天一集团沈阳销售办公网络系统建设王连连——投标书
投标函
参与组员
付玉伟(组长)王连连(负责人)
张宏达吴萌刘文涛温凯明
投标单位
恒信达网络工程技术有限公司
建设项目名称
天一集团沈阳销售办公网络系统建设
致:沈阳天一销售工程发展有限公司
一、据你方招标工程项目编号为A378的内部局域网工程招标文件,遵照《中华人民共和国招标投标法》、《中华人民共和国七部委30号令》、《计算机软件工程规范国家标准》等有关规定,经过项目现场和对你招标文件中的投标须知、合同条款、图纸以及其他文件研究后,我方愿以人民币的投标价格并按你方图纸以及合同条款的要求承包你方工程的全面实施。
二、我方已详细审核全部招标文件,包括修改文件以及有关附件。
三、一旦我方中标,我方保证施工质量,做到开放性、实用性、先进性、安全可靠性、兼容性与可扩充性、经济性、可管理性。
四、我方同意所提交的投标文件在招标文件的投标须知中规定的投标有效期内有效,在此期间内如果中标,我方将接受次约束。
五、除非另外达成协议并生效,你方的中标通知书和投标文件将成为约束双方的合同文件的组成部分。
六、我方将与本投标函一起,提交人民币两万元整作为投标担保。
投标人:恒信达网络工程技术有限公司
2008年2月10号
法人代表身份证明书
单位名称:恒信达网络工程技术有限公司
单位性质:有限公司
地址:沈阳市和平区惠工街88号恒基大厦
成立时间:2008年1月10日
经营期限:长期
姓名:王连连性别:男年龄:22 职务:项目经理(法人代
表)
特此证明
授权书
致:沈阳天一销售工程发展有限公司
我王连连作为恒信达网络工程技术有限公司的法定代表人,授权王连连为我的全权代表人,代表我单位参与天一集团沈阳销售办公网络系统建设项目工程的投标活动。代表恒信达网络工程技术有限公司签署投标文件、进行合同谈判、签订合同协议书和执行一切与此有关的决定。本人承诺:代理人在代理权限内的一切行为,其法律责任均由本人和我单位承担。
代理人无权转委托权,特此委托!
投标人:王连连
授权代理人:王连连
授权人:王连连
2008年2月10日
目录
投标函 (1)
法人代表身份证明书 (2)
授权书 (2)
目录 (3)
企业介绍 (3)
工程概括 (4)
需求分析 (5)
项目设计方案 (5)
工程实施 (7)
一、工程实施概述 (7)
二、布线系统实施 (7)
三、系统整体实施 (7)
四、整体布局设计 (8)
五、网络系统设计 (10)
六、安全策略及方案 (17)
七、打印系统 (19)
八、文件服务器 (28)
八、代理服务器 (36)
九.防病毒系统的安装与配置 (39)
工程报价 (42)
技术支持、售后服务及培训方案 (43)
企业介绍
恒信达网络工程技术有限公司正式成立于2008年1月。作为全球领先的联网和安全性解决方案供应商,恒信达网络工程技术有限公司对依赖网络获得战略性收益的客户一直给予密切关注。公司的客户来自全球各行各业,包括主要的网络运营商、企业、政府机构以及研究和教育机构等。公司以先进的建网、维护服务以主业,业务遍及东北三省主要城市.
