毕业设计（论文）-基于Windows Server 2003小型企业的管理.doc

南通农业职业技术学院毕 业 论 文课 题 名 称基于Windows Server 2003小型企业的管理专业及班级网管3061学 号0663304101姓 名王文娟指 导 老 师杨健兵2008年12 月28 日基于Windows Server 2003小型企业的管理摘 要随着局域网与广域网应用的进一步融合，原来一直被认为是安全地带的企业局域网，现在也不能独善其身了，各种各样的安全威胁同样使得它无处可躲。当然“躲”是“躲”不过的，除非完全隔绝与外界网络的联系，但这在当前信息化时代中是不可能的。面对这一现实，本课题着实从企业的实际需求制定网络安全策略。工作组类型的局域网已不能够满足小型企业发展。而Windows Server 2003操作系统诞生，为小型企业的管理增强了安全性。Windows Server 2003是迄今为止提供的最快、最可靠和最安全的Windows服务器操作系统之一。Windows Server 2003提供灵活易用的工具，有助于使用户的设计和部署与单位和网络的要求相匹配。通过应用组策略使任务自动化以及简化升级来帮助管理员主动管理网络；通过使用VPN、IPSEC使网络传输数据变得更安全。Windows Server 2003系统的安全策略配置对整个网络操作系统安全性影响非常大。关键词 Windows Server 2003 IPSEC VPN 网络安全Based on Windows Server 2003 Small Business ManagementAbstractWith the local area network and wide area network applications for further integration that has been regarded as a safe corporate LAN, it can not be an exception, a wide range of security threats also make it nowhere to hide. Of course, hide is hiding .However, unless completely isolated from the network of contacts with the outside world, but in the current information age is impossible. In the face of this reality, the issue really from the actual needs of the development of enterprise network security strategy.Working Group on the type of local area network has been unable to meet the small-scale enterprise development. The birth of the Windows Server 2003 operating system for small businesses to enhance the management of security. Windows Server 2003 is so far provided the fastest, most reliable and most secure Windows Server operating system. Windows Server 2003 to provide flexibly and easily-to-use tools, allowing users to contribute to the design and deployment with the unit and to match the requirements of the network; Group Policy through the application of automation and simplify the task of making upgrades to help network administrators manage the initiative; through the use of VPN, IPSEC network to transmit data more secure.Windows Server 2003 system security policy configuration of the entire network