I基礎(chǔ)架構(gòu)規(guī)劃方案

1、0TUOTSJ9AXXXX目錄1項(xiàng)目建設(shè)目標(biāo)31.1總體目標(biāo)31.2具體目標(biāo)51.2.1IT基柮架構(gòu)51.2.2虛擬化平臺(tái)51.2.3數(shù)據(jù)庫(kù)平臺(tái)51.2.4信息溝通平臺(tái)61.2.5企業(yè)培訓(xùn)通道61.2.6文檔體系61.2.7企業(yè)內(nèi)外門(mén)戶(hù)62項(xiàng)目建設(shè)內(nèi)容73項(xiàng)目實(shí)施規(guī)劃83.1虛擬化平臺(tái)設(shè)計(jì)83.2活動(dòng)目錄（AD）平臺(tái)設(shè)計(jì)93.2.1活動(dòng)目錄（AD）概述93.2.2活動(dòng)目錄（AD）設(shè)計(jì)103.3文件服務(wù)器設(shè)計(jì)163.4系統(tǒng)補(bǔ)丁管理173.5郵件平臺(tái)設(shè)計(jì)183.5.1郵件需求概述183.5.2郵件平臺(tái)架構(gòu)設(shè)計(jì)204項(xiàng)目服務(wù)214.1服務(wù)概述214.2項(xiàng)目計(jì)劃224.3任務(wù)劃分234.4交付清單23

2、5建議配置245.1軟件配置245.2系統(tǒng)配置256項(xiàng)目服務(wù)費(fèi)用261項(xiàng)目建設(shè)目標(biāo)1.1總體目標(biāo)本方案采用基于微軟的企業(yè)基礎(chǔ)架構(gòu)解決方案，企業(yè)活動(dòng)目錄架構(gòu)其實(shí)就是一個(gè)企業(yè)目錄管理服務(wù)平臺(tái)。他可以將企業(yè)不同系統(tǒng)之間的資源以目錄集成的方式進(jìn)行統(tǒng)一管理，集成電子商務(wù)運(yùn)營(yíng)，包括數(shù)據(jù)、應(yīng)用程序、業(yè)務(wù)流程以及門(mén)戶(hù)等各個(gè)方面。如下圖基于微軟的基礎(chǔ)架構(gòu)平臺(tái),讓所有的系統(tǒng)在共享功能方面由一個(gè)獨(dú)立的目錄系統(tǒng)進(jìn)行統(tǒng)一管理，形成一個(gè)強(qiáng)壯靈活的現(xiàn)代企業(yè)IT架構(gòu)，能更好的滿(mǎn)足企業(yè)發(fā)展的需求。協(xié)同辦公管理運(yùn)營(yíng)項(xiàng)冃運(yùn)營(yíng)決策支持其他企業(yè)人力資源HR客戶(hù)老磊CRS1財(cái)務(wù)管理項(xiàng)目管理Project其他業(yè)務(wù)系統(tǒng)數(shù)據(jù)挖挹經(jīng)營(yíng)分祈04系

3、統(tǒng)門(mén)商哉-方旦管行mLK二-TIEnrnn?件ii文作那會(huì)世工管理系統(tǒng)業(yè)務(wù)系統(tǒng)OLAP服務(wù)斗.|應(yīng)用集成與整合(EAf)B2B通過(guò)AD,Exchange,Skype,SharePoint,SQLServer系統(tǒng)或信息工維護(hù)管理安全機(jī)制具的導(dǎo)入，將為XXXX建立一完善的、高效的、安全的信息化平臺(tái)，為XXXX的管理及長(zhǎng)期發(fā)展保駕護(hù)航，為高層的決策分析提供了精確而快速的數(shù)據(jù)報(bào)表，為員工的日常工作提供了統(tǒng)一溝通平臺(tái),提升了工作效率,減少工作失誤,降低企業(yè)整體營(yíng)運(yùn)成本。1.2具體目標(biāo)1.2.1IT基柮架構(gòu)通過(guò)ad域的創(chuàng)建，對(duì)所有網(wǎng)絡(luò)及電腦進(jìn)行統(tǒng)一規(guī)劃，建了一個(gè)安全且統(tǒng)一的IT架構(gòu)，不僅提升網(wǎng)絡(luò)了的速度，

4、而且提升了數(shù)據(jù)安全管理及網(wǎng)絡(luò)安全級(jí)別，避免了人為失誤或網(wǎng)絡(luò)病毒，導(dǎo)致企業(yè)重要數(shù)據(jù)流失或系統(tǒng)癱瘓，造成本不必要的成本損失。1.2.2虛擬化平臺(tái)構(gòu)建一套多個(gè)物理CPU的虛擬化管理平臺(tái)（請(qǐng)根據(jù)授權(quán)方式?jīng)Q定是服務(wù)器或者CPU數(shù)），前期建議采用兩臺(tái)宿主機(jī)+SAN存儲(chǔ)的方案實(shí)現(xiàn)。借助虛擬基礎(chǔ)架構(gòu)軟件的體系結(jié)構(gòu)，創(chuàng)建一個(gè)以軟件形式實(shí)現(xiàn)的統(tǒng)一硬件映像，用以運(yùn)行操作系統(tǒng)和應(yīng)用程序。公司能夠通過(guò)該軟件虛擬化計(jì)算、存儲(chǔ)和網(wǎng)絡(luò)系統(tǒng)，并對(duì)其進(jìn)行集中管理。產(chǎn)品提供的企業(yè)級(jí)虛擬機(jī)可以提高服務(wù)器的利用率、性能和系統(tǒng)運(yùn)行時(shí)間，從而降低提供企業(yè)服務(wù)的成本和復(fù)雜性。通過(guò)利用現(xiàn)有的技術(shù)，該軟件可以降低推廣新應(yīng)用程序的風(fēng)險(xiǎn)和平臺(tái)成本。