目前,恒信达网络工程技术有限公司拥有一大批在计算机、通讯和企业管理方面具有丰富理论与实践经验的高级专业人才。自成立以来恒信达网络工程技术有限公司推出的一系列联网解决方案,提供所需的安全性和性能来支持全球最大型、最复杂、要求最严格的关键网络,其中包括全球顶尖的25家服务供应商。利用灵活的现代企业机制,服务社会,积极开展与各级企事业单位的广泛合作、充分发挥公司在人才、网络、资源、技术、服务等方面的优势,为中国的信息化建设做出更大贡献。
工程概括
依照《恒信达网络工程技术有限公司内部网技术规范》(以下简称“技术规范”)经过认真分析、研究和比对,我们认为组建“北京流光科技发展有限公司”符合“北京新时代网络技术有限公司”发展的需要,并且目标清晰、技术合理可行、所要求的网络硬件和软件功能完全可以实现。
根据“技术规范”的要求:
采用先进的计算机、网络设备和软件,以及先进的系统集成技术和管理模式,实现一个高效的办公网络体系。
可将贵公司内部形成高效、通畅、安全的网络体系,初步实现公文管理、资源共享、打印管理的电子化、网络化。对外连接到internet,是公司保持与外界先进事物以及合作伙伴、公司客户的密切联系。
网络中的各类服务器设备、客户机设备、网络设备以及各种操作系统、应用软件将考虑技术上的先进性、国内外及各行业的通用性,并且要有良好的市场形象与售后技术支持,便于维护、升级。选购的同时,将考虑在满足功能与性能的基础上的最优性价比。
为了实现基本的网络办公自动化,建设安全、健壮的公司办公局域网,网络结构将达到高效且具有良好的可扩展性,采用信息安全交换装置实现必要的信息传输。建成一个快速高效、通畅、安全的办公网络。
新建网络系统可满足公司各项管理需要,同时考虑今后功能和信息增长的要求,选择的计算机以及网络设备具有先进性,适应越来越多的信息种类(声音、动画等多媒体数据)以及信息量的处理及传输要求。
主机系统采用主流的网络操作系统,达到快速响应、安全稳定的运行,利用严格的权限设置,完善对公文的管理。根据不同部门的需求实现不同的安全级别。通过网络系统实现全公司统一的打印管理服务。
为防黑客入侵、病毒的影响,保证公司数据的安全,采用目前最主流的防毒软件。
需求分析
系统的管理
1、用户安全、帐户的管理
2、用户权限的管理
3、网络访问控制
4、事件日志
5、系统涉及以下的用户
公司经理
公司的主管
公司的普通员工
系统管理员帐户
相关系统软件及应用软件的选择原则:
●主流的操作系统:windows Server2003 和 Red Hat Enterprise Linux
4
●使用windows Server2003 构建以下服务:文件服务器、活动目录服
务、打印服务
●代理服务CCProxy。
项目设计方案
系统建设方案及目标
根据公司的系统设计要求,工程实施组织专门为公司规划设计了整个公司范围内的办公自动化系统方案。
一)全部方案实现公司内部的办公自动化,综合了如下模块:
1、网络操作系统。
2、防火墙及防病毒的系统的安装与配置。
3、系统的进行管理。
二)为能实现整个系统模块的最佳兼容性,采用了如下软件:
1、操作系统,采用微软公司的网络操作系统windons serever2003和相应的网络服务。
2、防火墙采用symantec公司的诺顿。
3、本设计方的实施能满足:
*满足办公自动化的所有需求。
* 实现所有用户均能利用公司分配的用户帐户和密码登录到网络并在权限
允许的范围内合理地使用网络中的资源。
*利用是symantec防火墙系统为整个网络提供安全保障。整个系统结构清晰,疫计合理安装配置简单,提供了最佳的性能和可管理性,并障良好的性价比。
本方案的设计和实施满足了公司信息仅建设的全部要求,真正实现网络代办总体设计思想。随着网络技术的发展,企业对网络应用也越来越多,办公自动化系统的设计和实现领域也不断出现新的产品和新的解决方案。
1、可用性。保证全部系统可用并提供公司所需要的所有功能是本方案的根本。在网络操作系统上,我们选择了微软的Windows server2003,所有客户机用微软的XP。本方案的设计中,利用微软的windows server 2003 实现了公司所有用户帐号的集中管理和组织,系统采用了windows提供的目录服务功能,将所有帐户和网络资源集中管理,并分别对用户设置了合理的权限。