operating system security is very big impact.Keywords Windows Server 2003 IPSEC VPN network security目录1 引言12 鑫源科技公司结构简介12.1 鑫源科技公司工作组结构12.2 鑫源科技公司的拓扑结构13 Windows Server 2003服务器安装与配置23.1 安装Windows Server 2003服务器23.2 Windows Server 2003服务器的配置33.2.1安装Active Directory33.2.2 创建OU43.2.3 创建组和用户43.3 安装与配置DNS服务器53.3.1 安装DNS服务器53.3.2 配置N1上的DNS服务53.3.3 DNS客户端的设置63.3.4 测试DNS63.4 安装与配置DHCP服务器73.4.1 安装DHCP服务73.4.2 配置DHCP服务83.5 配置FTP服务器93.5.1 安装FTP服务器93.5.2 配置FTP服务器103.6 客户机的配置104 基于Windows Server 2003小型企业网络安全104.1 利用组策略加强Windows Server 2003系统的安全性104.1.1 什么是组策略114.1.2 用组策略强制密码策略114.1.3 账户锁定策略的安全设置124.1.4 在Windows Server 2003中如何防止用户更改密码134.1.5 组策略的应用144.2 限制用户登录154.2.1 限制用户登录时间164.2.2 限制用户登录地点164.3 利用虚拟专用网（VPN）加强远程连接的安全性174.3.1 如何配置VPN服务器174.3.2 通过远程策略控制客户端的连接184.3.3 （统一的身份验证管理）RADIUS服务器204.4 基于IPSec的网络安全204.4.1 什么是IPSec214.4.2 IPSec策略规则214.4.3 默认响应规则214.4.4 IPSec协议的应用22全文结论26致谢27参考文献28南通农业职业技术学院学生毕业论文王文娟：基于Windows Server 2003小型企业的管理 正文 第 29 页 共 28 页1 引言Windows Server 2003 是构建网络的重要工具。Windows Server 2003提供集成结构，用于确保商务信息的安全性，提供可靠性、可用性和可伸缩性，提供用户需要的网络结构。本课题主要研究将小型企业（鑫源科技公司）工作组结构扩展为域结构，使用Active Directory实现对鑫源科技公司的管理。包括使用DNS服务器，DHCP服务器，FTP服务器实现对鑫源科技公司下的各组织单位、组、用户的管理。利用Windows Server 2003的网络安全从而实现小型企业的安全性管理。企业网络安全策略的实施是一个系统工程，它涉及许多方面，既要充分考虑到那些平时我们经常提及的外部网络威胁，又要对来自内部网络安全隐患有足够的重视。我们不能孤立地看待任何一个安全隐患和安全措施，因为这些安全隐患爆发的途径可以是多方面的，而许多安全措施都是相辅相成的。为了防范这些网络安全事故的发生，企业网络用户必须采取足够的安全措施，甚至可以说要在利益均衡情况下不惜一切代价。2 鑫源科技公司结构简介鑫源科技公司原本是工作组的环境，用于帮助用户查找组内打印机和共享文件夹之类的对象。现为发展的需要，公司的规模需进一步扩大，需要加入域环境。2.1 鑫源科技公司工作组结构鑫源科技公司用一个C类地址/24组网。如下表2.1所示：表 2.1 鑫源科技公司工作组结构对应的组相应的用户主机数量对应的IP地址范围Human resourceTest10台7-10CountingJack25台5-4Sales marktingLucy50台28-91Client ServerMary10台13-262.2 鑫源科技公司的拓扑结构核心交换机汇聚交换机人力资源部财务部销售市场部客户服务部图2.1鑫源科技公司的拓扑结构3 Windows Server 2003服务器安装与配置Windows Server 2003对于企业的应用，构建网络是非常重要的，Windows Server 2003具有稳定性和易用性，并且提供了更好的硬件支持和更强大的功能，是小型网络使用非常广泛的服务器操作系统。3.1 安装Windows Server 2003服务器 将安装光盘放入光驱，进入安装界面,回车后会出现软件的授权协议，按F8键同意其协议后进入下一步。接着安装程序会自动搜索系统中已安装的操作系统，并询问用户将操作系统安装到系统的哪个分区中，接着选择C盘。接着会询问采用何种方式对分区格式化。要想发挥Windows Server 2003安全稳定的特点，就得选择NTFS格式。