5、可以通過(guò)該軟件體系結(jié)構(gòu)提高企業(yè)效率、增強(qiáng)靈活性和加快響應(yīng)速度來(lái)降低IT成本。1.2.3數(shù)據(jù)庫(kù)平臺(tái)構(gòu)建SQLServer高可用或者OracleRAC實(shí)現(xiàn)負(fù)載均衡/并行處理平臺(tái)，可以大用戶(hù)量的并發(fā)訪問(wèn)分擔(dān)到多臺(tái)節(jié)點(diǎn)機(jī)上并行處理和單個(gè)用戶(hù)重負(fù)載的運(yùn)算分擔(dān)到多個(gè)節(jié)點(diǎn)機(jī)上做并行處理。1.2.4信息溝通平臺(tái)在AD域的基礎(chǔ)上，架構(gòu)Exchange郵件服務(wù)器與Skype溝通平臺(tái)，讓全使用統(tǒng)一的郵件平臺(tái)，對(duì)內(nèi)不僅可以對(duì)所有郵件進(jìn)行管理，同時(shí)也統(tǒng)一了企業(yè)對(duì)外形象；而通過(guò)Skype的使用，為XXXX建立了一個(gè)的內(nèi)部溝通平臺(tái)，而且可以對(duì)外溝通，不僅可以提升溝通速度，更是降低了分公司之間及與總部間的所有電話溝通成本，以

6、及對(duì)外的部分電話溝通成本。1.2.5 企業(yè)培訓(xùn)通道企業(yè)培訓(xùn)對(duì)一個(gè)公司的長(zhǎng)期有力的發(fā)展至關(guān)重要，但因?yàn)榉止净蜣k事處分布在全國(guó)或全球各地，導(dǎo)致無(wú)法做到統(tǒng)一培訓(xùn)，或企業(yè)文化不能有效傳承，而通過(guò)Skype的相關(guān)功能，建立遠(yuǎn)程培訓(xùn)體系，不僅培訓(xùn)方便，加強(qiáng)了培訓(xùn)體制，更是節(jié)約了不少的培訓(xùn)成本。1.2.6 文檔體系每個(gè)企業(yè)皆有非常重要的數(shù)據(jù)或資料需要做分類(lèi)歸檔，不僅要方便查看，而且在規(guī)定時(shí)間內(nèi)絕不允丟失，而通過(guò)Sharepoint的文檔管理功能，可以對(duì)企業(yè)所有重要文檔進(jìn)行分類(lèi)管控，配合權(quán)限管理，形成一個(gè)完善文檔管理體系，同時(shí)也可以通過(guò)關(guān)鍵字或模糊查詢(xún)等功能，對(duì)所需文檔快速調(diào)取。1.2.7企業(yè)內(nèi)外門(mén)戶(hù)企業(yè)的

7、對(duì)外門(mén)戶(hù)或網(wǎng)站，是企業(yè)形象最重要的表現(xiàn)形式之一，企業(yè)門(mén)戶(hù)的專(zhuān)業(yè)與否，直接影響到顧客對(duì)企業(yè)實(shí)力與品牌的認(rèn)可，同時(shí)零售顧客可以通過(guò)企業(yè)的商務(wù)網(wǎng)站直接進(jìn)行訂購(gòu)或得到相應(yīng)服務(wù)，而企業(yè)內(nèi)部門(mén)戶(hù)，是企業(yè)員工的重要工作平臺(tái)，同時(shí)也是企業(yè)向員工展現(xiàn)企業(yè)文化、制度、新聞等，能讓員工對(duì)企業(yè)更有認(rèn)同感與歸屬感，而通過(guò)SharePoint的建立企業(yè)門(mén)戶(hù)強(qiáng)功能，完成可以達(dá)成這一目標(biāo)。2項(xiàng)目建設(shè)內(nèi)容IT構(gòu)架猶如建樓，基礎(chǔ)是重中之重，從硬件層面構(gòu)架之后，需要進(jìn)行關(guān)鍵性維護(hù)的是活動(dòng)目錄系統(tǒng)，這個(gè)是用戶(hù)賬戶(hù)，企業(yè)安全，信息安全的基礎(chǔ)，在此之上，是用戶(hù)經(jīng)常能夠涉及到的郵件系統(tǒng)，內(nèi)部溝通系統(tǒng)，再上端的就是信息化IT所能夠面臨的，應(yīng)