2、性能。为了使整个网络系统具有较高的性能,除了依靠完善的网络结构以外,方案设计中采用了专用服务器作为系统的核心服务器(域控制器),系统设计中,除了利用硬件的功能提高性能之外,采用windows server 20003 系统也只开放了必要的服务,减少了不必要的资源,进一步提高网络的性能。
3、可管理性。良好的管理系统能否正常运行的关键。此方案中,管理可以使用系统提供的工具方便地管理系统的每一个功能。利用windows server 2003 提供的“活动目录和计算机管理”工具,可以方便地将总公司及分公司的用户集中组织和管理,解决了工作组方式下的安全性差和用户管理的困难问题。此外windows 系统提供的终端和服务和MMC控制台,允许管理在网络中任一计算机上管理网络中的其他服务器或客户机。根据《天一销售工程发展有限公司》的需求,在次方案中采用单域的设计,为了安全,建立了额外域控制器。利用单域,系统管理员可以方便的集中管理公司网络中的所有资源,如果新增加了服务器,或者新加入的用户,都可以在集中的位置通过活动目录查看和管理。即使公司管理结构发生变化,也只需要通过添加或删除OU 进行管理。
4、可靠性。为了实现系统的可靠性,除了采用新的操作系统作为系统软件
外,系统建设中采用两台相同服务器,保障在一台服务器出现问题时,仍能够保证网络的正常使用。
5、可扩展性。为了适应公司未来发展业务增长带来新需求,为了适应公司的业务增长带需求,服务器的硬件使用便于升级的产品,软件选择正版产品,在获得更好的售后技术支持的同时,又便于升级到新的推出的系统,始终可以满足公司使用最新的软件产品的要求。
6、安全性
A. 防火墙的设置
B. 域环境的设计,通过单域实现公司资源的集中管理,通过安全规则和安全等策略增强了系统安全性。
C. 身份验证机制的设计,通过身份验证使非授权用户无法进入系统,从而也就不能对系统造成实质性的破坏了。
D.访问权限的设置,在Windows系统中,可以方便的设置访问权限,保障文件资源和邮件只被授权的用户访问。并且只有授权用户的管理员才能更改系统中的设置,防止由于用户误操作造成系统的崩溃。
7、简单及成本。整个网络的设计充分考虑系统的设计简单性原则,并在足以大特性上降低了系统建设的成本。网络的设备一律采用Cisco公司的交换机和路由器,便于配置和管理。软件部分用微软产品。这样大大降低了实施的成本和管理的成本。系统设计所需域模式,集中存储了网络中的用户和资源,使管理员和用户不必为寻找资源而费力,只需要单一帐户和一次登陆,就可以访问网络中的所有资
源,充分体现简单和实用原则。
工程实施
一、工程实施概述
依据本项目的特点,本公司将调集本公司内最优秀的技术力量组成网络工程综合布线项目组,从组织上保证此项目从施工、安装、调试、试运行到维护保障、技术支持、技术培训、售后服务等各个环节有强大的技术力量进行支持并落实到人。项目组内责任明确,分工合作,协调配合。该项目组将保持技术队伍的稳定,直到该项目维护期结束后才撤消。
工程实施过程主要分两个阶段:
1) 随装修一起进行的布线系统实施过程
2) 系统具体实施过程
二、布线系统实施
布线系统实施的前期部分因为和装修有很大关联,所有要根据装修工程的进度进行相应进行。
在主干线槽以及分支铁管施工完成后,可以进行放线部分工作,由于系统结构比较简单,要求在一天内完成,根据现场实际情况,对暴露在线槽外的线缆进行相应的保护。完成后,相应的土建施工可以继续进行。
墙面插座的安装和强电墙面插座同步进行,因为数量少,要求在2个小时内完成。办公隔断内的布线施工以及插座模块的安装与家具安装同步进行。在办公隔断安装顺利的情况下,在一天内完成。
网络机柜内线缆的整理和配线架的安装在装修完成后进行,由于信息点数量不大,要求在一天内完成。配线架安装在机柜上部。所有线缆上应该按照设计做好标记,插座面板和配线架上按照设计标记信息点编号,以方便日后的管理维护。
三、系统整体实施
装修工作完成,家具到位后开始系统的实施工作。系统实施分两部分同时进行。
1) 网络和服务器的安装:将交换机和路由器安装到标准机柜中。由于重量比较大,为了不提高机柜的重心,3台服务器依次安装在机柜下部,配线架安装在机柜上部,路由器和交换机安装在配线架和服务器之间。3台服务器的显示器和鼠标键盘用延长线连接到机房办公桌上,然后通过短跳线连接到交换机相应端口。首先对路由
