老克的烦恼 拯救老克的整体方案

入题：

一、资金，既然总监说了给你支持，也分 2 种情况。

1、 钱多，我的预算在 6.5W 左右

2、 钱少，我的预算在 2.5W 左右

技术，我的技术本身不高，但也能把现在供职的公司内网管理撑起来，相信大家都做 IT 的，多 google，多资料，全部不在话下。

1、 AD 域，Server 2008

2、 H3C、Cisco ——了解 rule 命令即可；实在不行，打厂商售后技术支持；

H3C：400-810-0504

Cisco：根据地域选择吧

3、 WDS 部署 根据实际情况，看视频最后，老克公司有台式机，笔记本。既然是公司且含有客服部，这样的公司 PC 和 Notebook 应该是统一型号或者相差不多。

4、 编写需强制性执行守则文档。

二、设备、 必须：

1、一至两台中低档的服务器，拿来做 AD 域服务器。我们公司用的 DELL 710，我 名下的几台域服务器，也就 2.3W 一台。（只有一台服务器的，就拿来做主域，再 找台配置高点的 PC 或者其他服务器做备份域服务器；两台服务器的就一台主一台 备份）

2、企业版杀毒软件。获得这些杀毒软件的流程请自行 google，正版或者盗版看领 导意思。我个人推荐迈克菲，部署方便是主要，杀毒也是不错的。杀毒软件的服 务器，不必那么高，目前我们公司企业杀毒软件我也只是放在一台 PC 上面。

3、支持 Vlan，Dhcp 的网络设备。这些老克公司应该都有的。Dhcp 服务器可以直接搭建在域服务器上。

这样算下来，一台服务器的话也就在 2.5W 左右，如果有空闲的服务器最好了，连这 笔钱都省了，杀毒软件和操作系统请自行获得。

PS：看视频中的一些人员还有环境猜测，有实力购买全套正版工具的公司也不会出现这 样的问题了，呵呵。仅仅题外话。

可选：

1、 上网行为管理设备。网康或者深信服 北方用网康多些，南方用深信服多些。地域文化的一些差别，呵呵。 如果老克的老总或者一些部门领导希望自己有更多的特权就选择深信服，深信服 更为圆滑一点。

实施步骤：（也不能算的上是实施步骤，我多写点可以解决哪方面的问题吧）

一、 搭建域环境，微软公司明确建议过，局域网中超过 10 台 PC 就最好搭建域环境

1、 操作系统 Server 2008 （也许我可以给你提供一枚 KEY）

2、 搭建域的方法和方式自行 google，51cto 里也有很多文献资料

PS：细节

1、 直接从 AD 域下发禁用 360，360 杀毒，电脑管家，市面上比较流行的计算机优化管理软 件的策略。（具有域工作模式的公司里的 IT 相信都很反感某些计算机优化管理软件吧）

（禁用这些软件可以使通过域管理的计算机更稳定，那些软件很有可能阻碍你的下发策略）

2、 直接在路由中 deny 掉上述软件的官网和任何下载地址

（禁止通过公司网络下载这些软件）

3、 某些部门可以根据实际情况在域服务器上下发禁用 USB 接口

（加强信息安全）

4、 域服务器统一下发本地管理员账号和密码（即加了域的计算机，本地管理员账号和密码 将修改，以防止某些用户登录本机管理员）

（防止员工猜测或者直接破解管理员密码）

二、 员工系统（XP 为主，视频看到）---只要电脑型号不太老，都是支持网卡 PXE 模式的，也就是网络启动。

1、 从网络上 Download Windows XP SP3（安装使用前先 MD5 校验码是否与官方公布相同） 这套系统直接关系到公司内所有电脑的系统一定要保证是干净纯净。

（安全纯净才是王道）

2、 在一台硬件设备都完好的 PC 上，安装 XP XP3，打好官方所放出的所有安全补丁以及系 统补丁，以及常用的办公软件 Office，RAR，PDF

（保证系统的及时可用性。如果公司的电脑设备硬件不同，请收集硬件驱动存在在 C 盘某新 建文件夹中）

3、 封装此系统，切忌只能封装，不要妄想 Ghost，Ghost 出来的系统安全标示符是一模一样 的。在域工作模式下的 PC 中的操作系统，系统安全标示符不能相同。

4、 既然已经中了病毒，就重新安装系统，通过远程网卡安装，100MB 交换机 15 分钟一台。 系统重装，是全体公司员工重装。遥想我当时公司的 400 台电脑啊！哈哈！

（这里你可以部署一台 FTP 或者直接在一台 PC 上开启全员共享，把他们的个人资料， 工作资料上传到此处，然后把员工电脑全盘格式化。放置员工文件的那台 PC，安装一个 杀毒软件，提示：中毒文件不要删除，隔离掉，以防删除了员工资料）

PS：细节

1、 保证系统纯净不要做任何所谓的优化，一些官方允许的优化你都可以在最后通过域服务 器下发策略来完成。

2、 不要想通过 Ghost 来完成部署。原因不明请 google。

3、 封装的系统最好是能完成最基本的办公操作，什么技术部，财务部的软件不要安装并封 装。

WDS 部署：（通过网络上的教程来操作，一般不会出现什么大问题） 我们之前在实施时，由于网卡驱动在 WDS 中添加的引导文件中不包含，这个问题纠结了 24 小时，后来直接把网卡放在了引导文件中即解决。

WDS 部署前，要确定你的域环境是搭建好的，稳定的。因为你部署完一台电脑就把这台电 脑加入公司域去。让员工使用他们唯一的账号来登录系统。

三、 网络环境

1、 尽可能的划分出部门的 Vlan，至少我们公司是把客服部单独划分出来了，直接禁用了客 服部的网络，只放开几个单一的网站。

2、 在全网中，通过 rule deny 掉一些网站，垃圾网站和一些娱乐网站，一些游戏网站。因为 这些网站是人们大多数喜欢访问的，受到黑客的挂马也是正常的。你直接 deny 掉。

3、 添加 acl 开放一些网站给自己或者其他领导层用

四、部署企业杀毒软件

1、 企业杀毒软件都是与 AD 域想通的，加入域的计算机可以直接在后台安装杀毒软件，通 过杀毒软件服务器设置可以禁止客户机不能关闭杀毒软件。

服务器租用/服务器托管中国五强！虚拟主机域名注册顶级提供商！15年品质保障！--亿恩科技[ENKJ.COM]