8、用/業(yè)務(wù)平臺(tái)的關(guān)聯(lián)，數(shù)據(jù)，信息的一致，多種應(yīng)用之間信息的交互。所以規(guī)范的企業(yè)IT信息架構(gòu)應(yīng)如下表所示：應(yīng)用系統(tǒng)槊構(gòu)業(yè)務(wù)系統(tǒng)架構(gòu)2賬戶(hù)架構(gòu)服務(wù)器架構(gòu)硬件基?出架構(gòu)根據(jù)我們初步評(píng)估及調(diào)研，針對(duì)XXXXIT基礎(chǔ)架建設(shè)建議分為三個(gè)階段，本方案主要討論第一階段建設(shè)內(nèi)容。如下：第一階段：AD活動(dòng)目錄、文件服務(wù)器、企業(yè)郵件和服務(wù)器平臺(tái)創(chuàng)建，初步完成構(gòu)建IT基礎(chǔ)架構(gòu)構(gòu)建，實(shí)現(xiàn)企業(yè)信息化規(guī)范管理。第二階段：企業(yè)內(nèi)部日常辦公的應(yīng)用系統(tǒng)規(guī)劃和部署，構(gòu)建統(tǒng)一溝通平臺(tái)和企業(yè)內(nèi)部知識(shí)庫(kù)體系，以保障企業(yè)內(nèi)部的基礎(chǔ)架構(gòu)的完善性和高效性。第三階段：進(jìn)行企業(yè)內(nèi)部信息和業(yè)務(wù)的整合，完善企業(yè)內(nèi)部信息管理，項(xiàng)目管理體系。3項(xiàng)目實(shí)施規(guī)劃

9、3.1虛擬化平臺(tái)設(shè)計(jì)XXXX總部數(shù)據(jù)中心整體規(guī)劃2個(gè)集群節(jié)點(diǎn)+存儲(chǔ)的架構(gòu)，將所有的虛擬機(jī)VHD文件放在存儲(chǔ)中。為了滿(mǎn)足高可用的需求，可以將兩個(gè)物理宿主機(jī)配置成故障轉(zhuǎn)移群集的模式，實(shí)現(xiàn)運(yùn)行在宿主機(jī)器上的虛擬機(jī)可以自動(dòng)切換，以防止其中一臺(tái)宿主機(jī)發(fā)生故障影響業(yè)務(wù)應(yīng)用系統(tǒng)。如下圖是群集部署架構(gòu)圖：管理服務(wù)器系統(tǒng)資源池生產(chǎn)網(wǎng)絡(luò)生產(chǎn)服務(wù)器（虛擬機(jī)）通過(guò)微軟Hyper-V技術(shù)實(shí)現(xiàn)的包括管理服務(wù)器，生產(chǎn)服務(wù)器，存儲(chǔ)，管理網(wǎng)絡(luò)，生產(chǎn)網(wǎng)絡(luò)，和存儲(chǔ)網(wǎng)絡(luò)平臺(tái)。如下圖應(yīng)用程序虛擬化架構(gòu)平臺(tái)：存儲(chǔ)網(wǎng)絡(luò)存儲(chǔ)存儲(chǔ)網(wǎng)絡(luò)光纖交換機(jī)存儲(chǔ)根據(jù)上述設(shè)計(jì)架構(gòu)，可以滿(mǎn)足企業(yè)日后擴(kuò)展需求，可以任意增加服務(wù)器虛擬化群集節(jié)點(diǎn)，來(lái)滿(mǎn)足服務(wù)器應(yīng)用增

10、長(zhǎng)的需求。32活動(dòng)目錄（AD）平臺(tái)設(shè)計(jì)321活動(dòng)目錄（AD）概述活動(dòng)目錄（AD）為我們提供了一個(gè)安全的邊界，它為我們企業(yè)的用戶(hù)、設(shè)備、提供了統(tǒng)一的身份認(rèn)證，只有合法被許可的用戶(hù)和設(shè)備才能與我企業(yè)的網(wǎng)絡(luò)和資源進(jìn)行通訊、共享企業(yè)資源。«_Tl'打和機(jī)文杵共享-為不列時(shí)叢雲(yún)理焦點(diǎn)J?伽恥賊用戶(hù)羊擺號(hào)悄息護(hù)久特取平iMi#、««Intamtt應(yīng)用程序腋務(wù)黑配豐杲一注冊(cè)用于程序?qū)Ｓ玫哪吭栂⒓苑阑鸲褔?yán)務(wù)配置安全策略蠱攤專(zhuān)用網(wǎng)琳策略蝴胸©彌噩務(wù)壽Mgmt配文件網(wǎng)給恒息嚴(yán)務(wù)糊沁齢灑嘗戶(hù)砌mt記&宜杵網(wǎng)搭信息*電子郵杵舉務(wù)旌郵箱宿息通訊籌其馳目錄WNt

11、ejages(TbCommfirce配置僵務(wù)履量策略 Userregistry Security Policy活動(dòng)目錄（AD）主要提供以下功能：基礎(chǔ)網(wǎng)絡(luò)服務(wù)、服務(wù)器及客戶(hù)端計(jì)算機(jī)管理、用戶(hù)服務(wù)、資源管理、桌面配置、應(yīng)用系統(tǒng)支撐。322活動(dòng)目錄（AD）設(shè)計(jì)根據(jù)AD物理結(jié)構(gòu)主要是規(guī)劃站點(diǎn)拓?fù)?，考慮到XXXX的地理分布情況，應(yīng)該使用單域多站點(diǎn)拓?fù)鋪?lái)規(guī)劃AD物理結(jié)構(gòu)。由于單域結(jié)構(gòu)，域中DC直接要進(jìn)行數(shù)據(jù)復(fù)制，所以如集團(tuán)總體AD架構(gòu)和郵件系統(tǒng)規(guī)劃把北京、長(zhǎng)沙和上海三個(gè)地方把設(shè)置為分站點(diǎn)，這樣做的的好處：1、優(yōu)化AD的復(fù)制；DC之間要同步AD數(shù)據(jù)，假如不劃分站點(diǎn)，這個(gè)同步每時(shí)每刻都在進(jìn)行，而且數(shù)據(jù)是不壓縮

