1、引言
隨著信息技術(shù)的發(fā)展,統(tǒng)一身份驗(yàn)證體系的建設(shè)與服務(wù)在企業(yè)產(chǎn)、科技活動(dòng)中起著重要的作用。浙江省能源集團(tuán)有限公司計(jì)劃存本部與各下屬單位之問(wèn)建立一套統(tǒng)一的基礎(chǔ)架構(gòu)系統(tǒng),通過(guò)制定相關(guān)規(guī)則,建立企業(yè)級(jí)的統(tǒng)一安全策略、用戶賬號(hào)、計(jì)算機(jī)和網(wǎng)絡(luò)資源,以適應(yīng)當(dāng)前企業(yè)信息化的發(fā)展。
微軟活動(dòng)目錄基礎(chǔ)架構(gòu)是Windows操作系統(tǒng)的核心組件,它為用戶管理網(wǎng)絡(luò)環(huán)境各個(gè)組成要素的標(biāo)識(shí)和關(guān)系提供了一種有力的手段;顒(dòng)目錄存儲(chǔ)了有關(guān)網(wǎng)絡(luò)對(duì)象的信息,并且讓管理員和用戶能夠輕松地查找和使用這些信息;顒(dòng)目錄使用了一種結(jié)構(gòu)化的數(shù)據(jù)存儲(chǔ)方式,并以此作為基礎(chǔ)對(duì)目錄信息進(jìn)行合平邏輯的分層組織。
2、系統(tǒng)概述
2.1功能概述
活動(dòng)目錄主要提供以下功能:
(1)基礎(chǔ)網(wǎng)絡(luò)服務(wù):包括DNS域名解析、DHCP網(wǎng)絡(luò)地址分配、證書(shū)服務(wù)等。
(2)服務(wù)器及客戶端計(jì)算機(jī)管理:管理服務(wù)器及客戶端計(jì)算機(jī)賬戶,所有服務(wù)器及客戶端計(jì)算機(jī)加入域管理并通過(guò)實(shí)施不同的組策略,達(dá)到對(duì)不問(wèn)分組服務(wù)器和客戶端的管理。
(3)用戶服務(wù):管理用戶域賬戶、用戶信息、企業(yè)通訊錄(與電子郵件系統(tǒng)Exchange集成)、用戶組管理、用戶身份認(rèn)證、用戶權(quán)限管理以及用戶軟件控制策略等。
(4)資源管理和共享服務(wù):管理網(wǎng)絡(luò)打印機(jī)、文件共享服務(wù)等網(wǎng)絡(luò)資源,對(duì)不同的用戶,進(jìn)行差別化的權(quán)限分配。
(5)計(jì)算機(jī)策略配置:系統(tǒng)管理員可以集中的配置各種計(jì)算機(jī)策略配置,如:界面功能的限制、應(yīng)用程序執(zhí)行特征限制、剛絡(luò)連接限制、安全配置限制等。
(6)應(yīng)用系統(tǒng)基礎(chǔ)平臺(tái):支持補(bǔ)丁管理、企業(yè)門(mén)戶、電子郵件、財(cái)務(wù)、人事、辦公自動(dòng)化、防病毒系統(tǒng)等各種應(yīng)用系統(tǒng)。
2.2技術(shù)概述
活動(dòng)日錄基礎(chǔ)架構(gòu)基于微軟公司的Windows 2008 R2系統(tǒng),Microsoft Active Directory 服務(wù)是Windows平臺(tái)的核心組件。Active Directory存儲(chǔ)J 有關(guān)網(wǎng)絡(luò)對(duì)象的信息(包括用戶賬戶、計(jì)算機(jī)和網(wǎng)絡(luò)資源等),并且讓管理員和用戶能夠輕松地查找和使用這些信息。Active Directory使用了一種結(jié)構(gòu)化的數(shù)據(jù)存儲(chǔ)方式,并以此作為基礎(chǔ)對(duì)目錄信息進(jìn)行合乎邏輯的分層組織。
物理結(jié)構(gòu):采用單林單域多OU的形式,集團(tuán)的兩臺(tái)服務(wù)器作為主域控,實(shí)現(xiàn)多點(diǎn)容錯(cuò)和性能優(yōu)化,制定活動(dòng)目錄復(fù)制策略和操作主控,其他各個(gè)電廠以站點(diǎn)的形式和集團(tuán)主域連接,實(shí)現(xiàn)統(tǒng)一管理。
邏輯結(jié)構(gòu):集團(tuán)本部統(tǒng)一一作為單域,按各個(gè)電廠行成OU。安裝和配置DNS服務(wù)以支持活動(dòng)目錄,配置活動(dòng)目錄對(duì)象的訪問(wèn)控制,做委派授權(quán),實(shí)現(xiàn)對(duì)用戶權(quán)限的控制和統(tǒng)一化的管理。
3、部署方案
3.1網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)
浙能集團(tuán)互聯(lián)網(wǎng)絡(luò)包括城域網(wǎng)、廣域網(wǎng)及VPN網(wǎng),采用星型結(jié)構(gòu)組網(wǎng)(各下屬企業(yè)局域網(wǎng)不互通),城域網(wǎng)采用100M速率的裸光纖互聯(lián),連接在杭子公司,廣域網(wǎng)采用2*2M速率的浙江電力通信SDH專線、1OM速率的中國(guó)電信MPLS-VPN線路互聯(lián),實(shí)現(xiàn)雙鏈路負(fù)載冗余,連接非在杭下屬企業(yè),VPN網(wǎng)采用IPSIC加密力一式,通過(guò)中國(guó)電信Internet網(wǎng)、中國(guó)網(wǎng)通Internet網(wǎng)連接籌建單位。浙能集團(tuán)各單位內(nèi)部采用10/100/1000M以太網(wǎng)技術(shù)組網(wǎng)。
3.2部署方式
根據(jù)項(xiàng)目要求,硬件平臺(tái)統(tǒng)一采用HP或者IBM高性能服務(wù)器,軟件平臺(tái)統(tǒng)一采用Windows 2008 R2企業(yè)版平臺(tái)。50人以上的子公司,每個(gè)公司放置兩臺(tái)域控制器,一臺(tái)作為主域控服務(wù)器,另一臺(tái)作為備域控服務(wù)器。50人以下的子公司,每個(gè)公司放置一臺(tái)域拄制器。但考慮到容錯(cuò),建議都放2臺(tái)域控制器。主域控和備域控服務(wù)器均配置為可讀寫(xiě)域控制器,其中集團(tuán)本部和下屬各單位的主域控服務(wù)器又作為全局編錄服務(wù)器(GC)。
首先將Windows 2008 R2企業(yè)版操作系統(tǒng)完全安裝,修改域控服務(wù)器的DNS,指向自己和另一臺(tái)域控。然后安裝Active Directory域服務(wù)運(yùn)用提升工具Dcpromo進(jìn)行服務(wù)器的提升,在提升過(guò)程中同時(shí)安裝域集成的DNS服務(wù)。重啟服務(wù)器之后,安裝組策略服務(wù)等。
在域控中,創(chuàng)建站點(diǎn)、組織單位,批量導(dǎo)人需要?jiǎng)?chuàng)建的用戶賬戶、用戶屬性、計(jì)算機(jī)賬戶等信息,同時(shí)針對(duì)不同的人員和不同的管理性質(zhì)進(jìn)行權(quán)限分配,可分為Administrators(管理員組), DomainAdmins(指定的域管理員)、OU管理員、Server Operators(域服務(wù)管理員組),GPO Creators( GPO創(chuàng)建組),Event Log Readers(本地事件讀取組)、Dornian users(普通域帳戶)等。對(duì)于集團(tuán)本部及下屬各單位的所有計(jì)算機(jī)要求全部加入浙能集團(tuán)域。
活動(dòng)目錄基礎(chǔ)架構(gòu)通過(guò)已建立的管理平臺(tái),從基礎(chǔ)階段向合理化階段和動(dòng)態(tài)化階段過(guò)渡,通過(guò)微軟其它產(chǎn)品的部署(如SCCM2007和SCOM 2007)使之能夠從人為的管理到自動(dòng)監(jiān)測(cè)、自動(dòng)管理階段。
