一、场景:
net.com公司使用域环境,公司内部有几个部门。要求如下:
1. 其中销售部由于业务需要,要求该部门员工访问自己的服务器资源全部加密,并且该域内的其它员工不可以访问。
2. 销售部门的员工可以访问其它部门及DC资源。
3. 公司内的所有笔记本电脑都未加入域,要求该部分电脑接入网络后,不可访问销售部门的资源,同时只可以使用域内的DNS服务器。 (域内的DNS服务器和DC是一台机器)
如下图所示:
对于这个环境要求,实际是很多企业都有类似的情况,本次只是一个案例,并非生产企业,各位可以在此基本上再结合自己企业的实现情况再深入制定更加有效的方案。
二、分析:
根据企业要求,我们可以采用多种方法实现这个隔离,大致可以考虑这么几种:
1. 物理隔离:结合路由器和交换机来实现。但这种方式如果网络有变更那么再次调整增加复杂性。
2. 逻辑隔离:
a. 利用组策略,结合安全组来实现,有很多局限性,且不可以完全实现上述要求。
b. 利用组策略结合IPSec来实现,可以完全实现上述要求,且优点多多,变更起来也比较方便。
那么到底何为网络隔离呢?
网络隔离:能够允许或拒绝不同计算机(它们之间具有直接的Internet协议连接)之间的某些类型的网络访问。
注:在这里只是限制的是计算机之间的访问,并没有限制用户的访问。而IPSec恰恰只可以限制计算机级别的访问,并不能实现用户级别的访问限制。而上述所说的结合安全组即可以对用户也可以对计算机。但IPSec的优点还在于它可以对访问过程加密,也可以在访问之前进行身份验证。明白了这一点,各位就知道你的企业应该用哪种方式了,还是两者兼用。
三、实现过程:
今天我们来先来探讨“利用组策略,结合安全组来实现”,当然这种方式只能实现上述要求的部分。不再赘述。
(一)利用ADUC,构造部门环境,建OU、组、用户、移计算机等。
打开我们的DC的dsa.msc(AD用户和计算机管理工具),如下所示描述我们的当前的环境如下:
把计算机也加入到组?有没有搞错?下面我们就来演示一下如何把计算机加入到组:
1. 双击建好的Sail_G_comp组,如下图所示:
2. 单击“对象类型”,如下所示:注意选项“计算机”
3. 在下图中就可以添加计算机了,如示:
最后单击“确定”完成此操作。
(二)为对应的OU创建GPO,并编辑GPO。
在这里销售部门的所有共享资源我们都放在了N2上,所以我们在Sails_Server OU上新建GPO,并编辑,如下图所示:
单击编辑后如下所示:
展开如图,双击:从网络访问此计算机,如下:
最后添加好后,单击“确定”。完成服务器对应的OU的GPO的设置。
回到N2上,利用GPupdate /force刷新并应用组策略设置。
(三)验证:
我们分两个验证场景:
1. 计算机验证:
我们利用DC即N1来访问一下N2,(
注意:当前登录用户不能是Sail_G_user组成员)在N1的开始菜单---运行输入
\\N2,出现如下信息:
我们在销售部的客户机client上访问N2,(注:当前登录这台机器的成员必须是Sail_G_user组成员)如下所示:访问成功!
2. 用户验证:
我们利用User1或User2不管在域内的哪台计算机上登录,均可访问N2这台计算机的资源。
但要注意:如果不是销售部门的用户在销售部门的计算机登录的话,也不能访问N2的资源。
看来计算机和用户组均加入后,用户更优先。
(四)有关N2上共享资源的权限设置:
如下图所示:安全权限,只是sail_G_user读写,删除users组。
而共享权限是everyone完全控制。
其实这是一种常规做法。
最后注意一点的是:如下所示:如果你也设置了“拒绝从网络访问这台计算机”,恰恰和“允许从网络访问这台计算机”冲突的话,则拒绝优先,希望各位注意!
好了,今天就讲到这,下次我们会给各位正式讲如何利用IPSec和组策略来完成网络隔离操作。
本文出自 “千山岛主之微软技术空间站” 博客,转载请与作者联系!
安全系列之五:使用IPSec和组策略实现网络隔离(上)
社区:
