背景：

    園區(qū)某高科技企業(yè)，有20臺左右日常辦公電腦，也有20臺左右電腦用于實(shí)習(xí)生實(shí)習(xí)

    辦公電腦要求正常上網(wǎng)，實(shí)習(xí)生電腦禁止上網(wǎng)，禁止使用USB設(shè)備

    日常工作中會產(chǎn)生大量的實(shí)驗(yàn)數(shù)據(jù)，需要在辦公電腦和實(shí)習(xí)電腦之間共享實(shí)驗(yàn)數(shù)據(jù)

    辦公電腦需要共享一些文檔，但是禁止實(shí)習(xí)電腦訪問

    方案設(shè)計：

    1，一臺2U服務(wù)器，用于搭建域控及備份軟件

    2，一臺4盤位群暉NAS，用于存儲共享數(shù)據(jù)

    3，一臺2盤位群暉NAS，用于存儲備份數(shù)據(jù)

    4，一臺防火墻，用于上網(wǎng)權(quán)限管控，多個交換機(jī)用于各設(shè)備接入

    方案實(shí)施：

    1，網(wǎng)絡(luò)部分：

        辦公電腦，實(shí)習(xí)電腦，服務(wù)器使用不同vlan分離，備份網(wǎng)絡(luò)單獨(dú)使用一個vlan，確保備份數(shù)據(jù)安全

        通過防火墻策略，限制實(shí)習(xí)電腦上網(wǎng)，訪問各設(shè)備的管理，僅允許訪問域控和群暉數(shù)據(jù)

        通過防火墻策略，允許辦公電腦訪問互聯(lián)網(wǎng)，僅允許部分辦公電腦可以訪問管理

    2，服務(wù)器部分

        由于域控資源要求低，服務(wù)器安裝esxi系統(tǒng)，一臺虛擬機(jī)用于域控，一臺虛擬機(jī)用于備份系統(tǒng)，剩余資源用于其他業(yè)務(wù)

        所有電腦加入域管理，通過域策略禁用實(shí)習(xí)電腦的USB權(quán)限，通過賬戶策略限制對共享文件的訪問

        備份虛擬機(jī)通過備份網(wǎng)絡(luò)抓取域控和群暉數(shù)據(jù)，備份到2盤位群暉上