3.3系統(tǒng)詳細(xì)設(shè)計(jì)
網(wǎng)絡(luò)端口設(shè)計(jì):
(1)操作主機(jī)角色設(shè)計(jì):將所有操作主機(jī)角色全部放置集團(tuán)的兩臺(tái)域控制器上,其中主域控制器放置架構(gòu)主機(jī)、域命名主機(jī)、RID主機(jī)和PDC仿真主機(jī),備域控制器放置結(jié)構(gòu)主機(jī)角色。
(2)站點(diǎn)設(shè)計(jì):站點(diǎn)與子網(wǎng)相關(guān),所以要求集團(tuán)和各子公司的子網(wǎng)是全路由的。站點(diǎn)間復(fù)制時(shí)各子公司域控制器都與集團(tuán)的主域控制器(也是橋頭堡)通過(guò)IP協(xié)議進(jìn)行復(fù)制,提高復(fù)制效率。
(3)林功能設(shè)計(jì):如果所有域控制器都為Windows 2008 R2系統(tǒng),則提升為Windows 2008林功能。
(4)域功能設(shè)計(jì):所有域控制器都為Windows 2008 R2,則提升為Windows 2008 R2域功能。浙能集團(tuán)使用zhenergy . com . cn作為整個(gè)集團(tuán)的域名。
(5)組織單位設(shè)計(jì):集團(tuán)和子公司信息放在不同的組織單位中,部門(mén)允許重名。集團(tuán)和各子公司都可以看見(jiàn)如上信息,但各自O(shè)U的管理員只能操作自己公司的信息。對(duì)于敏感的部門(mén)可以只允許部分人員才能看到和操作。在建立組織單位時(shí),選擇防止意外刪除,以防止組織單位被管理員意外刪除。
(6)組設(shè)計(jì):一般通過(guò)組來(lái)授權(quán),所以需要經(jīng)常維護(hù)組成員關(guān)系,可以開(kāi)發(fā)腳本自動(dòng)創(chuàng)建組,組名與組織單位一樣,組成員是該組織單位下所有用戶,這樣既管理了組織架構(gòu),又管理了授權(quán)。使用中文命名,要求能夠充分反映用戶組的分組依據(jù)或者用途,易于記憶管理每一個(gè)部門(mén)/分公司建立一用戶組,以維護(hù)部門(mén)/分公司內(nèi)部的文件權(quán)限分配。
(7)站點(diǎn)間復(fù)制控制設(shè)計(jì):出于對(duì)集團(tuán)局域網(wǎng)內(nèi)部安全考慮和活動(dòng)目錄中的各臺(tái)DC之間的內(nèi)容復(fù)制,在一般的設(shè)計(jì)環(huán)境下是互進(jìn)行復(fù)制的,而且只要是其中一臺(tái)發(fā)生改變,那么根據(jù)活動(dòng)目錄中保存的拓?fù)浣Y(jié)構(gòu),將進(jìn)行同步。也就是說(shuō)當(dāng)這個(gè)網(wǎng)絡(luò)拓?fù)溥^(guò)于龐大的時(shí)候,各DC之間的復(fù)制會(huì)出現(xiàn)混亂,會(huì)出現(xiàn)剛刪除某個(gè)對(duì)象,一段時(shí)間后該對(duì)象自己恢復(fù)了。所以浙能集團(tuán)的站點(diǎn)間復(fù)制不僅僅是一個(gè)簡(jiǎn)單的星型拓?fù)浣Y(jié)構(gòu),在各站點(diǎn)間設(shè)計(jì)了下面子公司之間的相互復(fù)制。
(8)桌面安全管理角色設(shè)計(jì):安全小組:由集團(tuán)指定人員擔(dān)任,負(fù)責(zé)安全管理的整體規(guī)劃和技術(shù)實(shí)現(xiàn)。安全管理員:由集團(tuán)和子公司相關(guān)人員擔(dān)任,負(fù)責(zé)總體安全策略的具體實(shí)施。