12、的。如果劃分了站點(diǎn)就可以控制站點(diǎn)到站點(diǎn)間的AD復(fù)制。2、優(yōu)化客戶(hù)端的登錄，當(dāng)劃分了站點(diǎn)以后，DNS會(huì)替客戶(hù)端找本站點(diǎn)內(nèi)的DC，這樣就加快了身份驗(yàn)證過(guò)程。經(jīng)過(guò)上面的規(guī)劃和配置后用戶(hù)的身份驗(yàn)證都會(huì)點(diǎn)本地站點(diǎn)內(nèi)的DC完成，比如說(shuō)，長(zhǎng)沙分公司的用戶(hù)會(huì)去長(zhǎng)沙站點(diǎn)內(nèi)的DC去做身份驗(yàn)證，上海分公司的用戶(hù)會(huì)去上海站點(diǎn)內(nèi)的DC去做身份驗(yàn)證。注：其實(shí)AD站點(diǎn)的劃分就是通過(guò)IP子網(wǎng)來(lái)實(shí)現(xiàn)的，所以在劃分AD站點(diǎn)之前首先要規(guī)劃好公司的網(wǎng)絡(luò)地址。OU設(shè)計(jì)OU設(shè)計(jì)以地理、組織、對(duì)象、項(xiàng)目或管理為基礎(chǔ)。我們選擇的OU設(shè)計(jì)主要基于單位組織結(jié)構(gòu)。OU的主要功能就是為了管理而劃分組織；管理員可以使用OU為組織創(chuàng)建層級(jí)

13、管理結(jié)構(gòu)。 總部綜合參考行政部門(mén)劃分和組織架構(gòu)、崗位級(jí)別劃分。 按區(qū)域劃分和人員級(jí)別和特殊部門(mén)（如財(cái)務(wù)等）劃分。方便統(tǒng)一部署組策略，原則：組策略盡量應(yīng)用在最高級(jí)別的OU單元，組策略的數(shù)量在滿(mǎn)足需求的前提下越少越好。 所有服務(wù)器另外建一個(gè)單獨(dú)的OU。具體結(jié)構(gòu)如下圖組策略設(shè)計(jì)A、全域安全性策略默認(rèn)域管理員賬戶(hù)將默認(rèn)域管理員賬戶(hù)administrator改名，分配強(qiáng)口令。在日常管理工作中不使用該賬戶(hù)。同時(shí)禁用Guest帳戶(hù)。域和企業(yè)管理員組嚴(yán)格控制DomainAdmins和EnterpriseAdmins組成員。域管理員組審慎分配域管理員權(quán)限，對(duì)于并非需要域管理員才能完成的操作，通過(guò)權(quán)

14、限委派來(lái)實(shí)現(xiàn)。日志策略在域控制器上配置日志文件足夠的尺寸，根據(jù)需要調(diào)整/關(guān)閉日志覆蓋。身份鑒別通過(guò)口令/USB等方式驗(yàn)證用戶(hù)，用戶(hù)身份具有唯一標(biāo)識(shí)符?？诹畈呗越ㄗh建立強(qiáng)壯口令策略，包括至少6位以上的口令，口令復(fù)雜性（大寫(xiě)，小寫(xiě)，字母和特殊字符至少包含其中的三類(lèi)），定期口令修改等。綁定用戶(hù)IP地址使用的靜態(tài)IP,分部門(mén)和區(qū)域劃分VLAN。關(guān)閉管理工具為了避免用戶(hù)自己使用管理工具誤操作對(duì)系統(tǒng)安全和穩(wěn)定造成的損害,可以通過(guò)組策略,關(guān)閉用戶(hù)對(duì)一些管理工具的訪問(wèn)。建議關(guān)閉： 控制面板（全部控制工具或者一部分）； 對(duì)網(wǎng)絡(luò)配置的修改（IP配置）； 管理控制臺(tái)（MMC）; 注冊(cè)表編輯器； 其他需要關(guān)閉或者限制

15、的工具。配置Windowsupdate所有計(jì)算機(jī)的自動(dòng)更新都指向企業(yè)內(nèi)部的WSUS服務(wù)器。對(duì)打印設(shè)備進(jìn)行權(quán)限控制可以針對(duì)用戶(hù)進(jìn)行打印設(shè)備的權(quán)限控制。田設(shè)置可以通過(guò)組策略對(duì)用戶(hù)的InternetExplorer進(jìn)行集中式設(shè)置，建議設(shè)置項(xiàng)為： 設(shè)置代理服務(wù)器； 修改收藏夾；調(diào)整安全設(shè)置（如禁止ActiveX控件和JavaScript腳本運(yùn)行）。通過(guò)以上設(shè)置，可以配置用戶(hù)使用代理服務(wù)器訪問(wèn)Internet，限制用戶(hù)訪問(wèn)某些網(wǎng)站，避免用戶(hù)受到網(wǎng)頁(yè)蠕蟲(chóng)的攻擊等，極大地提高安全性?？刂茟?yīng)用程序通過(guò)組策略，還可以限制特定用戶(hù)運(yùn)行指定的應(yīng)用程序，或者只能運(yùn)行制定的應(yīng)用程序。外觀管理根據(jù)企業(yè)形象的需要，可以對(duì)用