一切“对话”完成后，安装程序开始从光盘复制安装文件到硬盘上，随后会提示你重启计算机。 短暂的重启后，进入安装的实质界面。安装程序开始收集必要的安装信息，并在左下角提示出安装的完成时间。 接着会出现“区域和语言选项”互动窗口，不管它直接按“下一步”。 在“个人信息”窗口中，可随意输入你的信息后按“下一步”。 安装程序必不可少的一步，就是输入安装序列号，一般在光盘封面或说明书里可找到。 在“授权模式”窗口里要稍稍注意。对于服务器的安装来说，此时最好先就设置好允许多少客户端同时连接此服务器；而对于单机用户来说，不用管它直接点“下一步”即可。 在“计算机名称和管理员密码”窗口里，可以先在这里设置计算机名和admin的管理密码，当然也可以安装完成后在系统里创建。 如果你不是很清楚网络的相关设置，就保持其默认的“典型设置”。 在设置工作组或计算机域的时候，不论是单机还是局域网服务器建议都选第一项，当把系统安装完毕后再进行详细的设置。 接下来的事就交给安装程序，它将开始安装开始菜单项和对组件进行注册等最后的设置。3.2 Windows Server 2003服务器的配置3.2.1安装 Active Directory域和工作组的差别：首先创建方式不同，“工作组”可以由任何一个计算机的主人来创建，他在“工作组”输入新名称，重新启动一下就创建了一个新组，每一个电脑都可以创建一个组。而“域”只能由服务器来创建，其他的计算机只能加入这个域。其次安全机制不同，在“域”中有可以登录该域的帐号，这些由域管理员来建立。在“工作组”中不存在组帐号，只有本机上的帐号和密码。再次登录方式不同，在工作组方式下，计算机启动后自动就在工作组中。登录“域”是要提交“域用户名”和“密码”，一旦登录，便被赋予相应的权限。前提：操作系统：Windows Server 2003 计算机名：N1IP：5 根域名： DNS：5 子网掩码：24 以管理员身份登录，运行Dcpromo.exe，启动Active Directory安装向导，根据下表表2.2完成Active Directory安装向导。表2.2 Active Directory安装向导向导页操作域控制器类型选择“新域的域控制器”创建一个新域确认选中“在新林中的域”新的域名输入“” NetBIOS域名确认“N1”出现数据库和日志文件文件夹默认值共享的系统卷默认值续表2.2向导页操作DNS注册诊断默认值权限默认值目录服务还原模式的管理员密码以“pssw0rd”作为密码摘要单击“下一步”在“正在完成Active Directory安装向导”页，单击“完成”。结束后按照提示重启计算机，然后登录。3.2.2 创建OU 以管理员身份登录 N1，运行“ Active Directory 用户和计算机”。 在“”上单击鼠标右键，在“新建”中选择“组织单位”。 按照下表鑫源科技公司组织结构，创建相应的 OU（每一个部门作为一个单独的 OU 进行创建，注意层次关系）如下表3.1所示：表3.1 鑫源科技公司组织结构组织单位对应的组相应的用户人力资源部Human resourceTest财务部CountingJack销售市场部Sales marktingLucy客户服务部Client ServerMary3.2.3 创建组和用户 创建组在对应的组织单位添加相应的组，操作步骤如下：“开始”“所有程序”“管理工具”“AD用户和计算机”“” 右键“Users”“新建”“组”。在出现对话框的“组名”下方输入新组的名称（如Human resource），该名称将自动显示在“组名（Windows 2000以前版本）”下方；在“组作用域”下方选择“全局”，在“组类型”下方选择“安全域”。然后单击“确定”。 创建用户当组创建好后，就可以按照预先规划方案，给组中添加用户。加入域后鑫源科技公司网络拓扑结构如下图3.1所示：汇聚交换机域，服务器群（DNS DHCP FTP VPN）核心交换机人力资源部财务部销售市场部客户服务部图3.1 鑫源科技公司网络拓扑结构3.3 安装与配置DNS服务器域名管理系统DNS（Domain Name System）是域名解析服务器的意思，它在互联网的作用是：把域名转换成为网络可以识别的IP地址。鑫源科技公司为了让客户或员工能够访问其网站服务器，或者更好的与互联网交流，需要建立DNS服务器。3.3.1 安装DNS服务器 以管理员身份登录 N1。 从“控制面板”中打开“添加或删除程序”。 单击“添加/删除 Windows 组件”。 在“Windows 组件向导”中，单击“网络服务”，单击“详细信息”。 选择“域名系统（DNS）”，单击“确定”。 单击“下一步”，等待安装完成。 单击“确定”，关闭“Windows 组件向导”，然后关闭“添加或删除程序”。 确认“开始”菜单，“管理工具”中，出现“DNS”，并能正常打开。