企业通过域及NAS实现权限管控

    背景：

    园区某高科技企业，有20台左右日常办公电脑，也有20台左右电脑用于实习生实习

    办公电脑要求正常上网，实习生电脑禁止上网，禁止使用USB设备

    日常工作中会产生大量的实验数据，需要在办公电脑和实习电脑之间共享实验数据

    办公电脑需要共享一些文档，但是禁止实习电脑访问

    方案设计：

    1，一台2U服务器，用于搭建域控及备份软件

    2，一台4盘位群晖NAS，用于存储共享数据

    3，一台2盘位群晖NAS，用于存储备份数据

    4，一台防火墙，用于上网权限管控，多个交换机用于各设备接入

    方案实施：

    1，网络部分：

        办公电脑，实习电脑，服务器使用不同vlan分离，备份网络单独使用一个vlan，确保备份数据安全

        通过防火墙策略，限制实习电脑上网，访问各设备的管理，仅允许访问域控和群晖数据

        通过防火墙策略，允许办公电脑访问互联网，仅允许部分办公电脑可以访问管理

    2，服务器部分

        由于域控资源要求低，服务器安装esxi系统，一台虚拟机用于域控，一台虚拟机用于备份系统，剩余资源用于其他业务

        所有电脑加入域管理，通过域策略禁用实习电脑的USB权限，通过账户策略限制对共享文件的访问

        备份虚拟机通过备份网络抓取域控和群晖数据，备份到2盘位群晖上