老克的工作環(huán)境和我的差不多，也有客服部，財(cái)務(wù)這塊。人數(shù)也許也應(yīng)該差不多。 我們公司目前 200 多號人，系統(tǒng)管理和網(wǎng)絡(luò)管理就兩個(gè)人在做，每天非常輕松，現(xiàn)在我有大 把大把的時(shí)間來學(xué)習(xí) linux，加強(qiáng) cisco。我和另外一個(gè)人可以在一天上班期間看完一整套教 學(xué)視頻，中途沒有人來打斷。但在此之前，我們公司和你老克現(xiàn)在的情況非常像，1、 員工電腦臟；2，網(wǎng)絡(luò)環(huán)境亂；3，內(nèi)網(wǎng)穩(wěn)定差；4，人員計(jì)算機(jī)素質(zhì)參差不齊

入題：

一、資金，既然總監(jiān)說了給你支持，也分 2 種情況。

1、 錢多，我的預(yù)算在 6.5W 左右

2、 錢少，我的預(yù)算在 2.5W 左右

技術(shù)，我的技術(shù)本身不高，但也能把現(xiàn)在供職的公司內(nèi)網(wǎng)管理撐起來，相信大家都做 IT 的，多 google，多資料，全部不在話下。

1、 AD 域，Server 2008

2、 H3C、Cisco ——了解 rule 命令即可；實(shí)在不行，打廠商售后技術(shù)支持；

H3C：400-810-0504

Cisco：根據(jù)地域選擇吧

3、 WDS 部署 根據(jù)實(shí)際情況，看視頻最后，老克公司有臺(tái)式機(jī)，筆記本。既然是公司且含有客服部，這樣的公司 PC 和 Notebook 應(yīng)該是統(tǒng)一型號或者相差不多。

4、 編寫需強(qiáng)制性執(zhí)行守則文檔。

二、設(shè)備、 必須：

1、一至兩臺(tái)中低檔的服務(wù)器，拿來做 AD 域服務(wù)器。我們公司用的 DELL 710，我 名下的幾臺(tái)域服務(wù)器，也就 2.3W 一臺(tái)。（只有一臺(tái)服務(wù)器的，就拿來做主域，再 找臺(tái)配置高點(diǎn)的 PC 或者其他服務(wù)器做備份域服務(wù)器；兩臺(tái)服務(wù)器的就一臺(tái)主一臺(tái) 備份）

2、企業(yè)版殺毒軟件。獲得這些殺毒軟件的流程請自行 google，正版或者盜版看領(lǐng) 導(dǎo)意思。我個(gè)人推薦邁克菲，部署方便是主要，殺毒也是不錯(cuò)的。殺毒軟件的服 務(wù)器，不必那么高，目前我們公司企業(yè)殺毒軟件我也只是放在一臺(tái) PC 上面。

3、支持 Vlan，Dhcp 的網(wǎng)絡(luò)設(shè)備。這些老克公司應(yīng)該都有的。Dhcp 服務(wù)器可以直接搭建在域服務(wù)器上。

這樣算下來，一臺(tái)服務(wù)器的話也就在 2.5W 左右，如果有空閑的服務(wù)器最好了，連這 筆錢都省了，殺毒軟件和操作系統(tǒng)請自行獲得。

PS：看視頻中的一些人員還有環(huán)境猜測，有實(shí)力購買全套正版工具的公司也不會(huì)出現(xiàn)這 樣的問題了，呵呵。僅僅題外話。

可選：

1、 上網(wǎng)行為管理設(shè)備。網(wǎng)康或者深信服 北方用網(wǎng)康多些，南方用深信服多些。地域文化的一些差別，呵呵。 如果老克的老總或者一些部門領(lǐng)導(dǎo)希望自己有更多的特權(quán)就選擇深信服，深信服 更為圓滑一點(diǎn)。