3.3.2 配置N1上的 DNS 服务 主要区域的创建 选择“开始”“程序”“管理工具”“DNS”，打开DNS窗口。 展开“正向查找区域”，右键单击“正向查找区域”，选择“新建区域”。 进行新建区域的操作，如下表3.2所示：表3.2 正向区域的创建向导页面操作欢迎使用新建区域向导单击“下一步”区域类型选择“主要区域”，确认“在 Active Directory 中存储区域”选中Active Directory 区域复制作用域选择“至 Active Directory 域 nwtraders2.msft 中的所有域控制器”区域名称输入“”动态更新选择“只允许安全的动态更新”正在完成区域向导单击“完成” 返回DNS窗口，新建的区域将显示在窗口中。 在主要区域内创建记录 选择“开始”“程序”“管理工具”“DNS”，打开DNS窗口。 在DNS窗口中选择已创建的主要区域“”，右键单击选择“新建主机”，在名称中输入“www”，IP地址输入该主机对应的IP地址“5”。那么该计算机的域名就是“www. ”,当用户在浏览器中输入“”时,IP地址将被解析为5。根据需要，可以添加多个主机记录，也可创建反向查找区域，别名记录，邮件交换记录。3.3.3 DNS客户端的设置 打开”控制面板”“网络连接”“本地连接”，右键单击“属性”，打开本地连接属性。 在对话框“此连接使用下列项目”中选取“Internet协议(TCP/IP)”项。在“首选DNS服务器”输入IP地址“5”，即可。3.3.4 测试DNSDNS服务器和DNS客户端配置完成后，可以使用各种命令（如ipconfig,ping,nslookup等）测试DNS是否配置正确。测试时，首选通过ipconfig命令，查看客户端计算机的DNS服务器设置，在命令提示符下输入ipconfig/all命令。确定DNS服务器配置正确后，使用ping命令来确定DNS服务器是否在线。如果ping DNS服务器的主机名，将会返回对应的IP地址及响应的简单统计信息。输入：ping .测试DNS服务能否将IP地址解析成主机名，输入：ping -a 5。除了上面的方法外，可用专门的测试工具nslookup进行测试，如下图3.2所示。图3.2 nslookup测试结果3.4 安装与配置DHCP服务器DHCP是动态主机配置协议（Dynamic Host Configuration Protocol）的简称。DHCP实际是一种动态的机制，它允许客户机在启动引导时请求一个地址，并且有一个集中的库来记录这些名称及地址。DHCP 能够自动完成系统管理的地址管理工作的部分。鑫源科技公司为了能够更好的管理网络，需要安装与配置DHCP服务器。3.4.1 安装DHCP服务 打开“控制面板”窗中，在窗口中双击“添加或删除程序”图标，打开“添加或删除程序”对话框，然后再单击“添加或删除Windows组件”按钮。 在弹击的“Windows 组件向导”对话框中，我们在“组件”列表框中找到并选中“网络服务”项（注意不要单击钩中“网络服务”前面的方格，否则所有的网络服务都会被选中），然后再单击列表框下方的“详细信息”按钮。 接着就会弹出一个“网络服务”对话框，在对话框的“网络服务的子组件”列表框中我们找到并钩中“动态主机配置协议（DHCP）”项，然后单击“确定”。 待回到“Windows 组件向导”对话框之后，单击“下一步”按钮，接着系统就会配置我们所安装的Windows组件，直到完成。这样DHCP服务就安装完成了。3.4.2 配置DHCP服务 授权DHCP服务器在Windows 2003中，必须对Active Directory域环境中的DHCP服务器进行授权，以防恶意DHCP服务器联机侵入，并对DHCP服务器进行授权。授权DHCP服务器，操作步骤： 单击“开始”“单击程序”“管理工具”，然后单击DHCP。 在DHCP管理单元的控制台树中，选择这个新的DHCP服务器。如果在服务器对象的右下角有一个红色箭头，说明该服务器尚未被授权。右键单击该服务器，单击“授权”，过一会，再次右键单击该服务器，然后单击“刷新”，该服务器将在右下角显示一个绿色箭头以表明该服务器已被授权。 设置新的作用域安装并启动DHCP服务以后，您必须创建一个作用域，一个可用来租用给DHCP客户机的有效IP地址范围。环境中的每个DHCP服务器至少都应该有一个，不与环境中其他DHCP服务器的作用域相重叠的作用域。 打开“开始”菜单，单击“程序”子菜单项，再单击“管理工具”子菜单项，在弹出的子菜单中我们单击“DHCP”菜单项，打开DHCP管理窗口。 建一个新的作用域。其方法为：执行“操作”菜单下的“新建作用域”命令，接着会弹出“新建作用域向导”对话框，此时单击“下一步”按钮，就会弹出“新建作用域向导”“作用域名”对话框，在“名称”后的文本框中输入我们即将新建的作用域的名字，如：“财务”，然后单击“下一步”按钮，在“新建作用域向导”“IP地址范围”对话框中，我们可以根据自己网络的实际情况设置好作用域的IP地址范围，如：从“5 4”，单击“下一步”按钮。 