理IT环境中的资源。使用活动目录提供安全和身份验证机制，该机制提供对资源受保护和受控的访问。利用组策略来定义中型IT环境中的域范围的安全策略，并在环境中强制执行。使用GP0(Gmup Policy Objects组策略对象)确保在IT环境中设置的安全策略在环境中的每个对象上强制执行，并且不会被任何客户端或其他设备覆盖。

　　建立在活动目录上的关键服务包括DNs(Domain Name System域名系统)服务、DHCP(动态主机配置协议)服务、WINS(Windows Inlemet名称服务)服务、组策略。

　　3.3文件服务

　　只需要网络服务器运行DNS、DHCP、WINS以及Active Directory就具备了实施文件服务的条件。配置文件服务以达到以下目的：

1. 在网络上为用户和应用程序提供一个公共位置来存储文件；
2. 提供对共享信息快速和轻松的访问，同时保持严格的安全性；
3. 提供足够的存储容量以满足现在和将来的存储需求；
4. 满足预期的可靠性、可伸缩性和安全性要求；
5. 低成本并易于实施和维护；
6. 提供对丢失的重要数据的立即检索，如基于磁盘的备份，而不需要等待非现场的磁带存储；
7. 使用户可以在未连接到网络的情况下还可以访问他们的文件；
8. 允许用户安装企业中所用的常用应用程序，如防火墙客户端和防病毒软件等；
9. 通过提供集中的数据存储使用管理和备份更加容易。

　　3.4文件共事

　　企业需要以有效、低成本、安全和可靠的方式共享、存储和检索数据。确保用户可以快速和方便地访问数据并可同时有效地管理数据非常重要。此外，共享数据应用是安全的，并且只有授权的用户才可以访问。

　　在方案设计中，取消默认共享，设置个人、部门、企业三级共享，共享文件服务器保存在信息管理部门的中心机房内统一管理。在活动目录设置完成后，通过实施ACL(Access Control List，访问控制列表)限制只有授权用户才可以访问，完全可以满足安全要求。

　　3.5存储与备份

　　企业数据的安全性和作业的连续性较之硬件设备本身更加重要，高速数据访问和平滑简单的扩容要求日益迫切，企业实施文件集中存储与备份，需要高速、高可靠性和良好的扩展性。方案选用SAN(Storage Area Network)架构存储结构是单独存在的高速光纤存储网络，独立于服务器网络系统之外，这种网络采用高速光纤通道作为传输体，将存储系统网络化，实现真正的高速共享存储