實(shí)施步驟：（也不能算的上是實(shí)施步驟，我多寫點(diǎn)可以解決哪方面的問題吧）

一、 搭建域環(huán)境，微軟公司明確建議過，局域網(wǎng)中超過 10 臺(tái) PC 就最好搭建域環(huán)境

1、 操作系統(tǒng) Server 2008 （也許我可以給你提供一枚 KEY）

2、 搭建域的方法和方式自行 google，51cto 里也有很多文獻(xiàn)資料

PS：細(xì)節(jié)

1、 直接從 AD 域下發(fā)禁用 360，360 殺毒，電腦管家，市面上比較流行的計(jì)算機(jī)優(yōu)化管理軟 件的策略。（具有域工作模式的公司里的 IT 相信都很反感某些計(jì)算機(jī)優(yōu)化管理軟件吧）

（禁用這些軟件可以使通過域管理的計(jì)算機(jī)更穩(wěn)定，那些軟件很有可能阻礙你的下發(fā)策略）

2、 直接在路由中 deny 掉上述軟件的官網(wǎng)和任何下載地址

（禁止通過公司網(wǎng)絡(luò)下載這些軟件）

3、 某些部門可以根據(jù)實(shí)際情況在域服務(wù)器上下發(fā)禁用 USB 接口

（加強(qiáng)信息安全）

4、 域服務(wù)器統(tǒng)一下發(fā)本地管理員賬號和密碼（即加了域的計(jì)算機(jī)，本地管理員賬號和密碼 將修改，以防止某些用戶登錄本機(jī)管理員）

（防止員工猜測或者直接破解管理員密碼）

二、 員工系統(tǒng)（XP 為主，視頻看到）---只要電腦型號不太老，都是支持網(wǎng)卡 PXE 模式的，也就是網(wǎng)絡(luò)啟動(dòng)。

1、 從網(wǎng)絡(luò)上 Download Windows XP SP3（安裝使用前先 MD5 校驗(yàn)碼是否與官方公布相同） 這套系統(tǒng)直接關(guān)系到公司內(nèi)所有電腦的系統(tǒng)一定要保證是干凈純凈。

（安全純凈才是王道）

2、 在一臺(tái)硬件設(shè)備都完好的 PC 上，安裝 XP XP3，打好官方所放出的所有安全補(bǔ)丁以及系 統(tǒng)補(bǔ)丁，以及常用的辦公軟件 Office，RAR，PDF

（保證系統(tǒng)的及時(shí)可用性。如果公司的電腦設(shè)備硬件不同，請收集硬件驅(qū)動(dòng)存在在 C 盤某新 建文件夾中）

3、 封裝此系統(tǒng)，切忌只能封裝，不要妄想 Ghost，Ghost 出來的系統(tǒng)安全標(biāo)示符是一模一樣 的。在域工作模式下的 PC 中的操作系統(tǒng)，系統(tǒng)安全標(biāo)示符不能相同。

4、 既然已經(jīng)中了病毒，就重新安裝系統(tǒng)，通過遠(yuǎn)程網(wǎng)卡安裝，100MB 交換機(jī) 15 分鐘一臺(tái)。 系統(tǒng)重裝，是全體公司員工重裝。遙想我當(dāng)時(shí)公司的 400 臺(tái)電腦啊！哈哈！

（這里你可以部署一臺(tái) FTP 或者直接在一臺(tái) PC 上開啟全員共享，把他們的個(gè)人資料， 工作資料上傳到此處，然后把員工電腦全盤格式化。放置員工文件的那臺(tái) PC，安裝一個(gè) 殺毒軟件，提示：中毒文件不要?jiǎng)h除，隔離掉，以防刪除了員工資料）

PS：細(xì)節(jié)