键入要从输入的范围中排除的IP地址。这包括已经静态分配给组织中各计算机的任何地址，如：从“5 6”。单击“下一步”。 键入从该作用域中租用的IP地址到期前的天数、小时数和分钟数。这决定了客户机在不更新的情况下可以保留一个租用的地址多长时间。单击“下一步”，选择“是，我想现在配置这些选项”，然后继续使用向导，为最常用的DHCP选项进行设置。单击“下一步”。 键入从该作用域获取IP地址的客户机应使用的默认网关的IP地址：4，单击添加将默认网关地址放入列表中，然后单击“下一步”。注意：网络中已经存在DNS服务器，请在父域中键入您的组织的域名：。键入您的DNS服务器名称，然后单击“解析”，确保DHCP服务器可以与DNS服务器联系，并确定它的地址。然后单击“添加”，将该服务器，包括在分配给DHCP客户机的DNS服务器列表中。单击“下一步”。单击“是，我想现在激活此作用域”，激活该作用域，使得客户机可以从中获得租用地址，然后单击“下一步”。单击“完成”。 DHCP客户端的设置 将“Internet协议(TCP/IP)”项设置成“自动获得IP地址”。 在“开始”“运行”“cmd”中，输入ipconfig /release,ipconfig /renew来获得地址池分配的IP地址，如下图3.3所示。图3.3 DHCP客户端获得的IP地址3.5 配置FTP服务器FTP 是 TCP/IP 协议组中的协议之一，是英文File Transfer Protocol的缩写。该协议是Internet文件传送的基础，它由一系列规格说明文档组成，提供非直接使用远程计算机，使存储介质对用户透明和可靠高效地传送数据。鑫源科技公司为了提高文件的共享性，搭建了FTP服务器。3.5.1 安装FTP服务器 打开“控制面板”窗中，在窗口中双击“添加或删除程序”图标，再单击“添加或删除Windows组件”按钮。选中“应用程序服务器”前面的复选框，将看到复选框变灰色显示，表明默认安装了IIS的基本组件。 选择“Internet信息服务（IIS）”，单击“详细信息”按钮，选中“文件传输协议（FTP）服务”安装FTP服务器，单击“确定”，完成对IIS的安装。3.5.2 配置FTP服务器 在“Internet信息服务（IIS）管理器”，窗口中，右键单击“默认FTP站点”按钮，在弹出的快捷菜单中选择“新建”“FTP站点”命令。 显示“FTP站点创建向导”对话框，单击“下一步”，填写“FTP站点描述”。如“My Ftp Site”,单击“下一步”。 在打开的“IP地址和端口设置”对话框中，为FTP服务器指定一个静态IP地址为“6”，并设置默认TCP端口号21，单击“下一步”。 在“FTP用户隔离”对话框中指定FTP服务器隔离用户的方式，选择“不隔离用户”（用户可以访问其它用户的FTP主目录）。 在显示“FTP站点主目录”对话框中，输入主目录的路径c:ftp，单击“下一步”。 在“FTP站点访问权限” 对话框中，给主目录设定访问权限。单击“下一步”。 出现成功完成“FTP站点创建向导” 对话框，单击“完成”。 这时“Internet信息服务（IIS）管理器”，窗口中将显示新建的FTP站点，可对其属性进一步的设置。 连接FTP站点：使用Web浏览器访问FTP站点时，在地址栏中输入“6”。3.6 客户机的配置客户端采用 Windows Server 2003系统或Windows xp系统即可。4 基于Windows Server 2003小型企业网络安全 Windows Server 2003系统的安全策略配置对整个网络系统的安全性影响非常大。其主要功能是利用组策略，VPN，IPSEC实现其网络的安全性。4.1 利用组策略加强Windows Server 2003系统的安全性Windows安全策略通过向用户提供限制性的访问权限，能够有效地保护Windows计算机。用户如果没有合理地配置Windows安全策略，其注册表，控制面板以及其他重要的系统设定可能会被篡改，轻则导致系统运行的不稳定，重则会导致系统崩溃。因此，在网络中适当地配置每台Windows计算机中的安全策略是非常重要的。 4.1.1 什么是组策略组策略则将系统重要的配置功能汇集成各种配置模块，供管理人员直接使用，从而达到方便管理计算机的目的。4.1.2 用组策略强制密码策略用组策略强制密码策略可以有效的控制企业内部人员在创建用户时，密码必须符合复杂性要求，以增强系统的安全性。 选择“开始”“程序”“管理工具”“Active Directory用户和计算机”。 