汽車工業(yè)集團(tuán)有限公司IT基礎(chǔ)架構(gòu)解決方案

1、四川汽車工業(yè)集團(tuán)有限公司IT基礎(chǔ)架構(gòu)解決方案一、概述1.1 項(xiàng)目背景四川汽車工業(yè)集團(tuán)有限公司經(jīng)過(guò)多年的IT建設(shè)，計(jì)算機(jī)系統(tǒng)在公司的生產(chǎn)活動(dòng)中發(fā)揮了越來(lái)越重要的作用。四川汽車工業(yè)集團(tuán)有限公司通過(guò)搭建的計(jì)算機(jī)應(yīng)用系統(tǒng)，將企業(yè)業(yè)務(wù)活動(dòng)中存在的大量、復(fù)雜的計(jì)算需求，和計(jì)算機(jī)自身所具有的高效、準(zhǔn)確、全天候運(yùn)轉(zhuǎn)特性充分的集合在一起，從而使得企業(yè)競(jìng)爭(zhēng)能力得到了最大化的提升。本解決方案將從四川汽車工業(yè)集團(tuán)有限公司的IT環(huán)境現(xiàn)狀出發(fā)，分析現(xiàn)有環(huán)境，提出四川汽車工業(yè)集團(tuán)有限公司關(guān)心的關(guān)鍵問(wèn)題及未來(lái)的挑戰(zhàn)，并根據(jù)相關(guān)問(wèn)題詳細(xì)闡述對(duì)應(yīng)解決方案，幫助四川汽車工業(yè)集團(tuán)有限公司快速解決問(wèn)題，以信息技術(shù)提升企業(yè)生產(chǎn)力。1.2

2、 現(xiàn)狀描述當(dāng)前四川汽車工業(yè)集團(tuán)有限公司內(nèi)部網(wǎng)絡(luò)環(huán)境多數(shù)仍為松散的管理狀態(tài)，IT環(huán)境中硬件設(shè)備伴隨著組織中人員數(shù)量的增加每年都在增長(zhǎng)，大力的信息化建設(shè)使硬件和應(yīng)用軟件單純從技術(shù)層面上講都達(dá)到了較高的水平，但實(shí)際環(huán)境中無(wú)論是工作用桌面計(jì)算機(jī)還是服務(wù)器都是采用工作組模型，各自獨(dú)立。IT環(huán)境中的軟硬件資源都無(wú)法實(shí)現(xiàn)充分利用。經(jīng)歷了大規(guī)模網(wǎng)絡(luò)和硬件投資建設(shè)之后，四川汽車工業(yè)集團(tuán)有限公司的信息技術(shù)部門(mén)開(kāi)始轉(zhuǎn)向關(guān)心信息化建設(shè)投資的“效益”，究竟過(guò)去投入建成的這些設(shè)備，能夠形成哪些應(yīng)用，帶來(lái)什么效益？這已經(jīng)成為信息技術(shù)部門(mén)與企業(yè)管理人員最為關(guān)心的重點(diǎn)問(wèn)題。從信息技術(shù)部門(mén)人員來(lái)說(shuō)，如何整合現(xiàn)有IT環(huán)境中的資源，

3、將IT環(huán)境的管理由松散方式變?yōu)榧泄芾淼姆绞剑瑴p輕日常管理維護(hù)負(fù)擔(dān)，提升IT生產(chǎn)力。從最終用戶來(lái)說(shuō)，如何能夠?qū)崿F(xiàn)單一的身份驗(yàn)證，快速的訪問(wèn)企業(yè)內(nèi)部的各種資源，較少的宕機(jī)時(shí)間也是最大的愿望。另外，用戶通過(guò)Office等辦公軟件，完成自己日常辦公作業(yè)，通過(guò)專業(yè)的設(shè)計(jì)軟件來(lái)完成產(chǎn)品的設(shè)計(jì)，用戶的這些操作都會(huì)以文件的形式保存下來(lái)，隨著企業(yè)的發(fā)展，用戶不僅自己需要使用和保存好這些文件，團(tuán)隊(duì)之間的協(xié)作需要這些文件的共享、交互。與廠商客戶交流等也需要這些文件的共享、交互。文件可能是一個(gè)Word格式的.doc文件或者PowerPoint格式的PPT文件，總之它是企業(yè)最重要的信息資源。用戶對(duì)IT建設(shè)的不斷投入，

