1、引言

    隨著信息技術(shù)的發(fā)展，統(tǒng)一身份驗證體系的建設(shè)與服務(wù)在企業(yè)產(chǎn)、科技活動中起著重要的作用。浙江省能源集團有限公司計劃存本部與各下屬單位之問建立一套統(tǒng)一的基礎(chǔ)架構(gòu)系統(tǒng)，通過制定相關(guān)規(guī)則，建立企業(yè)級的統(tǒng)一安全策略、用戶賬號、計算機和網(wǎng)絡(luò)資源，以適應(yīng)當(dāng)前企業(yè)信息化的發(fā)展。

    微軟活動目錄基礎(chǔ)架構(gòu)是Windows操作系統(tǒng)的核心組件，它為用戶管理網(wǎng)絡(luò)環(huán)境各個組成要素的標(biāo)識和關(guān)系提供了一種有力的手段。活動目錄存儲了有關(guān)網(wǎng)絡(luò)對象的信息，并且讓管理員和用戶能夠輕松地查找和使用這些信息。活動目錄使用了一種結(jié)構(gòu)化的數(shù)據(jù)存儲方式，并以此作為基礎(chǔ)對目錄信息進行合平邏輯的分層組織。

2、系統(tǒng)概述

    2．1功能概述

    活動目錄主要提供以下功能：

    (1)基礎(chǔ)網(wǎng)絡(luò)服務(wù)：包括DNS域名解析、DHCP網(wǎng)絡(luò)地址分配、證書服務(wù)等。

    (2)服務(wù)器及客戶端計算機管理：管理服務(wù)器及客戶端計算機賬戶，所有服務(wù)器及客戶端計算機加入域管理并通過實施不同的組策略，達到對不問分組服務(wù)器和客戶端的管理。

    (3)用戶服務(wù)：管理用戶域賬戶、用戶信息、企業(yè)通訊錄(與電子郵件系統(tǒng)Exchange集成)、用戶組管理、用戶身份認(rèn)證、用戶權(quán)限管理以及用戶軟件控制策略等。

    (4)資源管理和共享服務(wù)：管理網(wǎng)絡(luò)打印機、文件共享服務(wù)等網(wǎng)絡(luò)資源，對不同的用戶，進行差別化的權(quán)限分配。

    (5)計算機策略配置：系統(tǒng)管理員可以集中的配置各種計算機策略配置，如：界面功能的限制、應(yīng)用程序執(zhí)行特征限制、剛絡(luò)連接限制、安全配置限制等。

    (6)應(yīng)用系統(tǒng)基礎(chǔ)平臺：支持補丁管理、企業(yè)門戶、電子郵件、財務(wù)、人事、辦公自動化、防病毒系統(tǒng)等各種應(yīng)用系統(tǒng)。

    2．2技術(shù)概述

    活動日錄基礎(chǔ)架構(gòu)基于微軟公司的Windows 2008 R2系統(tǒng)，Microsoft Active Directory 服務(wù)是Windows平臺的核心組件。Active Directory存儲J 有關(guān)網(wǎng)絡(luò)對象的信息(包括用戶賬戶、計算機和網(wǎng)絡(luò)資源等)，并且讓管理員和用戶能夠輕松地查找和使用這些信息。Active Directory使用了一種結(jié)構(gòu)化的數(shù)據(jù)存儲方式，并以此作為基礎(chǔ)對目錄信息進行合乎邏輯的分層組織。

    物理結(jié)構(gòu)：采用單林單域多OU的形式，集團的兩臺服務(wù)器作為主域控，實現(xiàn)多點容錯和性能優(yōu)化，制定活動目錄復(fù)制策略和操作主控，其他各個電廠以站點的形式和集團主域連接，實現(xiàn)統(tǒng)一管理。

    邏輯結(jié)構(gòu)：集團本部統(tǒng)一一作為單域，按各個電廠行成OU。安裝和配置DNS服務(wù)以支持活動目錄，配置活動目錄對象的訪問控制，做委派授權(quán)，實現(xiàn)對用戶權(quán)限的控制和統(tǒng)一化的管理。

3、部署方案

    3．1網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)

