规划用户账户和组 在各部门的OU中分别为该部门员工创建唯一的域用户账户，并要求域用户账户在首次登录时更改密码。密码最小长度为8位，并且符合复杂性要求。为每个部门创建全局组，并将同部门的员工账户分别加入各部门的全局组。

　　规划文件服务器 通过一台专用文件服务器存储公共文件以及员工的工作文档。文件服务器的C盘容量为10GB(安装操作系统和软件)，D盘容量大于100GB，并采用NTFS文件系统。在D盘的一个名为software的文件夹中存放公共文件，如常用软件、规章制度等。另一个名为share的文件夹存放部门和员工的工作文档。

　　在D:share下为每个部门建立文件夹，部门文件夹下创建每个员工的文件夹，并为每个用户配置共享权限和NTFS权限，保障文件只被授权的用户访问(见表2)。权限的配置应遵循AGDLP规则，避免直接为用户授权，除非该文件夹只有一个员工访问。

　　表2 文件夹权限设置表

　　在文件服务器上，普通员工最大使用空间为100MB，部门经理的最大使用空间为1000MB，总经理的最大使用空间不受限制。在文件上传类型方面，只允许上传文件后缀为.doc、.xls、.ppt、.wps、.txt、.rar 的文件。对重要的文件夹要制定备份策略，可以采用常规备份加差异备份的策略，按任务计划自动执行。

　　规划打印系统 根据公司需求，需要采购4台打印设备(HP Laserjet 1020)。4台设备分别安装在打印服务器printsrv1、printsrv2、printsrv3、printsrv4 上，printsrv1供局长办公室和财务办公室使用，printsrv2和printsrv3供招标办公室、工程部和工会使用，printsrv4供对标办公室、抢险办公室和人力资源科使用。局长、科长和普通员工的优先级分别规划为90、50和1。同时还要规划逻辑打印机权限。

　　规划上网方式 公司租用一条100M专线上网。采用代理服务器软件使局域网接入Internet。防火墙/代理服务器软件使用微软应用级防火墙ISA2006。代理服务器的专用连接IP为192 . 168 . 0 . 1，公共连接与100MB专线连通，IP地址从ISP那里动态获得，启用的代理协议是HTTP，使用域策略完成客户端的统一配置，实现共享上网，启用防火墙策略对用户上网行为进行监控并阻绝一切不适用的网络通信。

　　启示：遵从法则更重要

　　目前信息化项目层出不穷，内部网络的安全规划是重中之重。我们通常习惯性地认为安全就要靠防火墙和杀毒软件。殊不知，这些都是解决表面问题的手段。

　　一个真正意义上的安全网络，首先需要安全强壮的网络拓扑结构，其次是基于强壮骨架之上的服务。而应用层的解决方法其实就在我们所熟知的Windows域中。在基于域环境的计算机管理手段中，策略是强行管理企业内部网络的钢铁法则。域环境之所以强大，之所以安全，也正是由于域的管理模式是基于法则的。