右键单击“”,选择“属性”，打开组策略，编辑域缺省策略“Default Domain Policy”,选择“计算机配置”“Windows设置”“安全设置”“帐户策略”“密码策略”，如下图4.1所示：图4.1密码策略配置 现在当我们去Active Directory用户和计算机，在销售市场部下创建用户sale时(未设置密码)报了个错，说明创建用户时密码必须符合复杂性要求，如下图4.2所示：图4.2 密码策略测试4.1.3 账户锁定策略的安全设置帐户锁定策略是Windows Server 2003提供的一项安全设置功能，它在指定时间段内进行了多次登、录尝试失败后将锁定用户帐户，不再允许该用户帐户尝试登录该系统。 帐户锁定策略的作用允许尝试的次数和时间段可通过策略配置进行设置。Windows Server 2003可跟踪登录尝试，通过对服务器软件的配置，当尝试登录的次数超过预设值，将禁用该用户帐户，从而对潜在攻击作出响应。这些策略设置有助于保护用户密码，防止攻击者猜出密码，因此降低了网络攻击的成功可能性。 帐户锁定策略的设置 右键单击“销售市场部”，选择“属性”，打开组策略，编辑“sales”策略. 选择“计算机设置”“Windows设置”“安全设置”“帐户策略”“帐户锁定策略”，在打开的组策略对象编辑器中进行配置。(帐户锁定时间：5分钟；帐户锁定阈值：3次无效登陆；复位帐户锁定计数器：5分钟) 如下图4.3所示：图4.3 账户锁定策略配置 在客户端Lucy用户验证登录。当3次无效登录后，用户将被锁定，5分钟之后将被解除，变为0次无效登录。4.1.4 在Windows Server 2003中如何防止用户更改密码用组策略强制密码策略可以有效的控制企业内部人员对其密码的任意更改，便于管理人员的管理。通过组策略设置，可以防止域用户在未得到允许的情况下来自行更改密码，具体方法如下： 选择“开始”“程序”“管理工具”“Active Directory用户和计算机”。 选取要进行新密码更改策略的组织单位“销售市场部”，单击鼠标右键，在出现的快捷菜单中选择“属性”，并在打开的对话框中选取“组策略”标签项。 选择sales“组策略对象链接”，然后单击“编辑”按钮，将打开如图所示的“组策略编辑器”窗口。 依次展开“用户配置”“管理模板”“系统”“Ctrl+Alt+Del选项”，打开如图所示窗口，如下图4.4所示：图4.4 启用更改密码设置 在右侧窗格中选取“删除更改密码”选项，单击鼠标右键，在出现的快捷菜单中选择“属性”命令，在打开的对话框中选取“已启用”单选按钮。 单击“确定”按钮，退出“组策略编辑器”管理单元和“Active Directory用户和计算机”管理单元。 选择“开始”“运行”，在打开的对话框中输入“cmd”命令，然后单击“确定”按钮，进入命令提示符操作窗口，并输入以下命令：gpupdate。重新将安全性设置应用到组策略对象，以刷新系统的组策略。4.1.5 组策略的应用 管理模板(作用：通过图形化的设置更改客户端的注册表) 服务器端的配置编辑已定义的组策略(rlzy)（让其对应的组织单位中的Test用户来生效这个组策略）。展开“用户配置”“管理模板”“Windows组件”“IE”中设置启用“禁止更改主页设置“；“任务栏和开始菜单”中设置启用“从开始菜单中删除运行菜单”；“桌面”中设置启用“从桌面删除回收站”；“控制面板”中设置启用“隐藏设置选项卡”。 在客户端用Test用户登录来验证刚才的设置。 脚本 选择“Windows设置”“脚本”（计算机下的脚本：启动/关机脚本；用户下的脚本：登录/注销脚本）例：登录脚本 服务器端的配置在桌面上新建一个简单的VBS脚本：编辑调用msgboxhello!函数，以文件名login.vbs保存，双击运行。设置登录脚本：右击“登录”“属性”“添加”“浏览”找到刚才编辑的脚本（必须将脚本放在默认的位置，不写路径，只有脚本名）确定。 在客户端用Test用户登录验证登录过程中客户端会把这个脚本从服务器端下载到客户端并实现这个脚本。 文件夹重定向 （目的是让客户端Application Data，桌面，我的文档，开始菜单四个文件夹重定向到任意一个共享文件夹） 服务器端的配置 在DC上新建一个文件夹C:/doc，共享，将权限放到最大。“用户配置”“Windows设置”“文件夹重定向”，“我的文档”重定向，右击“属性”，根路径下输入：1doc。 客户端用Test用户登录验证选择“开始”“运行”“gpupdate /force”刷新组策略。注销Test用户，查看我的文档位置，右击“属性”，目标文件夹下为：1docTest我的文档。再到服务器的C:/doc下查看有“Test我的文档”。注：在文件夹重定向中，默认情况下我的文档只有用户自己可以访问（在其客户端上直接双击即可），任何其他人都访问不了。 软件分发 服务器端的配置选定一个软件并共享。