16、戶(hù)的壁紙進(jìn)行統(tǒng)一管理，自動(dòng)使用指定的壁紙。類(lèi)似的，可以對(duì)用戶(hù)的桌面外觀，風(fēng)格進(jìn)行統(tǒng)一配置。審核策略開(kāi)啟對(duì)用戶(hù)賬戶(hù)登錄，用戶(hù)賬戶(hù)管理和管理權(quán)限使用等事件的審核。禁止外部人員訪問(wèn)服務(wù)器對(duì)于可能有外部人員訪問(wèn)企業(yè)網(wǎng)絡(luò)（比如供應(yīng)商的雇員），為了提高安全性，可以通過(guò)設(shè)置安全策略，調(diào)整： 關(guān)閉GUEST賬戶(hù)； 設(shè)置“從網(wǎng)絡(luò)上訪問(wèn)此計(jì)算機(jī)”的權(quán)限； 來(lái)限制未加入域的計(jì)算機(jī)和未登錄到域的用戶(hù)，對(duì)指定服務(wù)器的訪問(wèn)，如在訪問(wèn)服務(wù)器時(shí)，需要輸入有效域用戶(hù)賬戶(hù)和口令，或者直接提示不允許訪問(wèn)。這將消除潛在威脅?？刂茖?duì)重要服務(wù)器的訪問(wèn)對(duì)某些非常重要的服務(wù)器，可以通過(guò)安全策略，對(duì)“從網(wǎng)路訪問(wèn)”、“本地登錄”、“匿名訪問(wèn)”進(jìn)

17、行限制，只允許經(jīng)過(guò)授權(quán)的合法用戶(hù)訪問(wèn)。備份和恢復(fù)策略建立定期備份ActiveDirectory數(shù)據(jù)的機(jī)制。B、應(yīng)用在嚴(yán)格管理部門(mén)的策略最小化權(quán)限為普通用戶(hù)授予Users權(quán)限，為需要完成某些管理工作的用戶(hù)賬戶(hù)委派完成工作所需的最小范圍內(nèi)的最小權(quán)限。該權(quán)限用戶(hù)即使中毒后，病毒獲得的也是受限賬戶(hù)的權(quán)限，即使它可以運(yùn)行，如果不能提升權(quán)限，就難以對(duì)系統(tǒng)造成大的破壞。限制用戶(hù)安裝、卸載程序及設(shè)備User權(quán)限無(wú)法裝載和卸載設(shè)備及軟件禁止用戶(hù)本地登錄收回本地管理員用戶(hù)密碼，組策略限制用戶(hù)交互式登錄禁止USB端口使用通過(guò)腳本限制用戶(hù)使用USB存儲(chǔ)設(shè)備，但是不影響USB鼠標(biāo)鍵盤(pán)的使用。限制網(wǎng)絡(luò)用戶(hù)在本地的權(quán)限。高

18、級(jí)的權(quán)限為高級(jí)用戶(hù)授予PowerUser權(quán)限，為需要完成某些管理工作的用戶(hù)賬戶(hù)委派完成工作所需的最小范圍內(nèi)的高級(jí)權(quán)限。該權(quán)限用戶(hù)擁有大部分管理權(quán)限，但也有限制。因此,PowerUser可以運(yùn)行經(jīng)過(guò)驗(yàn)證的應(yīng)用程序，也可以運(yùn)行舊版應(yīng)用程序；用這類(lèi)賬戶(hù)登陸系統(tǒng)時(shí)，病毒仍然受到一些限制。PowerUsers可以完成： 除了Windows2000或WindowsXPProfessional認(rèn)證的應(yīng)用程序外，還可以運(yùn)行一些舊版應(yīng)用程序。 安裝不修改操作系統(tǒng)文件并且不需要安裝系統(tǒng)服務(wù)的應(yīng)用程序。 自定義系統(tǒng)資源，包括打印機(jī)、日期/時(shí)間、電源選項(xiàng)和其他控制面板資源。 創(chuàng)建和管理本地用戶(hù)帳戶(hù)和組。 啟動(dòng)或停止默

19、認(rèn)情況下不啟動(dòng)的服務(wù)最大的權(quán)限為特殊用戶(hù)授予Administrators權(quán)限，該權(quán)限對(duì)計(jì)算機(jī)/域有不受限制的完全訪問(wèn)權(quán)。3.3文件服務(wù)器設(shè)計(jì)用戶(hù)通過(guò)登錄腳本可以進(jìn)行網(wǎng)絡(luò)驅(qū)動(dòng)器映射，使用戶(hù)無(wú)論登錄哪臺(tái)計(jì)算機(jī)均可訪問(wèn)自己的共享目錄；1、共享文件規(guī)劃設(shè)置4類(lèi)共享文件夾，如下表所示共享名稱(chēng)文件夾名稱(chēng)說(shuō)明Public公用文件夾存放企業(yè)公用文檔及發(fā)布公用文檔Department部門(mén)文件夾存放各部門(mén)文檔Users個(gè)人文件夾存放個(gè)人文檔Temp臨時(shí)文件夾存放各種臨時(shí)文檔2、文件夾權(quán)限分配管理層可以瀏覽所有的文件夾各個(gè)部門(mén)能瀏覽自己所屬部門(mén)，并可修改自己所屬文件夾，部門(mén)經(jīng)理能瀏覽并修改自己部門(mén)所有的文件夾公共文

