公司有300台电脑,现要组建域环境,大家帮忙想象办法,域服务器的配置问题,最好有正式的组建方案

1、目的

2、技术方案：

1）用Activdiiectory实现文件及打印机等资源共享

2）用Activdiiectory实现用户统一登录、文件及打印机等资源权限管理

……

3、服务器配置

IBM3650标配即可，预算20000元

4、实施计划

1）采购方案及时间

2）服务器安装及配置

3）终端配置计划

4）终端用户培训

注意服务器安装配置及终端用户培训如果自己无法完成最好由供应商来帮你做！

江苏省连云港财经学校校园网扩容方案

一、现有网络说明：

1、行政办公网络：学校网络主控室在7楼电教中心，内有HPE50服务器及INTEL510T、ACCTON24口交换机各一台，校行政各办公室计算机已通过超五类双绞线与交换机相连。位置在综合楼

2、电子阅览室网络：有光盘塔服务器一台及46台计算机，通过交换机、超五类双绞线组成网络。已通过光缆与行政办公网络连接。位置在图书馆4楼

3、计算机教学部教学网络：共4个机房，每机房有浪潮服务器一台，计算机50台。其中第一机房通过3台24口交换机组成独立网络。第二、第三、第四机房分别通过HUB组成独立网络。位置在综合楼5楼及6楼。每机房已布好两条超五类双绞线到校网络主控室，但没有进行连接。

4、联通2M宽带网，通过光缆与服务器连接

二、校园区网络扩容要求

1、扩充一台中心服务器，要求达到骨干网核心服务器的功能，准备在这台服务器上实现全校网络资源(文本、课件、邮件、BBS)资源共享。原有服务器拟作为备份及WEB服务器

2扩容后校园网采用三级交换网络，新增核心交换机一台，二级、三级交换机若干台。将计算机教学部三个机房原HUB更换为交换机，四个机房每台交换机各通过双绞线连接到网络主控室（各机房再新铺设一条双绞线）。对全校网络进行VLAN的划分和虚网配置管理。

3、在原有网络的基础上，重新布局整体网络框架，干线系统采用千兆以太网，支干采用100M交换速率。以新布局的网络为主体架构且将原有网络全部无缝连接进去。

4、网络扩容后，须将学校原“管理信息系统”“电子商务模拟操作系统”等系统及原有数据在新服务器上重新安装且能正常使用。

5、所有设备应从正规渠道进货且需提供厂商出货证明并享受厂商质保

三、家属区网络扩容要求

1、为家属区各户铺设网线并在住户要求的位置留一个信息口

2、在13楼设家属区机房，堆叠两台24口交换机，在12、14、15楼也各放一台48口交换机，交换机间用多模光纤连接。交换机到各用户间用超五类双绞线连接。

3、家属区机房和学校网络中心之间通过钢缆挂单模光缆连接。在光缆铺设过程中产生的一切问题（例如：光缆过路问题、如何固定光缆、邻里纠纷问题等）由中标公司自行解决！线路走向见附图。