器和交换机进行配置调试,然后安装并配置好4台打印机的网络接口卡,连接到系统中。安装服务器的操作系统,根据系统设计方案配置服务器。
2) 客户端的安装:按照设计方案安装配置所有的客户端计算机,连接到系统中 本项目组计划有由项目经理1名、计划与质量管理经理1名、项目协调经理1名、项目施工经理1名、安装调试工程师和施工技术人员若干名组成。以保证整个项目的顺利实施。
四、整体布局设计
1)公司组织结构
公司管理概述:公司各部门经理向总经理负责,各部门员工向各部门经理负责。
2)公司信息需要数量分布
根据相关“技术规范”的要求,公司地处大厦4楼,楼层面积越1400平方米,基本成长方形,长40M ,宽35M 。从公司现有的组织结构入手,及房屋实际的构造。得到公司的平面设计图
信息点共有54个,详细分布如下表
地点 经理室 财务室 会议室
人事部 技术部 市场部 信息点数 4 8 2
8 16 16
总经理
技术部 财务部 市场部 人事部
3)布线设计原则
实用性、扩充性、先进性、高速性
系统能处理和传输多媒体信息,采取光缆组成网络,尽力提高网络的吞吐量。同时,应采用Client/Server 结构模式,减轻网络通信资源的开销。
可靠性
具有足够的可靠性冗余、后援存储能力和容错能力,必须保证系统能长期稳定的运行,使故障的影响局部化,网络设计应利于故障的分析与排除。
在标准网络机柜中设两个24口配线架。
第一个配线架管理大厅中的12个信息点
第二个配线架管理分隔出来的办公室中的信息点
大厦提供的Internet 接入线缆已通过吊顶中的线槽送入到机房并进入线槽到达机柜位置,将其连接到第二个配线架的24号端口(图中ISP 口)。
所有模块和配线架都使用568B 的线序接线缆。
通过短跳线在配线架和交换机设备端口间跳接,将相应信息点的设备连接到相应的交换机端口,同时可以进行灵活的管理。所有跳线的RJ-45水晶头的线序都采用568B 标准。
根据已有的主干线槽及信息点的分布情况,设计管线如下图:
图中紫色线槽为土建施工中已经设计安装好的地下暗藏金属线槽。所有线缆集中到机房的标准机柜中,安装到配线架上。
各个部门的信息点的线缆均从线槽上相应位置设置的分线盒直接进入办公隔断的踢脚板中,通过金属软管到达信息点设计位置。
该方案符合《TIA/EIA 568 商用建筑物电信布线标准》
大厦提供的Internet 接入线缆已通过吊顶中的线槽送入到机房并进入线槽到达机柜位置
所有模块和配线架都使用568B 的线序接线缆。
通过短跳线在配线架和交换机设备端口间跳接,将相应信息点的设备连接到相应的交换机端口,同时可以进行灵活的管理。所有跳线的RJ-45水晶头的线序都采用568B 标准。
789101112DT08DT09DT10DT11DT07DT12131415161718DT14DT15DT16DT17DT13DT18192021222324
DT20DT21DT22DT23DT19DT24123456DT02DT03DT04DT05DT01DT06789101112JL02JL03HY01HY02JL01JF01131415161718JF02192021222324123456DT26CW01CW02CW03DT25CW04ISP
五、网络系统设计
1)网络设备的选择
由于网络设备是整个系统的基础,因此,应该采用主流的网络产品,以保证整个系统的稳定性和持续性。在该项目中,我公司选择美国Cisco公司的网络设备,Cisco公司是全球领先的网络设备提供商,拥有世界领先的技术水平和齐全的产品线,能够提供完善的售前、售后服务。
路由器:采用2600系列路由器中的Cisco2621XM这款产品,该款能满足目前系统的需求,以及性能指标,也能方便以后的升级和扩展
Cisco2621XM路由器简介:路由器类型:模块化路由器路由器处理器:Motorola MPC860 50MHz 最大Flash内存:48MB 最大DRAM内存:128MB 固定广域网接口:可选广域接口WIC卡固定局域网接口:10/100Base-T/TX 扩展插槽:3个路由器网络协议: IEEE 802.3X
路由器网管协议Cisco ClickStart,SNMP 路由器包转发率0.03
