老克的煩惱 拯救老克的整體方案

入題：

一、資金，既然總監說了給你支持，也分 2 種情況。

1、 錢多，我的預算在 6.5W 左右

2、 錢少，我的預算在 2.5W 左右

技術，我的技術本身不高，但也能把現在供職的公司內網管理撐起來，相信大家都做 IT 的，多 google，多資料，全部不在話下。

1、 AD 域，Server 2008

2、 H3C、Cisco ——了解 rule 命令即可；實在不行，打廠商售后技術支持；

H3C：400-810-0504

Cisco：根據地域選擇吧

3、 WDS 部署 根據實際情況，看視頻最后，老克公司有臺式機，筆記本。既然是公司且含有客服部，這樣的公司 PC 和 Notebook 應該是統一型號或者相差不多。

4、 編寫需強制性執行守則文檔。

二、設備、 必須：

1、一至兩臺中低檔的服務器，拿來做 AD 域服務器。我們公司用的 DELL 710，我 名下的幾臺域服務器，也就 2.3W 一臺。（只有一臺服務器的，就拿來做主域，再 找臺配置高點的 PC 或者其他服務器做備份域服務器；兩臺服務器的就一臺主一臺 備份）

2、企業版殺毒軟件。獲得這些殺毒軟件的流程請自行 google，正版或者盜版看領 導意思。我個人推薦邁克菲，部署方便是主要，殺毒也是不錯的。殺毒軟件的服 務器，不必那么高，目前我們公司企業殺毒軟件我也只是放在一臺 PC 上面。

3、支持 Vlan，Dhcp 的網絡設備。這些老克公司應該都有的。Dhcp 服務器可以直接搭建在域服務器上。

這樣算下來，一臺服務器的話也就在 2.5W 左右，如果有空閑的服務器最好了，連這 筆錢都省了，殺毒軟件和操作系統請自行獲得。

PS：看視頻中的一些人員還有環境猜測，有實力購買全套正版工具的公司也不會出現這 樣的問題了，呵呵。僅僅題外話。

可選：

1、 上網行為管理設備。網康或者深信服 北方用網康多些，南方用深信服多些。地域文化的一些差別，呵呵。 如果老克的老總或者一些部門領導希望自己有更多的特權就選擇深信服，深信服 更為圓滑一點。

實施步驟：（也不能算的上是實施步驟，我多寫點可以解決哪方面的問題吧）

一、 搭建域環境，微軟公司明確建議過，局域網中超過 10 臺 PC 就最好搭建域環境

1、 操作系統 Server 2008 （也許我可以給你提供一枚 KEY）

2、 搭建域的方法和方式自行 google，51cto 里也有很多文獻資料

PS：細節

1、 直接從 AD 域下發禁用 360，360 殺毒，電腦管家，市面上比較流行的計算機優化管理軟 件的策略。（具有域工作模式的公司里的 IT 相信都很反感某些計算機優化管理軟件吧）

（禁用這些軟件可以使通過域管理的計算機更穩定，那些軟件很有可能阻礙你的下發策略）

2、 直接在路由中 deny 掉上述軟件的官網和任何下載地址

（禁止通過公司網絡下載這些軟件）

3、 某些部門可以根據實際情況在域服務器上下發禁用 USB 接口

（加強信息安全）

4、 域服務器統一下發本地管理員賬號和密碼（即加了域的計算機，本地管理員賬號和密碼 將修改，以防止某些用戶登錄本機管理員）

（防止員工猜測或者直接破解管理員密碼）

二、 員工系統（XP 為主，視頻看到）---只要電腦型號不太老，都是支持網卡 PXE 模式的，也就是網絡啟動。

1、 從網絡上 Download Windows XP SP3（安裝使用前先 MD5 校驗碼是否與官方公布相同） 這套系統直接關系到公司內所有電腦的系統一定要保證是干凈純凈。

（安全純凈才是王道）

2、 在一臺硬件設備都完好的 PC 上，安裝 XP XP3，打好官方所放出的所有安全補丁以及系 統補丁，以及常用的辦公軟件 Office，RAR，PDF

（保證系統的及時可用性。如果公司的電腦設備硬件不同，請收集硬件驅動存在在 C 盤某新 建文件夾中）

3、 封裝此系統，切忌只能封裝，不要妄想 Ghost，Ghost 出來的系統安全標示符是一模一樣 的。在域工作模式下的 PC 中的操作系統，系統安全標示符不能相同。

4、 既然已經中了病毒，就重新安裝系統，通過遠程網卡安裝，100MB 交換機 15 分鐘一臺。 系統重裝，是全體公司員工重裝。遙想我當時公司的 400 臺電腦啊！哈哈！

（這里你可以部署一臺 FTP 或者直接在一臺 PC 上開啟全員共享，把他們的個人資料， 工作資料上傳到此處，然后把員工電腦全盤格式化。放置員工文件的那臺 PC，安裝一個 殺毒軟件，提示：中毒文件不要刪除，隔離掉，以防刪除了員工資料）

PS：細節

1、 保證系統純凈不要做任何所謂的優化，一些官方允許的優化你都可以在最后通過域服務 器下發策略來完成。

2、 不要想通過 Ghost 來完成部署。原因不明請 google。

3、 封裝的系統最好是能完成最基本的辦公操作，什么技術部，財務部的軟件不要安裝并封 裝。

WDS 部署：（通過網絡上的教程來操作，一般不會出現什么大問題） 我們之前在實施時，由于網卡驅動在 WDS 中添加的引導文件中不包含，這個問題糾結了 24 小時，后來直接把網卡放在了引導文件中即解決。

WDS 部署前，要確定你的域環境是搭建好的，穩定的。因為你部署完一臺電腦就把這臺電 腦加入公司域去。讓員工使用他們唯一的賬號來登錄系統。

三、 網絡環境

1、 盡可能的劃分出部門的 Vlan，至少我們公司是把客服部單獨劃分出來了，直接禁用了客 服部的網絡，只放開幾個單一的網站。

2、 在全網中，通過 rule deny 掉一些網站，垃圾網站和一些娛樂網站，一些游戲網站。因為 這些網站是人們大多數喜歡訪問的，受到黑客的掛馬也是正常的。你直接 deny 掉。

3、 添加 acl 開放一些網站給自己或者其他領導層用

四、部署企業殺毒軟件

1、 企業殺毒軟件都是與 AD 域想通的，加入域的計算機可以直接在后臺安裝殺毒軟件，通 過殺毒軟件服務器設置可以禁止客戶機不能關閉殺毒軟件。

服務器租用/服務器托管中國五強！虛擬主機域名注冊頂級提供商！15年品質保障！--億恩科技[ENKJ.COM]