小型和中型企業的安全遠端存取
本指南可提供您哪些協助? 本指南說明如何讓使用者從任何位置,透過各種不同的網際網路連線裝置,輕鬆且安全地存取公司資料。
本指南說明規範、測試設計和實作解決方案,可協助您藉由集中資料存放區、設定網路的遠端存取,以及限制資料存取權限,為網路使用者提供安全的遠端存取。
在本解決方案指南中:
案例、問題陳述和目標
什麼是此解決方案的建議設計?
為什麼我們會建議這種設計?
實作此解決方案的整體步驟為何?
下圖說明本解決方案指南所針對的問題與案例。
與遠端資料存取相關聯的問題
案例、問題陳述和目標
本節描述範例組織的案例、問題與目標。
案例
組織是小型到中型,具有多達 100 位使用者以及 200 台裝置,且尋求一種方法讓使用者在內部部署以外的位置以及使用廣範圍的網際網路連線裝置時,可以安全地存取公司資料。 使用者在現場與異地沒有一致的公司資源存取權。 網路使用者步出辦公室之後,就無法存取檔案。 如此一來,網路使用者將公司資料儲存在其行動裝置上或透過電子郵件傳送。 他們從工作地點使用電腦以電子郵件傳送資料,也可以在遠端工作時從筆記型電腦將資料傳送到辦公室。 有時候使用者會在上班時間之後需要從各種裝置使用檔案或存取資料,例如平板電腦、PAD 或筆記型電腦,不過,使用者無法在異地使用其特定業務應用程式。
問題陳述
組織想要處理下列問題:
使用者在辦公室網路以外時沒有安全的方法可以存取公司資料和特定業務應用程式。
使用者使用行動裝置時沒有安全的方法可以存取網路資源。
使用者在多個裝置 (例如,在工作地點使用 PC,在遠端使用筆記型電腦) 上儲存公司的資料。 這會導致難以追蹤並找出的多個檔案版本。
當使用者無法工作時就會導致財務損失,因為他們並未在其個人的網際網路連線裝置上安裝特定業務應用程式。
組織目標
您的組織正在尋找解決方案,以便:
為辦公室網路外部的使用者提供公司資料和資源的安全存取。
讓使用者可以在行動裝置上存取網路資源。
消除版本衝突,此衝突發生的原因是因為當使用者在網路外部使用本機複本時,會建立多個檔案版本。
防止因無法在辦公室外部存取特定業務應用程式而造成的財務損失。
什麼是此解決方案的建議設計?
下圖說明如何從執行 Windows Server 2012 R2 Essentials 的伺服器或已安裝 Windows Server 2012 R2 角色 (在文件的其餘部分稱為 Windows Server Essentials 體驗) 的 Windows Server Essentials 體驗 Standard 和 Datacenter 版本,儲存、保護及遠端存取公司資料。
解決方案,設計目的為當使用者在網路外部時提供資料安全存取
Windows Server 2012 R2 Essentials (適用於多達 25 名使用者及 50 台裝置) 和已安裝 Windows Server 2012 R2 角色的 Windows Server Essentials 體驗 Standard 和 Datacenter 版本 (適用於多達 100 位使用者和 200 台裝置) 為小型至中型企業提供解決方案,讓使用者輕鬆且安全地透過各種不同的網際網路連線裝置存取公司資料。
下表列出此解決方案設計一部分之 Windows Server 2012 R2 Essentials 和 Windows Server Essentials 體驗 包含的技術,並說明選擇該設計的理由。
解決方案設計元素 |
它為何包含在此解決方案中? |
---|---|
Windows Server Essentials 儀表板 |
