近期一个小项目的总结[公共上网机的管理控制]

最近公司一个部门要求实现技术部门全部断互联网，使用5台上网机查询资料并上传到某服务器的某个共享目录（读写权限），技术部其他PC使用共享访问该目录（只读权限）；公共上网PC只安装OFFICE、PDF reader、解压缩、qq、时钟同步等几个软件，并且不能随意安装软件；公共PC不能向其他网段机器传送文件，不能使用USB。禁止非法PC使用公共上网机。

看似比较简单，其实分析分析，还是有很多事情要做：

1、涉及到3个网段，公共上网机vlan2，技术部vlan3，服务器vlan4。

vlan2只能与交换机、路由器和服务器vlan4通讯；vlan3只能与服务器vlan4通讯，禁止互联网及其他内部网络；

2、公共上网机需要加入域。

3、用户问题。

应该要涉及三个域用户，分别是登录公共上网机的域用户，技术部访问服务器共享目录的域用户，公共上网机上传资料到服务器共享目录的域用户（不能与登录公共上网机的域用户一样，否则技术部可能使用它偷偷的上传资料，因为它有读写权限）

4、绑定MAC地址。

5、BIOS以及注册表禁止USB。

6、去掉简单文件共享，组策略中修改“网络访问:本地账户的共享和安全模型”为经典模式。

7、其他的一些配置：

1）赋予登录公共上网机的域用户读写c:\program files\tencent\qq\files 文件夹的权限（qq写文件必须用到）。

2）高级语言文字（qq可能用到）

3）配置防火墙等等

下面就是基本的网络拓扑：





用户权限示意图：





这样的话，基本上步骤就比较清晰了。

1）安装公共上网机，基本配置包括硬件还有操作系统、计算机名，软件，只保留administrator用户并设置复杂密码，这都交给系统管理员去做了。

2）公共上网机配置IP、dns，加域。

3）其他配置，如去掉简单文件共享，更改网络访问方式。

4）在域服务器添加三个域用户ABC，建立并共享目录，分别对B用户赋予读写权限，对C用户赋予只读权限。

5）将域用户A放置在组织单位publicpc中，并在域组策略中对该组织单位强制实行以下组策略：

用户配置->策略->Windows设置->脚本(登录/注销)中登录添加如下脚本：

netuse.bat

net use Z: \\[serverIP]\[共享目录名] [域用户B的密码] /USER:[域名]\[[域用户B]

6）使用域用户A登录公共上网机，并绑定公共上网机的计算机名。

7）三层交换机绑定公共上网机的mac地址

例cisco3750： arp [公共上网机IP] [mac地址] ARPA

以上就是大体的配置过程，有不妥的地方敬请指点。