1、 保證系統(tǒng)純凈不要做任何所謂的優(yōu)化，一些官方允許的優(yōu)化你都可以在最后通過域服務(wù) 器下發(fā)策略來完成。

2、 不要想通過 Ghost 來完成部署。原因不明請 google。

3、 封裝的系統(tǒng)最好是能完成最基本的辦公操作，什么技術(shù)部，財(cái)務(wù)部的軟件不要安裝并封 裝。

WDS 部署：（通過網(wǎng)絡(luò)上的教程來操作，一般不會(huì)出現(xiàn)什么大問題） 我們之前在實(shí)施時(shí)，由于網(wǎng)卡驅(qū)動(dòng)在 WDS 中添加的引導(dǎo)文件中不包含，這個(gè)問題糾結(jié)了 24 小時(shí)，后來直接把網(wǎng)卡放在了引導(dǎo)文件中即解決。

WDS 部署前，要確定你的域環(huán)境是搭建好的，穩(wěn)定的。因?yàn)槟悴渴鹜暌慌_(tái)電腦就把這臺(tái)電 腦加入公司域去。讓員工使用他們唯一的賬號來登錄系統(tǒng)。

三、 網(wǎng)絡(luò)環(huán)境

1、 盡可能的劃分出部門的 Vlan，至少我們公司是把客服部單獨(dú)劃分出來了，直接禁用了客 服部的網(wǎng)絡(luò)，只放開幾個(gè)單一的網(wǎng)站。

2、 在全網(wǎng)中，通過 rule deny 掉一些網(wǎng)站，垃圾網(wǎng)站和一些娛樂網(wǎng)站，一些游戲網(wǎng)站。因?yàn)?這些網(wǎng)站是人們大多數(shù)喜歡訪問的，受到黑客的掛馬也是正常的。你直接 deny 掉。

3、 添加 acl 開放一些網(wǎng)站給自己或者其他領(lǐng)導(dǎo)層用

四、部署企業(yè)殺毒軟件

1、 企業(yè)殺毒軟件都是與 AD 域想通的，加入域的計(jì)算機(jī)可以直接在后臺(tái)安裝殺毒軟件，通 過殺毒軟件服務(wù)器設(shè)置可以禁止客戶機(jī)不能關(guān)閉殺毒軟件。

五、編寫強(qiáng)制性的執(zhí)行守則

這里我想啰嗦一句也吐槽一下，一定一定一定要有強(qiáng)制性的執(zhí)行守則來保證自己的心血 不白費(fèi)。

1、 公司員工的素質(zhì)是參差不齊的，小公司的 IT 不要指望員工都能有多大的素質(zhì)， 某些員工只要沒有明確守則出臺(tái)，他不會(huì)按著你說的做的。只是按自我為中心。 說句不好聽的話，我們是系統(tǒng)管理員是網(wǎng)絡(luò)管理員，但在他們眼中心中，我們就是 網(wǎng)吧的網(wǎng)管，一招手你就要來，你不來直接投訴各種罵。

2、 編寫加入公司守則的網(wǎng)絡(luò)守則，或者針對目前的網(wǎng)絡(luò)環(huán)境更新之前的網(wǎng)絡(luò)守則。

舉幾個(gè)例子，希望老克也能參考：

① 不要指望，加入了域的 PC 使用者員工，真的不會(huì)安裝 360 了，不安裝其他娛樂軟件， 或者不妄想解除域環(huán)境，更有甚者想自行重裝系統(tǒng)。你只要編寫出守則，哪位員工這么做了，就是無視公司紀(jì)律，后果叫他們自己承擔(dān)。 我在公司這么嚇唬他們，你可以安裝 360，可以安裝娛樂軟件，可以自行重裝系統(tǒng)，可以自己想方設(shè)法解除域。但以后計(jì)算機(jī)出現(xiàn)了問題，開不了機(jī)，文件丟失或者哪天上不了網(wǎng)，不要找我，請自行給主管申請帶出自己的 PC 到維修點(diǎn)修理，且自費(fèi)，我還可以 給你介紹幾家。