    浙能集團互聯(lián)網(wǎng)絡(luò)包括城域網(wǎng)、廣域網(wǎng)及VPN網(wǎng)，采用星型結(jié)構(gòu)組網(wǎng)(各下屬企業(yè)局域網(wǎng)不互通)，城域網(wǎng)采用100M速率的裸光纖互聯(lián)，連接在杭子公司，廣域網(wǎng)采用2*2M速率的浙江電力通信SDH專線、1OM速率的中國電信MPLS-VPN線路互聯(lián)，實現(xiàn)雙鏈路負(fù)載冗余，連接非在杭下屬企業(yè)，VPN網(wǎng)采用IPSIC加密力一式，通過中國電信Internet網(wǎng)、中國網(wǎng)通Internet網(wǎng)連接籌建單位。浙能集團各單位內(nèi)部采用10/100/1000M以太網(wǎng)技術(shù)組網(wǎng)。

    3.2部署方式

    根據(jù)項目要求，硬件平臺統(tǒng)一采用HP或者IBM高性能服務(wù)器，軟件平臺統(tǒng)一采用Windows 2008 R2企業(yè)版平臺。50人以上的子公司，每個公司放置兩臺域控制器，一臺作為主域控服務(wù)器，另一臺作為備域控服務(wù)器。50人以下的子公司，每個公司放置一臺域拄制器。但考慮到容錯，建議都放2臺域控制器。主域控和備域控服務(wù)器均配置為可讀寫域控制器，其中集團本部和下屬各單位的主域控服務(wù)器又作為全局編錄服務(wù)器(GC)。

    首先將Windows 2008 R2企業(yè)版操作系統(tǒng)完全安裝，修改域控服務(wù)器的DNS，指向自己和另一臺域控。然后安裝Active Directory域服務(wù)運用提升工具Dcpromo進行服務(wù)器的提升，在提升過程中同時安裝域集成的DNS服務(wù)。重啟服務(wù)器之后，安裝組策略服務(wù)等。

    在域控中，創(chuàng)建站點、組織單位，批量導(dǎo)人需要創(chuàng)建的用戶賬戶、用戶屬性、計算機賬戶等信息，同時針對不同的人員和不同的管理性質(zhì)進行權(quán)限分配，可分為Administrators(管理員組), DomainAdmins(指定的域管理員)、OU管理員、Server Operators(域服務(wù)管理員組),GPO Creators( GPO創(chuàng)建組),Event Log Readers(本地事件讀取組)、Dornian users(普通域帳戶)等。對于集團本部及下屬各單位的所有計算機要求全部加入浙能集團域。

    活動目錄基礎(chǔ)架構(gòu)通過已建立的管理平臺，從基礎(chǔ)階段向合理化階段和動態(tài)化階段過渡，通過微軟其它產(chǎn)品的部署(如SCCM2007和SCOM 2007)使之能夠從人為的管理到自動監(jiān)測、自動管理階段。

    3.3系統(tǒng)詳細(xì)設(shè)計

    網(wǎng)絡(luò)端口設(shè)計:

    (1)操作主機角色設(shè)計:將所有操作主機角色全部放置集團的兩臺域控制器上，其中主域控制器放置架構(gòu)主機、域命名主機、RID主機和PDC仿真主機，備域控制器放置結(jié)構(gòu)主機角色。

    (2)站點設(shè)計:站點與子網(wǎng)相關(guān)，所以要求集團和各子公司的子網(wǎng)是全路由的。站點間復(fù)制時各子公司域控制器都與集團的主域控制器(也是橋頭堡)通過IP協(xié)議進行復(fù)制，提高復(fù)制效率。

    (3)林功能設(shè)計:如果所有域控制器都為Windows 2008 R2系統(tǒng)，則提升為Windows 2008林功能。

    (4)域功能設(shè)計:所有域控制器都為Windows 2008 R2，則提升為Windows 2008 R2域功能。浙能集團使用zhenergy . com . cn作為整個集團的域名。

    (5)組織單位設(shè)計:集團和子公司信息放在不同的組織單位中，部門允許重名。集團和各子公司都可以看見如上信息，但各自O(shè)U的管理員只能操作自己公司的信息。對于敏感的部門可以只允許部分人員才能看到和操作。在建立組織單位時，選擇防止意外刪除，以防止組織單位被管理員意外刪除。

    (6)組設(shè)計:一般通過組來授權(quán)，所以需要經(jīng)常維護組成員關(guān)系，可以開發(fā)腳本自動創(chuàng)建組，組名與組織單位一樣，組成員是該組織單位下所有用戶，這樣既管理了組織架構(gòu)，又管理了授權(quán)。使用中文命名，要求能夠充分反映用戶組的分組依據(jù)或者用途，易于記憶管理每一個部門/分公司建立一用戶組，以維護部門/分公司內(nèi)部的文件權(quán)限分配。