使用儀表板在網路中執行所有管理工作,例如建立使用者帳戶、授與存取權限、建立儲存空間和伺服器資料夾,以及設定網際網路網域名稱。 如需儀表板的相關資訊,請參閱 Windows Server Essentials 中的儀表板概觀 [fwlink_SBS8_Admin]。 |
遠端 Web 存取 |
使用遠端 Web 存取入口網站,為在公司網路外部工作的使用者提供資料和其他網路資源的存取權。 使用 [我的伺服器] 應用程式,使用者可以使用其網路認證安全地存取網路資源。 他們能夠從廣範圍的網際網路連線裝置存取資源。 此外,異地使用者可以透過遠端 Web 存取使用遠端桌面工作階段,連線至內部部署的電腦。 如需有關設定和使用「遠端 Web 存取」的詳細資訊,請參閱在 Windows Server Essentials 中管理遠端 Web 存取 [A_Web_Admin_H2]和在 Windows Server Essentials 中使用遠端 Web 存取 [A_Web_Client_H2]。 |
虛擬私人網路 |
使用虛擬私人網路 (VPN) 為使用者提供公司資料和其他網路資源的遠端存取,或使用遠端桌面工作階段連線到內部部署電腦。 使用 VPN,使用者可以使用其網路認證安全地存取網路資源。 如需 VPN 的詳細資訊,請參閱在 Windows Server Essentials 中管理 VPN [blue]。 |
我的伺服器應用程式 |
以執行 Windows 8.1、Windows 8 或 Windows RT 作業系統或 Windows Phone 8 的裝置使用 [我的伺服器] 應用程式,提供您的伺服器上文件和媒體的存取權。 使用 [我的伺服器] 應用程式,使用者可以使用其網路認證安全地存取網路資源。 如需 My Server 應用程式的詳細資訊,請參閱使用 My Server 應用程式來連線到 Windows Server Essentials [SBS8]。 |
儲存空間 |
使用儲存空間來儲存您公司的資料。 使用儲存空間,您可以隨著組織的成長擴充儲存空間,確保您的資料具有高可用性,並確定您的解決方案符合成本效益。 您不需要花費金錢在預先的硬體上,而且您可以根據您的商務需求向上延展。 |
伺服器資料夾 |
將組織的檔案和資料夾儲存在您於伺服器上建立的伺服器資料夾。 這可讓您將資料合併在所有網路使用者可以存取的單一中央位置。 當您在伺服器資料夾中儲存資料時,您可以保護它免於整體伺服器錯誤,方法是使用 Windows Server Backup 和 Windows Azure Backup。 如需伺服器資料夾的詳細資訊,請參閱在 Windows Server Essentials 中管理伺服器資料夾 [A_Web_Admin_H2]。 |
使用者管理 |
建立使用者帳戶和使用者群組,以控制對貴公司的資料和裝置的存取。 當您建立使用者群組時,您可以對所有成員提供與網路資源相同的存取層級。 如需詳細資訊,請參閱在 Windows Server Essentials 中管理使用者帳戶 [H2]。 |
裝置管理 |
將您的用戶端電腦加入網路,您就可以透過 Windows Server Essentials 儀表板輕鬆地管理網路中的所有電腦。 如需所有電腦管理相關工作的相關資訊,請參閱在 Windows Server Essentials 中管理裝置 [H2]。 |
Windows Server Essentials 群組原則 |
保護用戶端電腦免於網路攻擊,並且保持電腦上的軟體和作業系統處於最新狀態,方法是實作 Windows Server Essentials 群組原則設定。
|
為什麼我們會建議這種設計?