(9)桌面規(guī)范設(shè)計(jì):安裝指定的正版操作系統(tǒng)和應(yīng)用軟件,必須加入域接受域安全管理,及時(shí)安裝補(bǔ)丁和防病毒軟件,不得刪除集團(tuán)指定的防病毒軟件,硬盤(pán)或移動(dòng)設(shè)備送修時(shí)需徹底刪除相關(guān)資料。
(10)桌面管理審核設(shè)計(jì):從新員工人職,網(wǎng)絡(luò)準(zhǔn)人,桌面機(jī)加域,包括員工在使用中問(wèn)題支持,均應(yīng)通過(guò)IT支持平臺(tái)走流程,并根據(jù)常見(jiàn)問(wèn)題進(jìn)行優(yōu)化改進(jìn)。安全小組每月或每季度對(duì)子公司進(jìn)行安全巡檢,抽查是否符合安全規(guī)范,從而提升整個(gè)集團(tuán)的安全規(guī)范管理。
(11)組策略設(shè)計(jì):組策略設(shè)計(jì)主要包括以下七個(gè)方面:
第一、IE安全配置:針對(duì)域用戶的IE瀏覽器進(jìn)行安全設(shè)置,提高域中用戶的安全性,主要包括URL設(shè)置、IE安全區(qū)域、IE中的ActiveX設(shè)置、IE收藏夾和鏈接。URL設(shè)置是針對(duì)不同公司,設(shè)定重要的URL,鎖定用戶IE主頁(yè)策略。IE安全區(qū)域是設(shè)置較高的安全級(jí)別,限制用戶訪問(wèn)某些網(wǎng)站,限制用戶下載、視頻瀏覽等。IE中的ActiveX是只下載已簽名的ActiveX控件,防止互聯(lián)網(wǎng)環(huán)境中的病毒控件未經(jīng)過(guò)允許直接安裝到本地計(jì)算機(jī)上。
IE收藏夾和鏈接是將公司及其相關(guān)的重要的URL鏈接以收藏夾的形式添加到各個(gè)客戶端上,方便用戶查找和使用公司資源。
第二、用戶網(wǎng)絡(luò)配置:為了方便OU管理員進(jìn)行管理,防止用戶私自刪除網(wǎng)絡(luò)配置,對(duì)用戶網(wǎng)絡(luò)配置進(jìn)行限制。用戶網(wǎng)絡(luò)配置主要包括禁用TCP/IP高級(jí)配置、刪除所有用戶的遠(yuǎn)程訪問(wèn)連接、禁止刪除遠(yuǎn)程訪問(wèn)連接和禁止用戶手動(dòng)重定向配置文件夾。
第三、用戶控制面板配置:針對(duì)某些經(jīng)常維護(hù)的IT設(shè)備,進(jìn)行強(qiáng)制性的組策略控制。防止刪除打印機(jī)、添加刪除程序、刪除開(kāi)始菜單和任務(wù)欄和禁止訪問(wèn)控制面板。防止刪除打印機(jī)是防止用戶意外刪除打印機(jī)。添加刪除程序是隱藏從Microsoft添加程序選項(xiàng)、隱藏從CDROM或軟盤(pán)安裝程序,防止誤操作安裝出現(xiàn)藍(lán)屏等。刪除開(kāi)始菜單和任務(wù)欄是刪除幫助,刪除網(wǎng)絡(luò),刪除網(wǎng)絡(luò)連接,刪除文檔,刪除音樂(lè),刪除游戲等。禁止訪問(wèn)控制面板是禁止用戶對(duì)控制面板進(jìn)行訪問(wèn),防止意外操作。
第四、計(jì)算機(jī)用戶配置:包括阻止訪問(wèn)注冊(cè)表編輯工具、阻止訪問(wèn)命令提示符、可移動(dòng)磁盤(pán)禁止寫(xiě)入或讀取權(quán)限、從休眠/掛起恢復(fù)時(shí)提示輸人密碼、統(tǒng)一使用相同的桌面壁紙、關(guān)閉自動(dòng)播放和驅(qū)動(dòng)程序搜索。
第五、軟件安裝,在域控制器上統(tǒng)一下發(fā)軟件,簡(jiǎn)化管理員操作,簡(jiǎn)化IT管理流程。
第六、計(jì)算機(jī)安全配置:包括密碼長(zhǎng)度最小值、密碼最短使用期限、系統(tǒng)服務(wù)設(shè)置、匿名枚舉、禁用來(lái)賓賬戶、設(shè)置可匿名訪問(wèn)的共享、定義防火墻的人站或出站規(guī)則、對(duì)可信任站點(diǎn)自動(dòng)安裝ActiveX控件等。