20、件夾由行政部或IT部修改，其他所有人都能瀏覽臨時(shí)文件夾所有用戶(hù)都有讀取的權(quán)限，創(chuàng)建者有修改權(quán)限3.4系統(tǒng)補(bǔ)丁管理實(shí)施有效的安全策略對(duì)所有企業(yè)都十分關(guān)鍵。補(bǔ)丁管理是成功的安全策略的最重要組成部分之一。補(bǔ)丁管理是一個(gè)流程，為組織提供對(duì)中間軟件發(fā)布到生產(chǎn)環(huán)境中的部署和維護(hù)的控制。它有助于組織保持運(yùn)營(yíng)的效率和效力，彌補(bǔ)安全漏洞并保持生產(chǎn)環(huán)境的穩(wěn)定性。無(wú)法在其操作系統(tǒng)和應(yīng)用程序軟件內(nèi)確定和維護(hù)已知的信任級(jí)別的組織可能存在很多安全漏洞。如果這些安全漏洞被利用，則可能會(huì)導(dǎo)致收益和知識(shí)產(chǎn)權(quán)受到損害。最低限度減少這些威脅要求企業(yè)： 正確配置IT（信息技術(shù)）環(huán)境中的計(jì)算機(jī)。 使用最新的軟件。 安裝推薦的安全更新。

21、通過(guò)在內(nèi)部網(wǎng)絡(luò)中配置WSUS服務(wù)器，所有Windows的更新都能集中下載到這個(gè)服務(wù)器中，內(nèi)部網(wǎng)絡(luò)中的客戶(hù)機(jī)就可以通過(guò)WSUS服務(wù)器得到更新。配合瑞星前瞻性漏洞評(píng)估，能夠搶在病毒和蠕蟲(chóng)之前首先發(fā)現(xiàn)系統(tǒng)中的安全缺口它不僅能夠?qū)Π踩呗缘囊恢滦赃M(jìn)行掃描（包括Microsoft安全補(bǔ)丁），而且能夠及時(shí)發(fā)現(xiàn)系統(tǒng)中隱藏的設(shè)備、未受到保護(hù)的設(shè)備以及容易受到攻擊的設(shè)備。而且升級(jí)操作系統(tǒng)補(bǔ)丁的時(shí)間可以縮短到幾分鐘，效果十分明顯，且只要一臺(tái)WSUS服務(wù)器就可保證全網(wǎng)絡(luò)內(nèi)操作系統(tǒng)的自動(dòng)升級(jí)。這既節(jié)省了資源，又避免了資源浪費(fèi)，并且提高了效率。3.5郵件平臺(tái)設(shè)計(jì)3.5.1郵件需求概述新郵件系統(tǒng)需支持500用戶(hù)，個(gè)人存儲(chǔ)

22、空間1G，VIP用戶(hù)存儲(chǔ)空間10G，在每封郵件限制附件大小20M，收發(fā)單封郵件的相應(yīng)時(shí)間不超過(guò)5秒，郵件遞送時(shí)間（內(nèi)部）不超過(guò)2分鐘。當(dāng)公司網(wǎng)絡(luò)不能訪問(wèn)Internet網(wǎng)時(shí)，應(yīng)保證內(nèi)部的郵件能夠互收發(fā)。訪問(wèn)方式提供多種訪問(wèn)方式如常用客戶(hù)端Outlook、Foxmail，Web（主流瀏覽器），移動(dòng)設(shè)備PUSHMAIL；支持SMTP、POP3、IMAP4等協(xié)議。備份及恢復(fù)功能支持傳統(tǒng)流備份和卷復(fù)制備份。備份方式應(yīng)支持完全備份、副本備份、差異備份和增量備份。防垃圾郵件功能支持連接篩選、收件人和發(fā)件人篩選、發(fā)件人ID、內(nèi)容篩選、附件篩選、客戶(hù)端規(guī)則匯集到服務(wù)器端、發(fā)件人信譽(yù)等多種方式防犯垃圾郵件。防病

23、毒功能可以?xún)?nèi)置或引用第三方多引擎防病毒軟件，防病毒軟件應(yīng)能針對(duì)文件頭對(duì)郵件附件進(jìn)行過(guò)濾，不但對(duì)郵箱存儲(chǔ)進(jìn)行查殺，還應(yīng)可以對(duì)SMTP進(jìn)行病毒查殺。管理與監(jiān)視功能支持多級(jí)授權(quán)管理功能，支持郵件的跟蹤和監(jiān)視。用戶(hù)分類(lèi)功能可以針對(duì)特定用戶(hù)設(shè)定客戶(hù)端訪問(wèn)方式、郵箱存儲(chǔ)限制、郵箱傳遞限制等功能。個(gè)人信息管理功能如聯(lián)系人管理，日程管理，任務(wù)管理等日常工作中的個(gè)人信息管理功能。擴(kuò)展功能語(yǔ)音郵件,接收傳真、短信和即時(shí)通信的離線消息等統(tǒng)一消息傳遞功能核心匯聚交換防垃圾郵件設(shè)備CASVM01Ma訂BoxVM01Win2012VMDC02文件服務(wù)VMHyper-V宿主機(jī)AWindowsServerHyper-V宿主機(jī)