本章節將說明設計考量的詳細資料,以及對於最終解決方案設計所做的決策。 它也提供此解決方案中每個功能的建議設定和使用方式。
Windows Server Essentials 儀表板
Windows Server 2012 R2 Essentials 和 Windows Server Essentials 體驗 中的 Windows Server Essentials 儀表板可幫助您快速存取金鑰資訊與您的伺服器的管理功能,而不使用多個原生的 Windows Server 管理工具。 例如,藉由使用 [儀表板],您可以建立和管理使用者帳戶以及管理伺服器資料夾中的資料。
建議: 使用 Windows Server Essentials 儀表板來執行大多數的網路系統管理工作。 您可以從儀表板執行工作和精靈,以最佳的方式設定您的伺服器中的功能。 藉由使用 [儀表板],您也可以每個使用者為基礎,設定網路資源 (例如共用資料夾、用戶端電腦和 VPN) 的遠端存取權限。
儲存空間
對於貴公司的資料提供高可用性和彈性儲存體的選項包括使用一般伺服器硬體隨附的內建 RAID 控制器。 您可以使用此儲存體選項,提供您需要的儲存體可用性和備援能力,但是相對地複雜且昂貴。
相反地,您可以使用「儲存空間」功能來建立低成本、彈性,且可以動態方式展開的資料磁碟區來儲存您的商務資料,而不是將它儲存在標準的硬碟機上。 儲存空間包括 [儀表板] 的 [硬碟] 索引標籤上顯示的虛擬硬碟 (VHD)。
儲存空間可協助您將檔案儲存到兩個或多個磁碟機,當磁碟機失敗時檔案仍然可以保持安全。 使用儲存空間,您可以虛擬化伺服器儲存體,方法是將業界標準的硬碟群組至儲存集區,然後從儲存集區的可用容量中建立 VHD (稱為儲存空間)。 您可以使用這些儲存空間將公司的資料儲存在單一集中位置,而不是由所有使用者將資料儲存在他們的電腦上。
建議: 針對使用者少於 10 位的小型企業,至少使用三個 SAS 或 SATA 磁碟機 - 一個磁碟機用來備份作業系統,另外兩個磁碟機則用於儲存空間。 我們建議您藉由使用至少兩個具有鏡像復原的磁碟機,建立儲存空間。
針對具有超過 10 個使用者的小型企業或最多 100 個使用者的中型企業,設定至少三個 SAS 磁碟機與儲存空間 — 一個磁碟機用來備份作業系統,其他兩個磁碟機用於儲存空間。 我們也建議提供伺服器底座,支援加入更多的磁碟機進行擴充。
伺服器資料夾
藉由使用伺服器資料夾,您可以將位於用戶端電腦的檔案儲存到中央位置,而不是使用者在他們的電腦上儲存檔案。
將檔案儲存在伺服器資料夾,可確保您的檔案易於備份且易於存取。 它們位於可從每個用戶端存取的位置。 檔案是安全的,因為要存取檔案需要使用驗證的網路認證。
建議: 在儲存空間磁碟機上建立伺服器資料夾,並針對部門或專案建立個別的伺服器資料夾。 例如,如果您有會計部門,您可以建立稱為「會計」的資料夾。 在儲存空間磁碟機上建立伺服器資料夾會增加資料可用性 (因為鏡像)。
我們也建議您為伺服器資料夾設定配額,以便您在伺服器資料夾即將達到其容量配額時收到警示。 當您收到警示時,您可以刪除伺服器資料夾中的檔案以增加可用的儲存空間,或者您可以新增更多空間給伺服器資料夾,並調整其配額設定。
使用者和群組管理
使用者帳戶和使用者群組,可協助您指定允許使用者存取公司資料的權限。 這樣可以保護公司資料免於非預期使用者的存取。 您可以輕鬆地管理網路資源的存取權,方法是從 Windows Server Essentials 儀表板的 [使用者] 索引標籤為您的所有網路使用者建立使用者帳戶。
此外,您可以建立使用者群組帳戶,新增使用者帳戶做為成員。 使用者群組帳戶的所有成員都共用相同的伺服器資源安全性存取層級。 群組成員資格可簡化資源管理,因為您可以在單一頁面上指定使用者群組的權限。 這是相對於網路中每個使用者指派相關資料夾權限的開啟屬性頁面。
