电脑房操作规程

《电脑房操作规程》由会员分享，可在线阅读，更多相关《电脑房操作规程（7页珍藏版）》请在装配图网上搜索。

1、电脑房操作规程一、网络对办公环境造成的危害随着Internet接入的普及和带宽的增加，一方面员工上网的条件得到改善，另一方面也给公司带来更 高的网络使用危险性、复杂性和混乱，内部员工的不当操作等使信息维护人员疲于奔命。网络对办公环境 造成的危害主要表现为：1. 为给用户电脑提供正常的标准的办公环境，安装操作系统和应用软件已经耗费了信息管理中心人 员一定的精力和时间，同时又难以限制用户安装软件，导致管理人员必须花费其50%以上的精力用于维护 用户的PC系统，无法集中精力去开发信息系统的深层次功能，提升信息系统价值。2. 由于使用者的防范意识普遍偏低，防毒措施往往不到位，一旦发生病毒感染，往往扩散

2、到全网络， 令网络陷于瘫痪状态，部分致命的蠕虫病毒利用TCP/IP协议的各种漏洞，使得木马、病毒传播迅速，影 响规模大，导致网络长时间处于带毒运行，反复发作而维护人员。3. 部分网站网页含有恶意代码，强行在用户电脑上安装各种网络搜索引擎插件、广告插件或中文域 名插件等，增加了办公电脑大量的资源消耗，导致计算机反应缓慢；4. 个别员工私自安装从网络下载安装的软件，这些从网络上下载的软件安装包多数附带各种插件、 木马和病毒，并在安装过程中用户不知情的情况下强行安装在办公电脑上，增加了办公电脑大量的资源消 耗，导致计算机反应缓慢，甚至被远程控制；5. 局域网共享，包括默认共享（无意），文件共享（有意

3、），一些病毒比如ARP通过广播四处泛滥， 影响到整个片区办公电脑的正常工作；6. 部分员工使用公司计算机上网聊天、听歌、看电影、打游戏，部分员工全天24小时启用P2P软件下载 音乐和影视文件，由于flashget、迅雷和BT等软件并发线程多，导致大量带宽被部分员工占用，网络速度 缓慢，导致应用软件系统无法正常开展业务，即便是严格的计算机使用管理制度也很难保障企业中的计算 机只用于企业业务本身，PC的业务专注性、管控能力不强。二、网络管理和维护策略针对以上这些因素，电脑房在开业初期对办公电脑进行规范化制度化的管理，以引导用户安全的使用 办公电脑。1、建立域控制器规定所有办公电脑必须加入域，接受域

4、控制器的管理，同时严格控制用户的权限。普通员工帐号只有 标准Power user权限。不允许信息系统管理员泄露域管理员密码和本地管理员密码。在如今各种流氓插 件、广告插件、木马和病毒霸道横行的网络环境中，普通员工只具备标准的power user权限，实际上是对 公环境有效的保护。办公PC必须严格遵守OU命名规则，同时实现实名负责制。指定员工对该PC负责， 这不但是固定资产管理的要求，也是网络安全管理的要求。对PC实施员工实名负责是至关重要的，一旦 发现该员工电脑中毒和在广播病毒包，信息系统管理员能准确定位，迅速做出反应，避免扩大影响。2、PC维护包干到户。管理员在实际工作中可能存在拿本地管理员

5、权限作为人情，这其实是一种自杀行为。任何一个具备 管理管理员权限的员工，即使是管理员，使用Administrator权限上网，稍有不慎，便掉入网络陷阱。为避 免这种情况，对PC维护人员，采取区域包干到户的管理，同时区域负责人的域用户帐号具备该区域内所 有办公电脑本地管理员的权限；如果区域负责人他愿意增加本地电脑管理员权限，增加的风险和工作量将 由他自己承担。所有办公电脑的本地管理员密码由域控制器负责人掌握、设定或变更。3、在防火墙上只开放常用或业务系统需要的端口，如80、25、21、110、443,其它端口一律封锁，有效 实施对P2P和BT软件的封锁。4、接入网络的计算机必须接受电脑房的管理。

6、通过在防火墙上设置相关的策略，允许经电脑核准的某些P 组可以在本机上直接访问Internet，或某些IP组只能连接局域网的应用服务器，对于不遵守OU命名规则 的机器IP和没有经过信息系统管理员授权的机器IP，不允许访问Internet和Intranet，只能单机使用。5、建立防病毒服务器（比如诺顿），通过防病毒及时更新计算机的病毒库，增强整体的病毒抵御能力，及 时查杀网内病毒。6、使用Remote admin或DameWare NT Utilities软件进行远程维护，实现快速的维护响应。整体规划：最上面是单域XXX下面创建OU： XXXXX下面创建以下几个OUGroups：这里是所有的部门U