4、实现校园网上信息及宽带共享。

5、所有设备应从正规渠道进货且需提供厂商出货证明，享受厂商质保。布线系统应完全达到五类标准并符合ISO、EIA/TIA-568B标准

四、参与要求

1、参与工程竟标的公司应具备多种网络施工资质

2、注册资金应不低于50万人民币。

3、中标公司应提供以下几方面的工程服务：

（1）、所有硬件设备的安装、调试及软件系统的安装、调试

(2)线缆的敷设：包括线槽及其它辅材的安装，线缆的拉引及敷设、网线过墙打孔；

(3)信息插座的安装与接续；

(4)UTP测试：各层各房间每个信息插座与配线架之间的UTP测试，包括开路、短路、异位、连通性测试、衰减、串音、环路电阻特性测试。

(5)光缆的测试（衰减值）、熔接和测试

(6)提供全套文档；网线标号及与各房间信息插座对照表、UTP测试报告；各楼信息点和光缆信息点分布示意图等。

4、中标公司应负责本工程的售后维护和保修，应定期到学校进行网络维护。当出现网络故障，应在合同商定的时间内到达现场进行维修。

5、中标公司负责免费对学校网管人员进行交换机、防火墙等设备的使用培训并应提供这些设备的厂家免费培训。

6、整个工程完成后，校方组成验收小组，对整个设备及布线系统进行验收，验收内容包括：所有设备工作情况，网络性能、按TST-67标准进行布线验收，布线外观检查，布线系统是否达到五类标准等项内容。乙方（中标公司）负责提供EIA／TIA-568标准、TST-67验收标准等有关资料，供校方参考。验收时，乙方要提供验收申请报告、验收测试大纲、验收测试报告、文档资料等项资料。如设备或性能达不到合同要求，乙方必须无条件更换。

数中小企业的IT采购主管来说，面对某个特定的需求，不仅要考虑软件的选购，而且要考虑网络的搭建方案、服务器的配置、笔记本电脑和台式机的配置等，更要考虑总体预算。从IT采购的角度说，成熟的做法一般是首先根据需求选择软件，然后根据计算量和数据存储量确定硬件配置，再选型采购产品。但是由于缺乏系统集成的经验，往往面对一个简单的需求就无所适从；为帮助广大中小企业的IT主管理性采购，IT168信息化频道推出了情景导购栏目。该栏目根据一些中小企业的真实需求，进行需求分析形成IT方案，然后提出IT方案具体实施策略，并推荐相应产品，包括应用场景、需求分析、解决方案和推荐产品4个部分。今天发布的是第一篇，介绍了某机械制造企业的IT基础设施建设方案，敬请关注！

行业类型 机械制造

应用终端 2000个

应用类型 网络办公解决方案

一、应用场景

XX公司，是一个2000人左右的中小型机械制造企业；拥有生产车间2个，库房一个，办公区三个；分布在厂区的两个大楼（间隔100米），以及同城市不同地域的一个大楼内；分支机构10个，其中国内分支机构8个，国外分支机构2个。 需要构建包括新厂区、办公大楼以及分支机构的整体IT基础设施，要求IT系统能够满足当前及未来三到五年内业务需求，并在进行新的IT基础设施建设的同时满足业务发展的要求。

具体的说，该公司希望通过建立一套完整的网络系统，为满足办公和生产、总部和机构、员工相互之间协同工作等要求提供基础支撑。建立的网络基础设施要求满足安全、稳定、数据传输量大的要求，提供voip功能，提供数据存储备份功能；提供主办公区和主生产区的无线访问要求；满足生产、库房等区域监控和查询的要求。通过项目实施，提升该公司整体IT技术水平，满足持续发展战略的需要

二、需求分析

根据该公司的应用要求，要满足以下关键需求：

要求每台电脑都能接入公司内部网络；办公区的电脑以及分支机构的电脑能接入互联网；库房及生产车间的电脑接入公司的局域网，要求与广域网隔离。

公司将会建设自己的ERP、CRM、OA等系统，要求IT基础设施提供支撑；

公司的内部员工之间沟通频繁，很多工作需要同事之间紧密合作完成，国内外分支机构与总部之间需要经常开会讨论；要求用IT设施来提高效率并节省成本。

公司与分支机构之间经常会传输大量的数据与文件，要求IT设施能够最大限度的提高公司与各分支机构之间的数据传输速度，同时保证数据传输的安全性；

公司网络安全性、稳定性要求比较高，同时有对公司内部文件的安全保密的需求；

公司在国内外分支机构之间不愿意支付大量的话费，要求IT基础设施能提供voip功能；

公司希望能够有效控制员工的上网行为，比如：老板不受任何限制，其他按照不同的岗位来区分是否能够浏览所有网站、是否可以QQ，是否可以BT，上下班时间有不同的上网权限等等；