建議: 根據公司現有的部門或公司內員工正在進行的各個專案,建立包含各種使用者群組成員的使用者帳戶。 當您建立使用者群組時,您可以指派一組權限給使用者群組,該權限會套用至其所有成員。 例如,如果您有一個使用者群組正在「會計部門 A」工作,可以建立稱為「部門 A 使用者群組」的使用者群組帳戶,然後將相關的使用者帳戶新增至此群組。 接下來,您可以指派「部門 A 使用者群組」權限以存取名為「會計」的伺服器資料夾。
對於您的網路中的每個使用者帳戶,您可以設定遠端存取權限,根據用於遠端存取 (例如遠端 Web 存取或 VPN) 的方法。 您也可以設定網路資源的存取 (例如伺服器資料夾和用戶端電腦)。 例如,您可以為「VPN 使用者」和「RWA 使用者」建立使用者群組,為這些群組設定遠端存取權限,然後新增您想要讓其擁有這些群組之遠端存取權限的使用者帳戶。
裝置管理
若要讓使用者從網路中的電腦存取伺服器資料夾,您必須將使用者的電腦連接到伺服器。 將電腦連接到伺服器提供下列優點:
可讓網路使用者使用其使用者帳戶,安全地存取儲存在伺服器上的資料。
可讓您從儀表板管理用戶端電腦。
透過使用群組原則設定,保護網路中的用戶端電腦。
定期備份用戶端電腦上的資料。
監視用戶端電腦的健全狀況。
建議: 將您要管理的所有電腦 (本機或遠端) 連接到伺服器,讓您能夠從 Windows Server Essentials 儀表板的 [裝置] 索引標籤管理它們,而不是使用原生的伺服器工具 [Active Directory 使用者和電腦] 來管理。
Windows Server Essentials 中的群組原則設定
您可以使用 Windows Server 2012 R2 Essentials 或 Windows Server Essentials 體驗 中的 [實作群組原則] 精靈,藉由開啟資料夾重新導向將資料集中化。 此外,使用此精靈可協助確保您的網路的安全,方法是強制 Windows Update、Windows Defender 和 Windows 防火牆對於網路中的所有用戶端電腦保持開啟。 這可免除仰賴使用者在他們的電腦上開啟這些設定。
建議: 我們建議您不要關閉 Windows Server Essentials 中的群組原則設定。
隨處存取
當您設定隨處存取功能 (遠端 Web 存取和 VPN) 時,您會讓網路使用者從具有網際網路連線的位置、在任何時間,以及在幾乎任何裝置上存取伺服器資源。
建議: 執行 [設定隨處存取精靈] 來設定遠端 Web 存取和虛擬私人網路。 精靈完成之後,修復精靈所報告的問題。
遠端 Web 存取
遠端 Web 存取提供流暢且方便觸控的瀏覽器體驗,您幾乎可以使用任何裝置、從任何有網際網路連線的地方存取應用程式和資料。
建議: 為使用者和使用者群組設定遠端 Web 存取的權限,讓遠端使用者可以從辦公室以外的位置安全存取資料。
虛擬私人網路
虛擬私人網路 (VPN) 連線可讓在家中或差旅中工作的使用者,使用公用網路 (例如網際網路) 提供的基礎結構存取私人網路上的伺服器。
建議: 為使用者和使用者群組設定 VPN 的權限,如此一來,遠端使用者便能透過安全的 VPN 連線來連接到您的伺服器。
My Server 2012 R2 應用程式
[我的伺服器] 應用程式可讓您從執行 Windows 8.1、Windows 8 或 Windows RT 作業系統的裝置,連接到資源以及在 Windows Server Essentials 伺服器上執行簡單的系統管理工作。 在 [我的伺服器] 中,您可以管理使用者、裝置和警示,以及使用伺服器上的共用檔案。 離線時,您可以繼續使用最近在 [我的伺服器] 中存取的檔案,下次連線時,您的離線變更會與伺服器自動同步處理。
建議: 在任何執行 Windows 8.1、Windows 8 或 Windows RT 作業系統的裝置上安裝 My Server 應用程式,然後使用 My Server 來存取伺服器上的文件。
實作此解決方案的整體步驟為何?