“用户配置”“软件设置”“新建程序包”（必须通过网络路径去找），选中安装包.Msi格式，选择发布方式“指派”。这样就做好了一个安装包。 客户端用Test用户登录验证在所有程序中有刚才安装的软件。当第一次运行这个软件时才真正安装，并且装完以后就运行。组策略不仅可以帮助我们给客户端安装软件，还可以卸载软件，升级软件，给软件打补丁。4.2 限制用户登录在企业网络中，可以通过对用户登录行为（包括时间和地点）进行限制，来保障其用户帐户的安全。通过设置，即使是密码被泄露出去，系统也可以在一定程度上将网络入侵和攻击阻挡在外。对于Windows Server 2003来说可以通过以下方法来设置。4.2.1 限制用户登录时间 选择“开始”“程序”“管理工具”“Active Directory用户和计算机”，打开“Active Directory用户和计算机”管理窗口。 选取要进行行为限制的用户名称(如Jack)，右击选择“属性”“账户”。 单击“登录时间”按钮，在打开的对话框中可以设置允许该用户登录的时间范围，如只允许该用户在周一至周五的上午9：00至下午6：00登录，则可进行如图所示的设置，这样就可防止非工作时间的登录行为。如下图4.5所示：图4.5 设置用户登录时间4.2.2 限制用户登录地点系统默认是用户可以从域内的任何一台计算机登录域，用于部分用户（如安全要求较高的财务管理账号，系统管理员账号等）可以限制只能从某些计算机登录，方法如下： 选择“开始”“程序”“管理工具”“Active Directory用户和计算机”，打开“Active Directory用户和计算机”管理窗口。 选取要进行行为限制的用户名称，右击选择“属性”“账户”。 单击“登录到”按钮，系统默认是用户可以从域内的任何计算机登录域。 选取“下列计算机”选项，在计算机中下面添加允许该用户用来登录域的计算机名称。另外，还可以通过“账户选项”来限制登录时的行为。例如使用“交互式登录必须使用智能卡”，就可避免直接使用密码验证。这些功能用户可根据需要进行使用。4.3 利用虚拟专用网（VPN）加强远程连接的安全性鑫源科技公司客户代表Tom要去跟客户谈生意，客户在广州，总公司在北京，销售代表在明天去跟客户谈生意之前需查看当前公司销售报价，而公司内部在进行数据传输和交换时一般是机密的，需要采取相应的安全措施来保障信息的安全性。如何使你在企业外部来安全的访问企业内部的局域网，可通过VPN方式来访问。4.3.1 如何配置VPN服务器 所需条件 (一台Server服务器用作身份验证和搭建VPN服务器。VPN服务器需两快网卡，5连接内网，5连接客户端，客户端26。）VPN在使用的时候，你的客户端首先拨号上公网,会获得公网IP。你VPN服务器也会有公网IP，这两个IP肯定不会在同一个网段，它们会通过Internet上路由器来连接，最终达到访问的。 配置VPN服务器 选择“开始”“管理工具”“路由和远程访问”，在左边窗口中选中“Server”（服务器名），在其上单击右键，选“配置并启用路由和远程访问”。 如果以前已经配置过这台服务器，现在需要重新开始，则在“Server”（服务器名）上单击右键，选“禁用路由和远程访问”，即可停止此服务，以便重新配置。 当进入配置向导之后，在“公共设置”中，点选中“虚拟专用网络（VPN）服务器”，以便让用户能通过公共网络（比如Interne）来访问此服务器。 询问使用那种远程访问方式，选择“VPN”；至少有一块网卡连接到Internet，选择本地连接（公网的网卡）；选择“通过设置静态数据包筛选器来对选择的接口进行保护（包过滤）”，公网的客户端无法ping到VPN服务器的外网卡的地址。如何对远程客户端指定IP地址：自动（DHCP）或来自一个指定的范围（新建范围13 25）。 最后再选“不，我现在不想设置此服务器使用RADIUS”即可完成最后的设置。此时屏幕上将自动出现一个正在开户“路由和远程访问服务”的小窗口。当它消失之后，打开“管理工具”中的“服务”，即可以看到“Routing and Remote Access”（路由和远程访问）项“自动”处于“已启动”状态了。这是最简单的配置方式，配置完了，许多东西你还需要做一些定制。 在客户端用Mary用户拨叫这台服务器 右击“网上邻居”属性，创建一个新的拨号连接，单击“下一步”，连接到我的工作场所的网络，你以何种方式去连。选择“虚拟专用网”，输入公司名称“xykj”，填VPN服务器公网IP地址，这个连接谁可以使用，选择“只是我使用”。 右击“xykj”属性可查看客户端所拨叫服务器的IP地址。在“安全”下可设置客户端所拨叫所需要的协议，等等。现在连接，需填入你在公司内部网络时去连人公司域环境所填入的用户名和密码。当输入Mary用户时，它立即报错：本账号没有拨入权限。 