第七、系統(tǒng)控制腳本編寫(xiě):包括系統(tǒng)狀態(tài)監(jiān)控、客戶端狀態(tài)收集、用腳本自動(dòng)分發(fā)打印機(jī)、自動(dòng)提升域用戶到本地最高權(quán)限組、Out-look自動(dòng)配置腳本等。
4、安全管理
針對(duì)活動(dòng)目錄的安全性問(wèn)題,在浙能集團(tuán)活動(dòng)目錄基礎(chǔ)架構(gòu)的部署中,采用了以下措施進(jìn)行安全管理。
(1)全局編錄是一個(gè)信息倉(cāng)庫(kù),它是活動(dòng)目錄中所有對(duì)象的子集,為了活動(dòng)目錄數(shù)據(jù)的安全行,項(xiàng)目部署時(shí),為每個(gè)站點(diǎn)建立全局編錄服務(wù)器。
(2)對(duì)域控服務(wù)器、一般服務(wù)器和客戶端采取了限制登陸用戶的方式,通過(guò)對(duì)服務(wù)器和客戶端登陸組的控制,保證服務(wù)器和客戶端的安全。
(3)對(duì)活動(dòng)目錄目錄訪問(wèn)權(quán)限進(jìn)行控制,對(duì)于Administrators組中的賬戶給予完全控制,其余賬號(hào)只賦予讀取、寫(xiě)人或者修改權(quán)限。
(4)SYSVOL是域中每臺(tái)域控制器上文件系統(tǒng)中的文件夾和重分析點(diǎn)的集合。所以為了安全起見(jiàn)對(duì)SYSVOL文件夾進(jìn)行重定向和修改文件夾的存儲(chǔ)位置。
(5)控制用戶賬戶的并發(fā)登陸,只允許Administrators組中的用戶并發(fā)登陸,減少賬號(hào)被盜用和病毒利用賬號(hào)漏洞的幾率。
(6)通過(guò)組策略,對(duì)一些蠕蟲(chóng)病毒進(jìn)行清除,確保局域網(wǎng)安全。
5、結(jié)語(yǔ)
活動(dòng)目錄基礎(chǔ)架構(gòu)的部署,統(tǒng)一了浙能集團(tuán)內(nèi)部信息系統(tǒng)的身份管理、策略管理和安全管理,提高了浙能集團(tuán)信息系統(tǒng)的管理效率,對(duì)整個(gè)局域網(wǎng)的安全性有了很大的增強(qiáng)作用,推動(dòng)了IT管理從基礎(chǔ)階段向標(biāo)準(zhǔn)化階段、合理化階段和動(dòng)態(tài)階段邁進(jìn)。同時(shí)為優(yōu)化IT基礎(chǔ)架構(gòu),進(jìn)一步推進(jìn)企業(yè)信息化建設(shè)打下堅(jiān)實(shí)基礎(chǔ)。在今后浙能集團(tuán)活動(dòng)目錄基礎(chǔ)架構(gòu)的應(yīng)用中,將著力開(kāi)發(fā)依托活動(dòng)目錄基礎(chǔ)架構(gòu)平臺(tái)的各種應(yīng)用系統(tǒng),注重組策略對(duì)于局域網(wǎng)病毒的研究,是應(yīng)用真正朝著動(dòng)態(tài)化發(fā)展。
核心關(guān)注:拓步ERP系統(tǒng)平臺(tái)是覆蓋了眾多的業(yè)務(wù)領(lǐng)域、行業(yè)應(yīng)用,蘊(yùn)涵了豐富的ERP管理思想,集成了ERP軟件業(yè)務(wù)管理理念,功能涉及供應(yīng)鏈、成本、制造、CRM、HR等眾多業(yè)務(wù)領(lǐng)域的管理,全面涵蓋了企業(yè)關(guān)注ERP管理系統(tǒng)的核心領(lǐng)域,是眾多中小企業(yè)信息化建設(shè)首選的ERP管理軟件信賴品牌。
轉(zhuǎn)載請(qǐng)注明出處:拓步ERP資訊網(wǎng)http://www.ezxoed.cn/
本文標(biāo)題:系統(tǒng)信息化活動(dòng)目錄基礎(chǔ)架構(gòu)在浙江省能源集團(tuán)的應(yīng)用
本文網(wǎng)址:http://www.ezxoed.cn/html/consultation/1083933510.html