您可以遵循本節中的步驟來實作此解決方案。 請務必確認已正確部署每個步驟才繼續下一個步驟。
注意
下列步驟假設網路中已經有伺服器正在執行 Windows Server 2012 R2 Essentials 或 Windows Server Essentials 體驗。 如需有關安裝 Windows Server 2012 R2 Essentials 或 Windows Server Essentials 體驗角色的相關資訊,請參閱安裝和設定 Windows Server 2012 R2 Essentials 或 Windows Server Essentials 體驗 [WSE_Blue]。
開啟隨處存取。
使用隨處存取,您可以管理遠端 Web 存取和 VPN 功能。 若要開啟遠端 Web 存取和 VPN,請從 [儀表板] 之 [設定] 頁面上的 [隨處存取] 索引標籤,執行 [設定隨處存取精靈]。 若要開啟 [遠端 Web 存取],請依照管理遠端 Web 存取中的指示執行。 若要開啟 VPN,請依照在 Windows Server Essentials 中管理 VPN [blue] 中的指示執行。
設定網域名稱。
若要設定網域名稱,請執行 [設定您的網域名稱精靈],並依照管理遠端 Web 存取中的指示執行。 如果您沒有現有的網域名稱,您可以在使用 [設定您的網域名稱精靈] 期間取得免費的 Microsoft 個人化網域名稱 (例如,yourhostname.remotewebaccess.com)。
在伺服器上建立儲存空間。
若要建立儲存空間,請依照在 Windows Server Essentials 中管理伺服器儲存體的<建立儲存空間>一節中的指示執行。
您也可以藉由使用 New-WssStorageSpace Windows PowerShell Cmdlet,建立新的雙向鏡像儲存空間。
建立儲存空間之後,請確認它列在 [儀表板] 的 [硬碟] 索引標籤。
視需要針對不同部門或資料類型建立伺服器資料夾。
若要建立伺服器資料夾,請依照新增或移動伺服器資料夾中的指示執行。
注意
如果您的組織具有已在使用中的共用資料夾,請同時將儲存在各個裝置中的資料移至您在此步驟中建立的伺服器資料夾。
當您使用 [新增資料夾精靈] 建立新的伺服器資料夾時,在 [輸入資料夾的名稱與描述] 頁面上,於 [位置] 欄位中將資料夾儲存在其預設位置,也就是您在步驟 1 中建立的儲存空間,以確保資料的高可用性。 請確認您所建立的所有伺服器資料夾都列在 [儀表板] 的 [儲存] 索引標籤。
您也可以藉由使用 Add-WssFolder Windows PowerShell Cmdlet 來新增伺服器資料夾。 如需詳細資訊,請參閱 Add-WssFolder。
建立使用者帳戶和使用者群組。
為網路中的所有使用者建立使用者帳戶,然後根據部門和您的組織中的專案建立使用者群組。 您也可以根據遠端存取的方法建立使用者群組,例如透過 VPN 存取資料的使用者,或透過遠端 Web 存取來存取資料的使用者。
接下來,根據使用者相關聯的部門、專案或遠端存取方法,將使用者帳戶加入至相關的使用者群組。 如需建立使用者帳戶的逐步指示,請參閱新增使用者帳戶。 如需使用者群組的詳細資訊,請參閱在 Windows Server Essentials 中管理使用者帳戶 [H2]。
確認所有使用者帳戶和使用者群組都會列在 [儀表板] 的 [使用者] 和 [使用者群組] 索引標籤。
指派伺服器資料夾的使用者存取權限。
若要指派權限給使用者帳戶,讓使用者可以存取伺服器資料夾,請依照管理伺服器資料夾的存取中的指示執行。
您已授與使用者存取權限之後,您可以驗證、檢視或修改任何使用者帳戶的網路資源權限,方法是從 [儀表板] 檢視使用者帳戶的屬性。 如需詳細資訊,請參閱在 Windows Server Essentials 中管理使用者帳戶 [H2]。
將網路中的所有用戶端電腦連接到伺服器。
所有用戶端必須連接到執行 Windows Server 2012 R2 Essentials 或 Windows Server Essentials 體驗 的伺服器。 將用戶端連接到執行 Windows Server Essentials 的伺服器之前,請檢閱下列項目:
在網路中的所有電腦上執行 [將電腦連線到伺服器精靈],不論是本機還是遠端。 如需將用戶端電腦連線到執行 Windows Server Essentials 體驗 之伺服器的逐步指示,請參閱將電腦連線到伺服器。
將用戶端電腦連接到伺服器之後,請確認電腦的名稱列在 [儀表板] 的 [裝置] 索引標籤。 您可以透過 [儀表板] 之工作窗格中列出的系統管理工作,管理已連接到伺服器的所有電腦。 如需詳細資訊,請參閱使用儀表板管理裝置。
為使用者帳戶和網路裝置設定遠端存取權限。
將遠端存取權限指派給使用者帳戶和使用者可以用來遠端連線的網路裝置。 此連線可以透過 VPN 連線或透過使用遠端 Web 存取的遠端桌面工作階段。 如需逐步指示,請參閱在 Windows Server Essentials 中管理使用者帳戶 [H2]中的章節:
授與使用者帳戶遠端桌面權限
允許使用者建立其電腦的遠端桌面工作階段
變更使用者帳戶的遠端存取權限
變更使用者帳戶的虛擬網路權限
實作群組原則設定。
若要在 Windows Server Essentials 中實作群組原則設定,可開啟資料夾重新導向、Windows Defender、Windows 防火牆及 Windows Update 的設定,如設定適用於資料夾重新導向和安全性的群組原則設定中所討論。
在實作群組原則設定之後,請確認 [裝置] 索引標籤上顯示 [設定群組原則設定] 工作。
安裝 My Server 2012 R2 應用程式。
在您的 Windows Phone 及執行 Windows 8.1 和 Windows 8 的裝置上安裝 My Server 2012 R2 應用程式。 您可以從 Windows 市集,在執行 Windows 的裝置上安裝 My Server 2012 R2 應用程式。 如需使用這個應用程式的相關資訊,請參閱使用 My Server 應用程式來連線到 Windows Server Essentials [SBS8]。
您可以從 Windows Phone 市集在 Windows Phone 上安裝 My Server 2012 R2 應用程式。 確認 [我的伺服器] 應用程式已安裝在您的裝置上。 如需 My Server 2012 R2 電話應用程式的詳細資訊,請參閱部落格文章:My Server 2012 R2 Windows 和 Windows Phone 應用程式。
若要針對 Windows Phone 和在 Windows Server Essentials 中執行 Windows 8.1 或 Windows 8 的裝置成功使用 My Server 2012 R2 應用程式,您必須先在裝置上安裝伺服器憑證。 此憑證可讓您將裝置連接至從您的本機網路中執行 Windows Server Essentials 的伺服器。 如需安裝伺服器憑證的逐步指示,請參閱使用 My Server 應用程式連線到 Windows Server Essentials [SBS8] 的<如何從我的區域網路連線到伺服器>一節。
完成上述步驟之後,本文件中列出之您的組織目標即已達成,如下所示:
網路使用者可以使用遠端 Web 存取或辦公室網路外部的 VPN,安全地存取公司資料和資源。
使用者可以使用遠端 Web 存取、VPN 或 My Server 2012 R2 應用程式,從各種行動裝置存取網路資源。
使用者可以在網路外部工作,因此不再需要於外部部署工作時使用本機複本。 消除因為多個檔案版本而產生的版本衝突。
防止商務損失,因為網路使用者可以使用 VPN 或使用遠端 Web 存取,在上班時間以外存取他們的特定業務應用程式,使用其現場的用戶端電腦建立遠端桌面工作階段。
另請參閱
內容類型 |
參考 |
---|---|
產品評估/開始使用 |
|
部署 |
安裝與設定 Windows Server 2012 R2 Essentials 或 Windows Server Essentials 體驗 [WSE_Blue] |
操作 |
管理 Windows Server Essentials [H2] |
支援 |
|
參考資料 |
|
社群資源 |