② 人都是有反骨的，有安于現(xiàn)狀的。計(jì)算機(jī)加入域，需要重裝系統(tǒng)的，限制某些網(wǎng)站的， 他們都不想的。你把為什么要加入域，為什么要重裝系統(tǒng)，為什么禁止某網(wǎng)站什么的原因全部整理出 來一個(gè)文檔，全員發(fā)布。你去給員工計(jì)算機(jī)加入域要重裝的，他們不配合，他們歪理邪說的，直接拿出文檔+守 則?？此麄兪歉氵^不去還是跟自己過不去。

③ 與公司的紀(jì)律部門配合好，可以給他們優(yōu)先加入域，給他們講清楚道理，并對他們熱 心點(diǎn)，不管大小問題，都去問問，解決掉。有了這些部門配合，干活事倍功半。

④ 然后就是一些領(lǐng)導(dǎo)層了，也給他們將清楚，讓領(lǐng)導(dǎo)真的認(rèn)識到你這樣做對公司的目前狀 況的解決和對公司未來發(fā)展的好處。領(lǐng)導(dǎo)說一句話，比你說 10 句話好得多。

小建議：

1、 建立一個(gè)文件服務(wù)器開放共享，放置一些軟件，避免員工在網(wǎng)絡(luò)上通過不同的渠道下載 相同或者不安全的軟件。同時(shí)避免浪費(fèi)帶寬。

2、 路由上開啟 QOS，限制網(wǎng)速，阻止某些協(xié)議。

3、 每個(gè)用戶的登錄密碼建議 3 個(gè)月修改一次，并出臺(tái)守則，員工自己不及時(shí)修改密碼或忘 記密碼（快到 3 個(gè)月期限時(shí)，登錄系統(tǒng)會(huì)提示密碼將要過期）導(dǎo)致進(jìn)不了系統(tǒng)的，須領(lǐng) 導(dǎo)一層層審批。

4、 無聊的時(shí)候就去其他辦公環(huán)境看看，有沒有人上什么閑雜網(wǎng)站，記錄一下，事后直接封 掉。

5、 根據(jù)視頻中的描述，應(yīng)該是互聯(lián)網(wǎng)是直接放開的，任何網(wǎng)站都是放開的，

老克可以重新直接關(guān)閉所有互聯(lián)網(wǎng)，哪個(gè)部門需要哪些網(wǎng)站就開放哪些網(wǎng)站。

（這個(gè)需要慎重考慮，花費(fèi)時(shí)間較長，各個(gè)部門需要收集網(wǎng)站）

小總結(jié)：

1、 通過重裝系統(tǒng)的方式，從根本上解決掉目前殘留在系統(tǒng)內(nèi)網(wǎng)機(jī)器中的病毒。

2、 通過域控制模式，阻止某些軟件的運(yùn)行，加快系統(tǒng)運(yùn)行速度。

3、 通過 WDS 部署方式，以后某臺(tái)電腦出現(xiàn)了問題，通過光盤 PE 或者其他方式，遷移出C盤下的數(shù)據(jù)，然后直接開機(jī)進(jìn)行網(wǎng)絡(luò)安裝。

4、 通過路由交換中的 acl ，rule ，禁止掉一些掛馬率較高的網(wǎng)站。

5、 通過殺毒軟件，以及禁用移動(dòng)存儲(chǔ)的方式清理和截?cái)嗖《镜膩碓础?/p>

6、 通過出臺(tái)嚴(yán)厲的網(wǎng)絡(luò)規(guī)范，誰出問題，直接找到責(zé)任人。

可選設(shè)備中的，上網(wǎng)行為管理

中大型的公司都會(huì)考慮一臺(tái) 上網(wǎng)行為管理 設(shè)備。上網(wǎng)行為管理的作用，老克可以去 google 搜索一下。 針對老克公司的狀況。由于我也不能了解到你們公司詳細(xì)情況，所以只能說建議購買。 有一臺(tái)上網(wǎng)行為管理設(shè)備結(jié)合域管理，IT 的責(zé)任會(huì)輕很多很多，這里說的責(zé)任不是我們 IT 應(yīng)該承擔(dān)的責(zé)任，而且某些員工，強(qiáng)加到 IT 頭上的責(zé)任，莫須有的。 例如，有的員工明明是自己訪問了不該訪問的網(wǎng)站中毒，然后怪 IT 沒有做好防護(hù)設(shè)置， 又例如，有的員工明明是自己下載安裝了某些軟件，導(dǎo)致系統(tǒng)崩潰，然后責(zé)怪 IT 封裝的系 統(tǒng)不穩(wěn)定。又例如公司的機(jī)密被蓄意泄露，領(lǐng)導(dǎo)怪 IT 沒有做好信息安全。