24、BWindowsServer郵件平臺(tái)前端CASVM02MailBoxVM02郵件歸檔VM備份VM心跳網(wǎng)絡(luò)3.5.2郵件平臺(tái)架構(gòu)設(shè)計(jì)郵件歸檔存儲(chǔ)郵件系統(tǒng)存儲(chǔ)架構(gòu)說(shuō)明：1、在保證配置達(dá)標(biāo)的情況下，服務(wù)器可采用物理機(jī)也可采用虛擬機(jī)。如上述虛擬化平臺(tái)建議采用兩臺(tái)宿主機(jī)構(gòu)建虛擬化平臺(tái)（根據(jù)需要可以擴(kuò)充節(jié)點(diǎn)數(shù)），并針對(duì)Exchange場(chǎng)景優(yōu)化相關(guān)模塊。2、客戶(hù)端訪問(wèn)服務(wù)器為郵件客戶(hù)端（OutlookAnywhere模式）和OWAQutlookWebApp）用戶(hù)提供電子郵件的訪問(wèn)。同時(shí)它還負(fù)責(zé)處理客戶(hù)端和Exchange之間的通信。它為用戶(hù)提供通過(guò)HTTP/HTTPS、POP3、IMAP4、ActiveSy

25、nc等方式訪問(wèn)郵箱的服務(wù)。Exchange客戶(hù)訪問(wèn)服務(wù)器之間通過(guò)配置DNS輪訓(xùn)或者NLB實(shí)現(xiàn)Exchange客戶(hù)訪問(wèn)的分擔(dān)負(fù)載和高可用性。3、郵箱服務(wù)器實(shí)現(xiàn)了與郵件存儲(chǔ)的交互。郵箱服務(wù)器通過(guò)對(duì)郵件存儲(chǔ)的操作，實(shí)現(xiàn)郵件用戶(hù)的郵件收發(fā)、日歷訪問(wèn)和郵箱系統(tǒng)對(duì)郵件存儲(chǔ)的日常管理維護(hù)。郵箱服務(wù)器通過(guò)Exchange自帶的高可用性特性一DAG實(shí)現(xiàn)數(shù)據(jù)實(shí)時(shí)備份，郵件存儲(chǔ)的高可用性。4、目錄服務(wù)主要實(shí)現(xiàn)郵箱用戶(hù)信息的統(tǒng)一管理和身份認(rèn)證。需要部署目錄服務(wù)器，是全公司辦公網(wǎng)系統(tǒng)管理統(tǒng)一基礎(chǔ)架構(gòu)平臺(tái)的組成部分，實(shí)現(xiàn)全公司統(tǒng)一用戶(hù)信息管理，統(tǒng)一的、強(qiáng)制化的桌面安全策略管理及執(zhí)行等。5、垃圾郵件網(wǎng)關(guān)（可利用Exchan

26、ge邊緣服務(wù)器或硬件反垃圾郵件設(shè)備）,提供Internet郵件流、反垃圾郵件、防病毒及電子郵件策略等服務(wù)。6、歸檔服務(wù)平臺(tái)，提供郵件數(shù)據(jù)的歸檔查詢(xún)和審計(jì)功能等（建議采用硬件或者專(zhuān)業(yè)軟件歸檔,。7、數(shù)據(jù)備份平臺(tái)，提供郵件系統(tǒng)平臺(tái)自動(dòng)備份和恢復(fù)功能等（可選模塊,。4項(xiàng)目服務(wù)4.1 服務(wù)概述服務(wù)范圍1. XXXXIT基礎(chǔ)架構(gòu)所包含的系統(tǒng)平臺(tái)部署和維護(hù)服務(wù)。本次項(xiàng)目涉及底層虛擬化平臺(tái)部署、AD基礎(chǔ)架構(gòu)搭建、文件服務(wù)器、補(bǔ)丁服務(wù)器、Exchange高可用平臺(tái)部署、郵件歸檔及備份和整體運(yùn)維服務(wù)。2. 除了對(duì)現(xiàn)有虛擬化服務(wù)器產(chǎn)品和平臺(tái)提供技術(shù)支持服務(wù)外，還將為XXXX提供微軟AD郵件系統(tǒng)虛擬化管理系統(tǒng)的顧問(wèn)