安全标准UL 60950:2000, NOM019:1998, EN 60950:1992+A1+A2+A3+A4, ACATS 001: 1993
思科2621XM外观参数重量4.66kg 尺寸300×445×43mm
交换机:采用Cisco Catalyst WS-C2950T-24这款产品,该款可满足系统的各项应用需求。
交换机类型:快速以太网交换机MAC地址表:8000 交换机传输速率:10/100/1000Mbps 交 WS-C2950T-24交换机简介:换机工作方式:存储-转发背板带宽:8.8Gbps 包转发率:6.6Mpps VLAN支持:支持网络标准:IEEE 802.1x,10BaseT、100BaseTX、1000BaseT端口上的IEEE 802.3x全双工操作,IEEE 802.1D生成树协议,IEEE 802.1p CoS,IEEE 802.1Q VLAN,IEEE 802.3ab 1000BaseTX规范,IEEE 802.3u 100BaseTx规范,IEEE 802.3 10BaseTx规范
设备名称名称特权模式密码
路由器Cisco2621XM 123#a
1号交换机WS-C2950-1 123#a
2号交换机WS-C2950-2 123#a
3号交换机WS-C2950-3 123#a
2)网络拓扑结构设计
整个网络的拓扑图如下:
3)网络地址分配
大厦给公司提供了一个C类地址为:192.168.1.128/25,与公司网络连接的大厦路由的端口号的IP为:192.168.1.254/30,大厦外网地址:192.168.2.0/24。经过认真分析决定,我们采用一下地址分配方案。
IP地址分配表
部门IP地址作用
技术部192.168.1.129/27-192.168.1.158/27 分配给技术部PC
市场部192.168.1.161/27-192.168.1.190/27 分配给市场部PC
人事部192.168.1.193/28-192.168.1.206/28 分配给人事部PC
财务室192.168.1.209/28-192.168.1.222/28 分配给财务室PC
经理室192.168.1.225/29-192.168.1.230/29 分配给经理室PC
会议室192.168.1.233/29-192.168.1.238/29 分配给会议室PC
192.168.1.254/30 与公司网络连接的大厦路由的端口号
的IP
192.168.1.253/30
192.168.1.241/30 192.168.1.245/30 DC服务器IP地址打印服务器IP地址
为了保证目前公司所有员工都可以同时使用网络,进行资源共享和数据通信,在二层交换机上采用VLAN进划分,用于分割整个的网络的广播域。
VLAN划分表
部门VLAN
技术部VLAN 10
市场部VLAN 20
人事部VLAN 30
财务室VLAN 40
经理室VLAN 50
会议室VLAN 60
4)系统设计
根据网络规模及集中管理和结构简单的原则,整个网络系统规划为单域结构,在域内按照部门名称分别建立组织单元(OU),用于存储和管理各部门的用户、共享文件夹及打印机。整个系统结构与公司管理结构相匹配并可以实现资源的层次管理。最上层的管理单元域,域名为https://www.wendangku.net/doc/152118140.html,,下层的管理单元是组织单位,各部门的组织单位命名按部门名称的汉语拼音全拼设置。根据网络结构的变化和未来公司结构的扩展,此结构可以方便地增加和减少管理单元,充分满足了可扩展性和可伸缩性。各部门的组织单位命名按部门名称的设置。根据网络结构的变化和未来公司结构的扩展,此结构可以方便地增加和减少管理单元,能够适应公司未来人事扩展需求。根据沈阳天一销售工程发展有限公司的要求,整个域的规划如下
https://www.wendangku.net/doc/152118140.html,
技术部财务部市场部经理部共享文件夹共享的打印
机
(一)域控制器设计
1.利用Windows系统构建整个分公司的单域(额外域)结构,充分实现网络资源的集中管理,并保障管理上的简单性和低成本投入。控制器作为整个网络的核心服务器,完成对公司所有的员工的账户管理和安全策略的实施,同时在域控制器上实现对共享文件、共享打印机、代理服务器、防病毒服务器的集中管理。