去“AD用户和计算机”检查权限选择“开始”“运行”“输入dsa.msc”，打开“AD用户和计算机”，找到Mary用户双击打开属性，选择“拨入”选项卡，点击“允许访问”“应用”“确定”。 回到客户端，再次拨入，若看到正在网络上注册您的计算机表明拨入成功。如下图4.6所示：图4.6 连接VPN服务器4.3.2 通过远程策略控制客户端的连接客户端去拨叫服务器，来查看当前这些策略当中是否有一个条件的策略满足，发现有一个条件的策略匹配，策略匹配之后去看权限，权限是通过远程访问策略控制访问，这时会回到VPN服务器来查看连接请求匹配指定条件：授予远程访问权限。最后查看配置文件。所以说条件，权限，配置文件共同作用用户能否拨入VPN服务器。 条件分为时间，IP地址等条件。选择“远程访问策略”，打开“到其他访问服务器的连接”默认策略，指定连接的请求必须匹配的条件，可对其进行编辑，“允许”是指所有时间都可以让用户拨但并不是说允许你拨入。 权限是在用户拨入标签下的设置。用户拨入权限的设置：Tom属性中“远程访问策略控制访问”是灰色的。右击域，提升域功能级别，改为Windows 2000纯模式，则通过远程访问策略控制访问可以选择，则可以配置权限。 配置文件有时间，IP地址，客户端是否支持多链路，身份验证方法，加密等。选择远程访问策略，打开“到其他访问服务器的连接”默认策略，可编辑配置文件。例：在服务器端定制一些策略有效控制客户端能否访问 右击新建远程访问策略，策略配置方法，设置“自定义策略”，策略名“all策略状况（条件）添加：指定用户拨入的时间“Day-And-Time-Restrictions”，选择工作日早九晚六可以拨，再添加Windows组（用户必须是那个组的）选择“Client Server”可以拨。这条策略里的两个条件是与的关系，权限：授予远程访问权限，默认配置文件的设置。如下图4.7所示：图4.7 设置远程策略注：顺序是指客户端在拨叫时候会从上到下的顺序检查是否有一个策略里面的条件满足，只找到第一个满足条件的策略。 条件满足之后去看权限：用户“拨入”权限的设置，“通过远程访问策略控制访问”。all 策略属性下设置授权访问。最后去看配置文件（默认是满足的）三个条件都满足时客户端才能拨入进来。 现在设置第一条策略权限：授予远程访问权限，第三条策略（什么时间都能拨）权限：拒绝远程访问权限。那客户端是能拨进来的。因为这些策略当中第一条策略满足了，它就不会看其它的策略。现去客户端用Mary用户拨入。应该是能拨入的。4.3.3 （统一的身份验证管理）RADIUS服务器若网络中有多台VPN服务器，需统一管理，配置RADIUS服务器，让多台VPN服务器成为RADIUS服务器的客户端。当用户拨叫VPN服务器时，把这些请求专给RADIUS服务器，从而实现在RADIUS服务器上做统一的身份验证管理，记账，审核，日志等。 安装RADIUS服务器 打开“Windows安装程序”，添加组件使DC成为RADIUS服务器。 选择“Windows 组件”“网络服务”“Internet验证服务”“完成”。 配置RADIUS服务器 管理工具打开“Internet验证服务”，右击“RADIUS客户端”，新建RADIUS客户端，名称“vpnlondon”IP地址为“5”验证。 设置共享机密。 把VPN服务器配置为RADIUS的客户端：右击服务器属性，在“安全”标签下，身份验证提供程序为“RADIUS身份验证”。 点配置指定当前RADIUS服务器，添加服务器，名称：5。共享机密与刚才的相同。 记账提供的程序设置为RADIUS记账（把日志记录在RADIUS中）配置操作同上。应重启“路由和远程访问”。 VPN服务器中的远程访问策略也集成到RADIUS服务器中，可进行相关的设置。4.4 基于IPSec的网络安全 IPSec为IP网络通信提供透明的安全服务，保护TCP/IP通信免遭窃听和篡改，可以有效地抵御网络攻击。4.4.1 什么是IPSecIPSec（Internet Protocol Security）即Intenet安全协议，是IETF提供Internet安全通信的一系列规范，它提供私有信息通过公用网的安全保障。4.4.2 IPSec 策略规则IPSec 策略由一个或多个决定 IPSec 行为的规则组成。IPSec 规则在 IPSec 策略属性中“规则”选项卡上配置。每个 IPSec 规则都包括下列配置项。 筛选器列表 选择单个筛选器列表，该列表包含一个或多个预定义数据包筛选器，这些筛选器描述为该规则而配置的筛选器操作适用的通讯类型。该筛选器列表在 IPSec 策略内的 IPSec 规则属性的“IP 筛选器列表”选项卡上进行配置。 筛选器操作选择单个筛选器操作，该操作包含与筛选器列表匹配的数据包所需的操作类型（允许、阻止或协商安全）。对于“协商安全”筛选器操作，协商