27、、咨詢(xún)等增值附加服務(wù),提升貴單位IT運(yùn)維管理質(zhì)量。3. 提供生產(chǎn)環(huán)境基礎(chǔ)架構(gòu)和郵件系統(tǒng)的管理員運(yùn)維管理培訓(xùn)，以及對(duì)普通用戶(hù)就某一應(yīng)用使用提供用戶(hù)操作使用培訓(xùn)。以提升貴單位對(duì)于信息化技術(shù)平臺(tái)的了解和掌握、使用，更好的提升工作效率。4. 當(dāng)前生產(chǎn)環(huán)境進(jìn)行系統(tǒng)運(yùn)行狀態(tài)健康性檢查，對(duì)于發(fā)現(xiàn)的已存在問(wèn)題雙方進(jìn)行確認(rèn)，根據(jù)問(wèn)題數(shù)量以及解決的難易程度確定調(diào)試、維護(hù)時(shí)間。服務(wù)方式服務(wù)方以服務(wù)問(wèn)題為電話和郵件主要工具，通過(guò)現(xiàn)場(chǎng)、遠(yuǎn)程、電話、郵件等方式，為客戶(hù)提供及時(shí)有效的應(yīng)用指導(dǎo)、故障排除等服務(wù)。服務(wù)標(biāo)準(zhǔn)現(xiàn)場(chǎng)服務(wù)：星期一至星期五，8:00-18:00熱線服務(wù)：星期一至星期五，8:00-18:00星期六和星期日：

28、提供緊急電話服務(wù)（特殊情況可提供現(xiàn)場(chǎng)服務(wù)）。4.2 項(xiàng)目計(jì)劃項(xiàng)目計(jì)劃于從啟動(dòng)開(kāi)始建設(shè)，預(yù)計(jì)需要50-60工作日個(gè)完成交付。時(shí)間進(jìn)度計(jì)劃大致如下：?jiǎn)?dòng)階段計(jì)劃階段實(shí)施階段交何階段4.3 任務(wù)劃分項(xiàng)目的實(shí)施方法是結(jié)合多年積累的項(xiàng)目實(shí)施經(jīng)驗(yàn)和行業(yè)客戶(hù)業(yè)務(wù)需求而制定的。下面是每個(gè)階段中建議的相關(guān)活動(dòng)和階段工作內(nèi)容說(shuō)明。（按2個(gè)自然月的項(xiàng)目周期進(jìn)行規(guī)劃，可根據(jù)用戶(hù)要求靈活調(diào)整）各階段任務(wù)細(xì)則劃分如下：階段工作概述時(shí)限啟動(dòng)階段訪談、調(diào)研、現(xiàn)狀梳理、問(wèn)題分析、制定團(tuán)隊(duì)分工計(jì)劃計(jì)劃階段詳細(xì)需求分析，系統(tǒng)架構(gòu)方案設(shè)計(jì)、實(shí)施方案設(shè)計(jì)、測(cè)試方案設(shè)計(jì)、實(shí)施及接管資源環(huán)境準(zhǔn)備等實(shí)施階段根據(jù)設(shè)計(jì)階段文檔指導(dǎo)進(jìn)行相關(guān)功能模

29、塊開(kāi)發(fā)、軟件部署、周邊系統(tǒng)聯(lián)調(diào)、平臺(tái)測(cè)試等割接上線工作交付階段系統(tǒng)試運(yùn)行跟蹤，對(duì)用戶(hù)進(jìn)行知識(shí)轉(zhuǎn)移培訓(xùn)，移交系統(tǒng)及文檔、介質(zhì)等交付物4.4 交付清單項(xiàng)目任務(wù)交付物說(shuō)明啟動(dòng)階段初步需求說(shuō)明書(shū)項(xiàng)目負(fù)責(zé)人在該階段制定的需求調(diào)研匯總。計(jì)劃階段需求規(guī)格說(shuō)明書(shū)項(xiàng)目負(fù)責(zé)人在該階段制定的項(xiàng)目詳細(xì)需求匯總。技術(shù)方案項(xiàng)目組制定的技術(shù)實(shí)現(xiàn)方案。項(xiàng)目周報(bào)、月報(bào)項(xiàng)目計(jì)劃階段日常項(xiàng)目?jī)?nèi)活動(dòng)總結(jié)、工作計(jì)劃等。實(shí)施階段安裝配置文檔項(xiàng)目實(shí)施階段各功能組件安裝部署操作文檔,指導(dǎo)實(shí)施部署規(guī)范操作。集成實(shí)施方案項(xiàng)目總體實(shí)施規(guī)劃方案，由項(xiàng)目成員共同制定完成。項(xiàng)目周報(bào)、月報(bào)項(xiàng)目實(shí)施階段日常項(xiàng)目?jī)?nèi)活動(dòng)總結(jié)、工作計(jì)劃等。交付階段運(yùn)維手冊(cè)項(xiàng)目運(yùn)維階供段甲方運(yùn)維人員參考文檔，可作為日?；A(chǔ)運(yùn)維操作規(guī)范指導(dǎo)及簡(jiǎn)單排障參考手冊(cè)。培訓(xùn)文檔培訓(xùn)階段提供用戶(hù)對(duì)Hyper-V、AD和Exchange的功能使用操作手冊(cè)，指導(dǎo)乙方IT管理員進(jìn)行日常管理操作。項(xiàng)目周報(bào)、月報(bào)項(xiàng)目交付階段日常項(xiàng)目?jī)?nèi)活動(dòng)總結(jié)、工作計(jì)劃等。5建議配置5.1軟件配置實(shí)現(xiàn)本方案中建議的高可用基礎(chǔ)結(jié)構(gòu)和郵件系統(tǒng)平臺(tái)，軟件配置詳細(xì)列表：項(xiàng)目安裝軟件配置數(shù)量作用郵箱存儲(chǔ)服務(wù)器