7、sers :这里是所有用户Servers:服务器群，比如病毒服务器，补丁分发服务器，isa服务器Mobiles：所有的移动电脑Workstations :所有工作站It：特殊组，一些管理员和特殊用户。不同部门可以设置不同安全策略，以满足不同部门的办公需求，通用策略可以设置在根域上，特殊 权限在不同部门分别做策略。用户及名称规划所有用户均用工号及密码来登录域环境，域的加入可以做一个加入域的批处理，用户通过输入自己 的用户名和密码既可登录到域服务器。所有接入电脑必须严格遵守OU命名规则，即电脑名必须改为部门加工号，比如电脑部XXX，则其 计算机名为：EDPXXX。当我们通过一些软件找到病毒机器时可

8、以通过电脑名称快速定位电脑位置，通过 工号可以及时联系责任人进行处理。各部门用户加入各部门的组，便于用户管理及根据部门进行不同的策略设置计算机帐户中删除多余用户，仅保留域用户及administrator，重命名管理员帐户，并且强制统一管 理员密码，以便日后维护。用户权限及策略规划所有用户初始权限为power user能正常访问本地所有资源，受限安装软件，禁止用户修改注册表， 禁止修改TCP/IP，禁止修改计算机设置。常用软件可以用软件分发来做，个别用户的特殊软件可以远程安装。近期使用计算机指派，文件服务 器共享等方式，远期使用SMS.具体的实施具体技术方案包括：1，需求收集。收集各部门工作需要

9、用到的软件，与工作有关的网页，常见的一些机器故障。2. 规划。规划服务器，客户端母盘制作，用户权限规划。在安装活动目录之前，我们首先要对活动目录的结构进行细致的规划设计，让用户和管理员在使用 时更为方便。域的结构遵循简单原则，采用单域模式，人员的组织以部门为组织单位加入域中1. 规划ij DNS如果用户准备使用活动目录，则需要首先规划名称空间。当DNS域名称空间可在Windows 2003中 正确执行之前，需要有可用的活动目录结构。所以，从活动目录设计着手并用适当的DNS名称空间支持它。2. 规划用户的域结构最容易管理的域结构就是单域。规划时，用户从单域开始，并且只有在单域模式不能满足用户的要

10、 求时，才增加其他的域。单域可跨越多个地理站点，并且单个站点可包含属于多个域的用户和计算机。在 一个域中，可以使用组织单元(OU，Organizational Units)来实现这个目标。然后，可以指定组策略设置并 将用户、组和计算机放在组织单元中。3. 规划用户的权限我们给用户那些权限,user （最低权限，不能安装软件），power user （能完成所有任务但不能更改 管理员设置）？建议初期给power user稳定后回收权限。需要限制用户使用那些软件用户能够访问那些资源组策略有以下几个比较重要的应用1，软件分发，分发msi格式软件，非msi格式可通过工具转换2，软件限制（非办公软件可以

11、使用软件策略进行限制）3，文件夹重定向，可以把用户资料保存到安全位置4，管理设置,主要设置一些windows组件相关内容，比如开始菜单显示的内容5， Ie相关设置（信任站点，控件下载，文件下载等）6，安全设置（帐户策略，系统服务，注册表，文件系统）7，实现一些脚本的功能（比如分发一些脚本进行MAC地址绑定进行ARP免疫）文件服务器的要求1、每个用户都能存取删除自己所拥有的文件。2、每个使用者都要有自己的帐户，并且对特定文件夹的访问需要形成日志保存下来供管理员查看。3、保证用户存放在服务器上的文件不携带病毒和其它有危害性的代码。4、每个用户只能在服务器上存放一定大小，类型的文件，而不是无限大的文

12、件，并且当存放文件到特 定警戒线的时候能通知管理员。4. 母盘制作相关问题A，那些软件是必须安装的B，系统做那些优化C，安全设置（ie安全设置，共享安全设置等）D，避免sid问题3. 部署。部署客户端考虑到ris服务器需要dhcp服务器支持，且对网络带宽有较高要求，可以通过分批加入域，分批 GHOST部署域服务器、dns服务器及文件服务器，如果需要做dhcp，需要张工，徐工考虑DHCP的实现方 式。后期还要添加WSUS服务器，sms服务器，诺顿防病毒服务器及vpn服务器，因为所有客户机操作 系统都为XP，没有98或者其他系统，个人认为wins服务器在域环境下没有必要。域服务器按规划做好 策略，