    (7)站點間復(fù)制控制設(shè)計:出于對集團局域網(wǎng)內(nèi)部安全考慮和活動目錄中的各臺DC之間的內(nèi)容復(fù)制，在一般的設(shè)計環(huán)境下是互進行復(fù)制的，而且只要是其中一臺發(fā)生改變，那么根據(jù)活動目錄中保存的拓?fù)浣Y(jié)構(gòu)，將進行同步。也就是說當(dāng)這個網(wǎng)絡(luò)拓?fù)溥^于龐大的時候，各DC之間的復(fù)制會出現(xiàn)混亂，會出現(xiàn)剛刪除某個對象，一段時間后該對象自己恢復(fù)了。所以浙能集團的站點間復(fù)制不僅僅是一個簡單的星型拓?fù)浣Y(jié)構(gòu)，在各站點間設(shè)計了下面子公司之間的相互復(fù)制。

    (8)桌面安全管理角色設(shè)計:安全小組:由集團指定人員擔(dān)任，負(fù)責(zé)安全管理的整體規(guī)劃和技術(shù)實現(xiàn)。安全管理員:由集團和子公司相關(guān)人員擔(dān)任，負(fù)責(zé)總體安全策略的具體實施。

    (9)桌面規(guī)范設(shè)計:安裝指定的正版操作系統(tǒng)和應(yīng)用軟件，必須加入域接受域安全管理，及時安裝補丁和防病毒軟件，不得刪除集團指定的防病毒軟件，硬盤或移動設(shè)備送修時需徹底刪除相關(guān)資料。

    (10)桌面管理審核設(shè)計:從新員工人職，網(wǎng)絡(luò)準(zhǔn)人，桌面機加域，包括員工在使用中問題支持，均應(yīng)通過IT支持平臺走流程，并根據(jù)常見問題進行優(yōu)化改進。安全小組每月或每季度對子公司進行安全巡檢，抽查是否符合安全規(guī)范，從而提升整個集團的安全規(guī)范管理。

    (11)組策略設(shè)計:組策略設(shè)計主要包括以下七個方面:

    第一、IE安全配置:針對域用戶的IE瀏覽器進行安全設(shè)置，提高域中用戶的安全性，主要包括URL設(shè)置、IE安全區(qū)域、IE中的ActiveX設(shè)置、IE收藏夾和鏈接。URL設(shè)置是針對不同公司，設(shè)定重要的URL，鎖定用戶IE主頁策略。IE安全區(qū)域是設(shè)置較高的安全級別，限制用戶訪問某些網(wǎng)站，限制用戶下載、視頻瀏覽等。IE中的ActiveX是只下載已簽名的ActiveX控件，防止互聯(lián)網(wǎng)環(huán)境中的病毒控件未經(jīng)過允許直接安裝到本地計算機上。

    IE收藏夾和鏈接是將公司及其相關(guān)的重要的URL鏈接以收藏夾的形式添加到各個客戶端上，方便用戶查找和使用公司資源。

    第二、用戶網(wǎng)絡(luò)配置:為了方便OU管理員進行管理，防止用戶私自刪除網(wǎng)絡(luò)配置，對用戶網(wǎng)絡(luò)配置進行限制。用戶網(wǎng)絡(luò)配置主要包括禁用TCP/IP高級配置、刪除所有用戶的遠程訪問連接、禁止刪除遠程訪問連接和禁止用戶手動重定向配置文件夾。

    第三、用戶控制面板配置:針對某些經(jīng)常維護的IT設(shè)備，進行強制性的組策略控制。防止刪除打印機、添加刪除程序、刪除開始菜單和任務(wù)欄和禁止訪問控制面板。防止刪除打印機是防止用戶意外刪除打印機。添加刪除程序是隱藏從Microsoft添加程序選項、隱藏從CDROM或軟盤安裝程序，防止誤操作安裝出現(xiàn)藍屏等。刪除開始菜單和任務(wù)欄是刪除幫助，刪除網(wǎng)絡(luò)，刪除網(wǎng)絡(luò)連接，刪除文檔，刪除音樂，刪除游戲等。禁止訪問控制面板是禁止用戶對控制面板進行訪問，防止意外操作。