這些都可以通過上網(wǎng)行為管理來解決掉。還有之前視頻中講到的員工私自關(guān)閉殺毒軟件，都 可以通過上網(wǎng)行為管理設(shè)備來解決。

針對老克目前所碰到的狀況，通過上網(wǎng)行為管理設(shè)備可以解決的：

1、 上網(wǎng)行為管理設(shè)備中有一個(gè)第三方認(rèn)證上網(wǎng)，

① 只有加入公司域，且用域賬號登陸的計(jì)算機(jī)才能訪問網(wǎng)絡(luò)資源。

② 只有安裝了公司要求安裝的最低安裝軟件清單才能訪問網(wǎng)絡(luò)資源，例如公司內(nèi)部統(tǒng) 一部署邁克菲，有一臺(tái)電腦沒有安裝邁克菲，就不能訪問網(wǎng)絡(luò)資源。

2、 上網(wǎng)行為管理設(shè)備中有一個(gè)地址庫，這個(gè)地址庫涵蓋了大多數(shù)的惡意釣魚網(wǎng)站。且實(shí)時(shí) 更新數(shù)據(jù)?？梢灾苯诱{(diào)用給內(nèi)網(wǎng)使用。員工將不能訪問這類地址庫中的地址，這里就大 部分的阻隔了病毒和木馬插件的進(jìn)入。

3、 設(shè)備中可以含有網(wǎng)關(guān)殺毒（這個(gè)貌似需要購買模塊還有其他服務(wù)費(fèi)）用戶在訪問某網(wǎng)站 時(shí)，此網(wǎng)站帶毒，上網(wǎng)行為管理設(shè)備檢測到后，直接在內(nèi)網(wǎng)外就阻止掉了。

4、 員工上網(wǎng)行為記錄，只要這臺(tái)電腦連入互聯(lián)網(wǎng)，他通過公司網(wǎng)絡(luò)資源訪問了哪些網(wǎng)站， 下載了哪些數(shù)據(jù)，上傳了哪些數(shù)據(jù)，QQ 里聊天記錄都將一一記錄，并最低保存 60 天。

5、 審計(jì)功能，一個(gè)月可以審計(jì)一次，可以總結(jié)出這個(gè)月內(nèi)，流量最大的用戶，活動(dòng)最頻繁 的用戶，等等。

6、 通過這個(gè)設(shè)備可以禁用很多軟件，例如迅雷,BT，PPS 等等。

以前有句很好的話，素質(zhì)和法則都是沒用的，只有技術(shù)才能真正解決問題，哈哈。 現(xiàn)在市面上的上網(wǎng)行為管理設(shè)備功能都比較強(qiáng)大，因此價(jià)錢也比較貴， 這邊據(jù)我所知的幾個(gè)數(shù)據(jù)，400 節(jié)點(diǎn)左右，50MB 出口帶寬，設(shè)備價(jià)錢在 5W 左右。 具體的老克可以去查詢一下。

搭建域服務(wù)器，WDS 部署，網(wǎng)絡(luò)清理，這 3 件搞定花費(fèi)時(shí)間在 10 天左右，畢竟還需要錄入 一些員工信息。

等全部弄完后，在內(nèi)網(wǎng)建立一個(gè) blog，有些信息有些方法方式，例如連接 FTP 的方法都放上 去，有人問，直接告訴 blog，有些人不能慣著他們。

最后希望 老克 能盡快解決問題，加油。