2.根据网络规模,按照集中管理和结构简单的原则,整个网络系统规划为单域(额外域)结构,在域内按照部门名称分别建立组织单位(OU),用于存储和管理各部门的用户、共享文件夹及打印机。
3.需要建立用户组和用户帐号,并把帐号加入用户组。
4.在机柜里选择合适位置,如果有条件,用塔转机柜式道轨将域控制服务器安装固定在数字陪线架上,无条件则放在机柜托盘上,然后加电自检,检查无误后安装Windows Server 2003操作系统。
5.先在服务器上配置安装Active Directory和DNS服务器,建立的新域的DNS 全名为https://www.wendangku.net/doc/152118140.html,.。
6.创建经理、财务部、工程部、销售部4个组织单位(OU)。
7.建立经理组、财务部员工组、工程部员工组、销售部员工组4个用户组。
8.分姓名和职务的对应建立如分公司经理、财务主管、财务员工、工程主管、工程员工、销售主管、销售员工、用户帐户。
9.把用户组添加到组织单元中,再把用户账户添加到用户组中。
① 用户账户命名规则
? 经理部:登录名为“中文姓名汉语拼音全拼”,统一密码为abc-1234,用户下
次登录时须更改密码
? 财务部,登录名为“中文姓名汉语拼音全拼”,统一密码为Abc1234。用户下次
登录时须更改密码。其中经理赵六有事出差一个月,因此在此期间其账户处于禁用状态。
? 市场部:登录名为:shichangbu ,密码:aBc-1234,用户不能更改密码
②用户账户及用户组规划
根据员工的组织结构,为每名员工建立唯一的域用户账户,并将员工账户建立在员工所在的组织单位中。根据不同员工的个人/部门的不同状态,为每个员工的帐号进行相应的处理。本设计方案的权限分配使用AGDLP 策略,域间的权限分配使用AGUDLP 策略。
根据<<沈阳天一销售工程发展有限公司>>的规定,所有员工帐号只能在上班时登陆计算机(上班时间为8:00—18:00),故需在用户帐中设置登陆时间,将登陆时间设定为只有周一至周五可以登陆公司网络。
③因总经理和各部门经理工作的特殊需要,为其配置漫游配置文件。
配置方法:
在DC 上创建一个共享文件夹,名为share 。其共享属性为:修改。
在账户管理中,右击需要配置的账户 属性 配置文件 配置文件路径:
https://www.wendangku.net/doc/152118140.html,
总经理
技术部
市场部
财务部 张三(经理)
赵六(经理) 市场部员工
李四
冯八
王五
蔡七 木易 李二
\\192.168.1.241\share\username% ,单击确定,即可。
作为公司的DC服务器,我们采用性能较好的联想扬天奥运系列品牌电脑。其主要配置如下:
操作系统:Windows Server 2003
主要服务:目录服务、DNS服务、代理服务
计算机名:DC
IP地址:192.168.1.241/30
抱价:5888元
DC服务器图片如下:
配置完成后,把DC放置在机房中。连接在交换机上。
六、安全策略及方案
1)整个公司采用统一的安全策略,安全策略在域级别设置,将会对公司域中所有的用户和计算机生效。根据公司需要,在域安全策略中设置如下的策略
1)密码策略
启用密码必须符合复杂性要求
密码长度最小值为5
密码最长存留期为30天
帐户锁定策略
帐户锁定阀值为5次无效登录
账户锁定阀值为3次
复位账户锁定计数器为30分钟
2)审核策略
启用审核登录事件
起用审核对象访问
2)组策略
公司所有员工桌面有统一的背景,而且普通员工不可以修改桌面设置。所有员工都有关机权限。并根据不同的部门进行不同的设计。具体方法如下
?设置所有员工不能随意更改桌面背景:单击“开始”→“程序”→“管理工具”
→“Active Directory 用户和计算机”,右击域“https://www.wendangku.net/doc/152118140.html,”→“属性”→“组策略”,单击“新建”按钮,输入GPO的名字为“https://www.wendangku.net/doc/152118140.html, GPO”,单击“编辑”