    第四、計算機用戶配置:包括阻止訪問注冊表編輯工具、阻止訪問命令提示符、可移動磁盤禁止寫入或讀取權(quán)限、從休眠/掛起恢復(fù)時提示輸人密碼、統(tǒng)一使用相同的桌面壁紙、關(guān)閉自動播放和驅(qū)動程序搜索。

    第五、軟件安裝，在域控制器上統(tǒng)一下發(fā)軟件，簡化管理員操作，簡化IT管理流程。

    第六、計算機安全配置:包括密碼長度最小值、密碼最短使用期限、系統(tǒng)服務(wù)設(shè)置、匿名枚舉、禁用來賓賬戶、設(shè)置可匿名訪問的共享、定義防火墻的人站或出站規(guī)則、對可信任站點自動安裝ActiveX控件等。

    第七、系統(tǒng)控制腳本編寫:包括系統(tǒng)狀態(tài)監(jiān)控、客戶端狀態(tài)收集、用腳本自動分發(fā)打印機、自動提升域用戶到本地最高權(quán)限組、Out-look自動配置腳本等。

4、安全管理

    針對活動目錄的安全性問題，在浙能集團活動目錄基礎(chǔ)架構(gòu)的部署中，采用了以下措施進行安全管理。

    (1)全局編錄是一個信息倉庫，它是活動目錄中所有對象的子集，為了活動目錄數(shù)據(jù)的安全行，項目部署時，為每個站點建立全局編錄服務(wù)器。

    (2)對域控服務(wù)器、一般服務(wù)器和客戶端采取了限制登陸用戶的方式，通過對服務(wù)器和客戶端登陸組的控制，保證服務(wù)器和客戶端的安全。

    (3)對活動目錄目錄訪問權(quán)限進行控制，對于Administrators組中的賬戶給予完全控制，其余賬號只賦予讀取、寫人或者修改權(quán)限。

    (4)SYSVOL是域中每臺域控制器上文件系統(tǒng)中的文件夾和重分析點的集合。所以為了安全起見對SYSVOL文件夾進行重定向和修改文件夾的存儲位置。

    (5)控制用戶賬戶的并發(fā)登陸，只允許Administrators組中的用戶并發(fā)登陸，減少賬號被盜用和病毒利用賬號漏洞的幾率。

    (6)通過組策略，對一些蠕蟲病毒進行清除，確保局域網(wǎng)安全。

5、結(jié)語

    活動目錄基礎(chǔ)架構(gòu)的部署，統(tǒng)一了浙能集團內(nèi)部信息系統(tǒng)的身份管理、策略管理和安全管理，提高了浙能集團信息系統(tǒng)的管理效率，對整個局域網(wǎng)的安全性有了很大的增強作用，推動了IT管理從基礎(chǔ)階段向標(biāo)準(zhǔn)化階段、合理化階段和動態(tài)階段邁進。同時為優(yōu)化IT基礎(chǔ)架構(gòu)，進一步推進企業(yè)信息化建設(shè)打下堅實基礎(chǔ)。在今后浙能集團活動目錄基礎(chǔ)架構(gòu)的應(yīng)用中，將著力開發(fā)依托活動目錄基礎(chǔ)架構(gòu)平臺的各種應(yīng)用系統(tǒng)，注重組策略對于局域網(wǎng)病毒的研究，是應(yīng)用真正朝著動態(tài)化發(fā)展。 

核心關(guān)注：拓步ERP系統(tǒng)平臺是覆蓋了眾多的業(yè)務(wù)領(lǐng)域、行業(yè)應(yīng)用，蘊涵了豐富的ERP管理思想，集成了ERP軟件業(yè)務(wù)管理理念，功能涉及供應(yīng)鏈、成本、制造、CRM、HR等眾多業(yè)務(wù)領(lǐng)域的管理，全面涵蓋了企業(yè)關(guān)注ERP管理系統(tǒng)的核心領(lǐng)域，是眾多中小企業(yè)信息化建設(shè)首選的ERP管理軟件信賴品牌。

轉(zhuǎn)載請注明出處：拓步ERP資訊網(wǎng)http://m.guhuozai8.cn/

本文標(biāo)題：系統(tǒng)信息化活動目錄基礎(chǔ)架構(gòu)在浙江省能源集團的應(yīng)用

本文網(wǎng)址：http://m.guhuozai8.cn/html/consultation/1083933510.html