13、文件服务器做好权限控制。4. 测试。部门办公应用在域环境下能否正常使用，安全性方面能否达到预期效果。办公应用：erp系统能否正常登录，打印；office软件能否正常运行；bbs能否正常登录使用；5. 建立各类使用及维护文档。帮助大家在域环境下更方便的使用办公电脑。6. 检查所有电脑，如果检测认定安全的直接加入域，如果是HOME版及机器有问题的，重做系统。7域的备份域的备份主要是通过做备份域，以及微软自带的备份工具备份帐户数据等。效果最终的客户端系统桌面如下运行其他非必须程序提示：对文件服务器的正常访问：浏览bbs:服务器的安全1、域控制器的安全保证：域控制器主要是管理局域网的用户和机器，并对用

14、户的权限进行控制，一 旦主域控制器系统损坏，重新安装系统后就必须重新建立用户信息，为了防止系统损坏而影响系统使用， 在局域网中又设置一台备份域服务器，备份域服务器能将主域控制器上的所有用户信息备份到本机，并在 主域控制器失效时自动充当主域控制器的角色，保证系统能正常运行。2、文件服务器的安全保证：文件服务器主要是保存各种公司私密文件，所以其安全性主要是考虑服 务器上保存的文件的安全性，文件服务器本身做磁盘冗余，这样即使服务器有一个硬盘损坏也不会导致文 件丢失，另外我们还通过异地备份将文件服务器上文件保存一份到其他服务器上，这样即使文件服务器遭 遇灾难性的损坏我们的文件也不会丢失。3、综合安全优

15、化1，停掉Guest帐号2,修改管理员帐号和创建陷阱帐号:重命名Administrator账号，然后新建一个名称为Administrator的陷阱帐号“受限制用户”，把它的权 限设置成最低，什么事也干不了，并且加上超级复杂密码3, 删除默认共享Windows2003安装好以后，系统会创建一些隐藏的共享，要禁止或删除这些共享以确保安全，方法 是：首先编写如下内容的批处理文件：echo offnet share C$ /delnet share D$ /delnet share E$ /delnet share F$ /delnet share admin$ /del可以通过组策略编辑器使客户机系

16、统开机即执行脚本删除系统默认的共享。4, 禁用IPC连接Ipc连接比如net useipipc$ password /user:usernqme”。可以通过修改注册表来禁用IPC连 接。打开注册表编辑器。找到 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLsa 中的 restrictanonymous子键，将其值改为1即可禁用IPC连接。重新设置远程可访问的注册表路径5, 设置远程可访问的注册表路径为空，这样可以有效地防止黑客利用扫描器通过远程注册表读取计 算机的系统信息及其它信息。打开组策略编辑器，然后选择“计算机配置”一“Windows设

17、置”一“安全选 项，一，网络访问：可远程访问的注册表路径，及，网络访问：可远程访问的注册表，将设置远程可访问的注 册表路径和子路径内容设置为空即可。6, 关闭不需要的端口7, 关闭不需要的服务服务提供了核心操作系统功能，如Web服务、事件日志记录、文件服务、帮助和支持、打印、加密 和错误报告，并不是所有默认服务都是我们需要的。我们不需要的可以停用、禁用，来释放系统资源。8, 锁住注册表9, 运行防病毒软件10,备份3、监视服务器性能：通过实时和日志方式来监视服务器性能；监视服务器内存性能；监视服务器处理器性能；监视服务器磁盘性能；监视网络性能。4、建立完备的管理制度为能跟上整改后的计算机网络的管理与使用，需要逐步完善各类相应的管理制度，包括：计算机网络管理办法主要针对用户对计算机的操作使用，管理及保护等进行阐述，明文规定不得进行哪些相关的操作及 网络访问等；核心网络设置管理办法针对网络设备、服务器等设置及管理做的详细阐述；IT管理员工作手册岗位说明书，规范IT管理人员的日常必要维护事项及操作方法，包括设备盘点登记表、设备健康卡， 日常维护记录表、工作日志、设备申购表、报废表等；计算机维护指南主要针对分机构计算机用户的自我计算机维护操作指南，主要包括：常用操作系统的安装说明、常 用病毒及网络安全设置步骤、病毒