进入“组策略编辑器”。选择“用户配置”→“管理模板”→“控制面板”→“显示”→双击“阻止更改墙纸”,启动该策略。关闭组策略编辑器窗口。
?配置所有员工都具有关机权限:单击“开始”→“程序”→“管理工具”→“Active
Directory 用户和计算机”,右击域“https://www.wendangku.net/doc/152118140.html,”→“属性”→双击“https://www.wendangku.net/doc/152118140.html, GPO”
进入“组策略编辑器”。选择“计算机配置”→“windows设置”→“安全设置”
→“本地策略”→“用户权限分配”选择“关闭系统”,把everyone组添加进来。
关闭窗口。
?财务部:单击“开始”→“程序”→“管理工具”→“Active Directory 用户
和计算机”,右击域“https://www.wendangku.net/doc/152118140.html,”→“属性”→“组策略”,单击“新建”按钮,输入GPO的名字为“财务部 GPO”,单击“编辑”进入“组策略编辑器”。选择“用户配置”→“管理模板”→“控制面板”→“桌面”,启用“隐藏桌面上网络邻居图标”和“删除桌面上的我的文档图标”。在“管理模板”→“任务栏和开始菜单”中,启用“从开始菜单中删除运行菜单”。
?技术部:单击“开始”→“程序”→“管理工具”→“Active Directory 用户
和计算机”,右击域“https://www.wendangku.net/doc/152118140.html,”→“属性”→“组策略”,单击“新建”按钮,输入GPO的名字为“技术部 GPO”,单击“编辑”进入“组策略编辑器”。选择“用户配置”→“管理模板”→“控制面板”→“桌面”,启用“删除桌面上的我的文档图标”和“隐藏桌面上的internet explorer图标”。在“管理模板”→“任务栏和开始菜单”中,启用“从开始菜单中删除运行菜单”、“从开始菜单中删除帮助命令”和“从开始菜单中删除搜索菜单”。
?市场部:技术部:单击“开始”→“程序”→“管理工具”→“Active Directory
用户和计算机”,右击域“https://www.wendangku.net/doc/152118140.html,”→“属性”→“组策略”,单击“新建”按钮,输入GPO的名字为“市场部 GPO”,单击“编辑”进入“组策略编辑器”。选择“用户配置”→“管理模板”→“控制面板”→“桌面”,启用“删除桌面上的我的文档图标”。在“管理模板”→“任务栏和开始菜单”中,启用“从开始菜单中删除运行菜单”和“从开始菜单中删除帮助命令”。
3)administrator的管理安全:由于administrator具有最高权限,因此由administrator的密码泄露所造成的损失是无法想象的。因此需要对administrator 进行相应的编辑处理,以保证administrator密码的安全性。
a.把Administrator藏起来:Windows系统默认的系统管理员账户名是
Administrator。因此,为了避免有人恶意破解系统管理员Administrator账户的密码,我们可以将Administrator改为其他名字以加强安全。点击“开始→运行”,输入gpedit.msc,打开“组策略”,选择“计算机配置→Windows设置→安全设置→本地策略→安全选项”,在右边窗格里双击“账户:重命名系统管理员账户”项,在上面输入你想要的用户名。重新启动计算机后,输入的新用户名即刻生效。如果再新建一个Guest用户,用户名为Administrator,然后再加上十分复杂的密码就更安全。
b.不显示上次的用户名:Windows系统默认是显示上一次登录的用户名的,但这一
人性化的设计也会造成用户帐号的安全问题。为了预防这一问题,我们需要在系统启动时禁用上一次的用户名。具体操作如下。“开始”-“运行”输入regedit 进入注册表,选择HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies \system 键,将该键dontdisplaylastusername 值由0修改为1(右键点击选择修改)。
4)安全细节
①系统的管理员的口令强度加强;
②一律NTFS分区进行文件的管理;