公司希望每个员工根据职位的不同，对内部局域网资源的访问权限不同；

公司希望无线局域网覆盖整个办公区域；（不包括各个分支机构）

公司部分领导、销售部员工经常出差，有远程接入公司网络、移动办公的需求；

分析以上需求，此集成项目至少需要以下四个核心方案：

1、应用软件系统方案包括协同工作软件方案、员工权限管理软件方案和文件管理传输方案；

2、网络整体解决方案，包括网络整体规划方案、VOIP方案、远程接入方案和网络安全方案；

3、机房建设方案，包括机房布线方案，UPS 解决方案。

4、服务器、存储方案，包括应用服务器方案、数据库服务器方案和文件服务器方案。

更多详细内容：

参照网站：erp总设计师

　　因为IIS(即Internet Information Server)的方便性和易用性，使它成为最受欢迎的Web服务器软件之一。但是，IIS的安全性却一直令人担忧。如何利用IIS建立一个安全的Web服务器，是很多人关心的话题。要创建一个安全可靠的Web服务器，必须要实现Windows 2003和IIS的双重安全，因为IIS的用户同时也是Windows 2003的用户，并且IIS目录的权限依赖Windows的NTFS文件系统的权限控制，所以保护IIS安全的`第一步就是确保Windows 2000操作系统的安全，所以要对服务器进行安全加固，以免遭到黑客的攻击，造成严重的后果。

　我们通过以下几个方面对您的系统进行安全加固：

　1 系统的安全加固：我们通过配置目录权限，系统安全策略，协议栈加强，系统服务和访问控制加固您的系统，整体提高服务器的安全性。

　2 IIS手工加固：手工加固iis可以有效的提高iweb站点的安全性，合理分配用户权限，配置相应的安全策略，有效的防止iis用户溢出提权。

　3 系统应用程序加固，提供应用程序的安全性，例如sql的安全配置以及服务器应用软件的安全加固。

　系统的安全加固：

　1目录权限的配置：

　11 除系统所在分区之外的所有分区都赋予Administrators和SYSTEM有完全控制权，之后再对其下的子目录作单独的目录权限，如果WEB站点目录，你要为其目录权限分配一个与之对应的匿名访问帐号并赋予它有修改权限，如果想使网站更加坚固，可以分配只读权限并对特殊的目录作可写权限。

　12 系统所在分区下的根目录都要设置为不继承父权限，之后为该分区只赋予Administrators和SYSTEM有完全控制权。

　13 因为服务器只有管理员有本地登录权限，所在要配置Documents and Settings这个目录权限只保留Administrators和SYSTEM有完全控制权，其下的子目录同样。另外还有一个隐藏目录也需要同样操作。因为如果你安装有PCAnyWhere那么他的的配置信息都保存在其下，使用webshell或FSO可以轻松的调取这个配置文件。

　14 配置Program files目录，为Common Files目录之外的所有目录赋予Administrators和SYSTEM有完全控制权。

　15 配置Windows目录，其实这一块主要是根据自身的情况如果使用默认的安全设置也是可行的，不过还是应该进入SYSTEM32目录下，将 cmdexe、ftpexe、netexe、scrrundll、shelldll这些杀手锏程序赋予匿名帐号拒绝访问。

　16审核MetBasebin，C:WINNTsystem32inetsrv目录只有administrator只允许Administrator用户读写。

　2组策略配置:

　在用户权利指派下，从通过网络访问此计算机中删除Power Users和Backup Operators;

　启用不允许匿名访问SAM帐号和共享;

　启用不允许为网络验证存储凭据或Passport;

　从文件共享中删除允许匿名登录的DFS$和COMCFG;

　启用交互登录：不显示上次的用户名;

　启用在下一次密码变更时不存储LANMAN哈希值;

　禁止IIS匿名用户在本地登录;

　3本地安全策略设置:

　开始菜单—>管理工具—>本地安全策略

　A、本地策略——>审核策略

　审核策略更改 成功 失败

　审核登录事件 成功 失败

　审核对象访问失败

　审核过程跟踪 无审核

　审核目录服务访问失败

　审核特权使用失败

　审核系统事件 成功 失败

　审核账户登录事件 成功 失败

　审核账户管理 成功 失败

　注：在设置审核登陆事件时选择记失败，这样在事件查看器里的安全日志就会记录登陆失败的信息。