③启用审核策略,对系统的各种事件进行有效的审计和跟踪;
④关闭了不必要的服务和端口,以防被侵略者的侵略;
⑤及时打上系统的安全补丁;
⑥及时更新系统漏洞补丁。
注意事项:不仅网络的管理员,企业的管理者和企业中任何员工都应该建立起信
息安全的意识,这样有了安全意识后,网络才能够实现。其次是安全防护手段。
5)windows系统的安全
①停用GUEST 帐户:任何时候不允许GUEST 帐户登陆,避免他人用来宾帐户登陆获取信息
②限制不必要的用户数量:删除所有不必要的帐户,用户组策略设置相应的权限,并且经常检查系统的帐号,删除已经不在使用的帐户。
③把administrator帐号改名:这是一个系统默认的安装的帐户,很多管理员安装系统后都没去为这个帐号改名,并且可能为口令简单,容易受到攻击。
④把共享文件的权限从"everyone"组改成“授权用户”“everyone”意味着任何有全进入网络用户都能够获得这些共享资料,任何时候都不要把共享文件的用户设置为“everone”组,包括打印共享。
⑤使用安全口令
⑥启用帐户策略
⑦使用NTFS分区所有的安全特性。
⑧关闭不必要的服务
⑨设置安全策略:\system32\drivers\etc\services文件中常见端口和服务的对照表可供参考。
⑩打开审计策略
①把敏感文件放在另外服务器中
②系统上不要显示、上次的登陆名
③禁止建立空连接,默认情况下,任何用户可通过建立空连接连接上服务器,进而枚举出帐号,猜测到密码。可以通过修改注册表:\lcal_mach\syste\currentco\contro\LSA-RestrictA 值改为“1”。
④关闭默认共享:可以通过修改注册表:\HKEY-LOCAL-MACH\SYSTEM\Currentcont\servi\lanmanparam,把AutoshareServerCDWOKDJ的值改为“00000000”(手动增加)
七、打印系统
利用windows系统提供的打印共享功能,公司全部系统实现网络打印。打印机选择著名厂商HP公司的激光打印机和喷墨打印机产品,所有打印机速度不低于14 PPM,可以实现高速的黑白和彩色打印。全部打印机直接接入网络,培植打印服务器支持全公司员工的打印需求,同时利用打印权限的设置保障打印机的有效合理使用。所有打印机共享后发布在目录服务中,保证用户利用打印机的各种属性可以迅速在网络中查询到所需要的打印机
1)打印服务器配置设计
作为公司的打印服务器,我们采用性能较好的联想天骄i660系列品牌电脑。其主要配置如下:
处理类型:64位
CPU : Intel 酷睿2双核E6320 1.86GHz
主板芯片组:Intel 946GZ
内存: DDR2 2G
硬盘:250GB SATA接口 7200RPM
网卡:Realtek RTL8139 Family PCI Fast Ethernet NIC
操作系统:Windows Server 2003
主要服务:打印服务
计算机名:printsever
IP地址:192.168.1.245/30
配置完成后,把打印服务器放置在机房中。连接在交换机上。所有员工的计算机作为客户机通过安装网络打印机添加相应的打印机完成打印。
2)打印设备表单
打印机型号颜色打印机
名
共享名位置用途
HP Color LaserJet 2605 彩色Hp1 Printer-z
jl
总经理办公
室
总经理专用
HP LaserJet 1020 黑白Hp2 Printer-c
w
财务部财务部专用
HP LaserJet 1020 黑白Hp3 Printer-j
s
技术部技术部专用
HP LaserJet 1020 黑白Hp4 Printer-y
g1
大厅所有员工使用
HP LaserJet 1020 黑白Hp5 Printer-y
g2
大厅所有员工使用
打印机简介
HP Color LaserJet 2605
HP Color LaserJet 2605 彩色激光打印机,在所有文档中轻松加入鲜明的色彩,其经济适用性定会让您惊异不已。在您的办公室中惬意地打印出品质出众、引人注目的文档,让企业发展更进一步,成就各种全新的可能。此款打印机具有双面打印功能和照片卡插槽,设计紧凑,占用面积虽小,却能让您享受到便捷的文件传输和出众的性能。