4、使企業(yè)的IT環(huán)境得到了飛躍性的提高。企業(yè)的網(wǎng)絡(luò)環(huán)境越來(lái)越安全、高效、穩(wěn)定；各種應(yīng)用系統(tǒng)通過(guò)不斷的規(guī)劃、建設(shè)、完善、豐富，更加貼近業(yè)務(wù)活動(dòng)的需求。文件作為企業(yè)最重要的信息資源，越來(lái)越多，應(yīng)用也越來(lái)越頻繁。用戶經(jīng)常要把自己的文件共享給團(tuán)隊(duì)的人員或企業(yè)外部的合作伙伴，如何安全、高效管理好這些寶貴的信息資源成為企業(yè)IT部門(mén)的重點(diǎn)。同時(shí)，由于網(wǎng)絡(luò)中安全事件的不斷發(fā)生,企業(yè)內(nèi)部的文件數(shù)據(jù)安全性已經(jīng)成為網(wǎng)絡(luò)安全領(lǐng)域比較受關(guān)注的課題之一。網(wǎng)絡(luò)中安全的威脅通常來(lái)自于Internet和局域網(wǎng)絡(luò)內(nèi)部，而來(lái)自企業(yè)內(nèi)部的網(wǎng)絡(luò)攻擊往往是最致命的。遭受攻擊的結(jié)果通常會(huì)導(dǎo)致企業(yè)內(nèi)部敏感數(shù)據(jù)的大量泄漏，從而會(huì)對(duì)企業(yè)造成巨大的經(jīng)

5、濟(jì)損失。1.3 問(wèn)題分析由于歷史和技術(shù)發(fā)展方面的原因，現(xiàn)有四川汽車工業(yè)集團(tuán)有限公司企業(yè)內(nèi)部的IT環(huán)境是逐步建立起來(lái)的，而且在早期建立時(shí)由于沒(méi)有整體架構(gòu)的科學(xué)指導(dǎo)，導(dǎo)致目前的松散型IT環(huán)境越來(lái)越“臃腫”，客戶端、服務(wù)器各自獨(dú)立，形成一個(gè)個(gè)信息“孤島”，無(wú)法統(tǒng)一管理。在松散型管理的系統(tǒng)網(wǎng)絡(luò)環(huán)境中，一旦某個(gè)節(jié)點(diǎn)出現(xiàn)問(wèn)題需要定位出現(xiàn)問(wèn)題的位置，并需要繁瑣費(fèi)時(shí)的恢復(fù)過(guò)程來(lái)實(shí)現(xiàn)修復(fù)。生產(chǎn)系統(tǒng)應(yīng)用軟件的大規(guī)模部署需要相關(guān)人員在各個(gè)計(jì)算機(jī)上逐一手工安裝，極大耗費(fèi)人力與時(shí)間。企業(yè)內(nèi)部的各種資源存在于員工的客戶端桌面計(jì)算機(jī)，服務(wù)器，以及其他各種設(shè)備之中，用戶需要獲取相關(guān)資源需要首先確定資源在哪一臺(tái)計(jì)算機(jī)中，并且要

6、針對(duì)不同資源提供不同的登錄憑據(jù)（如用戶名/密碼等）來(lái)訪問(wèn)。另外存在數(shù)據(jù)資源重復(fù)現(xiàn)象，造成硬件資源的不合理占用。信息技術(shù)部門(mén)制定的IT管理規(guī)范無(wú)法完全被最終用戶執(zhí)行，IT管理規(guī)范的制訂是為了防止信息系統(tǒng)出現(xiàn)如安全問(wèn)題等不穩(wěn)定狀況，但松散型管理模式的IT環(huán)境中由于信息技術(shù)人員無(wú)法監(jiān)控與統(tǒng)一管理企業(yè)內(nèi)部的桌面計(jì)算機(jī)與服務(wù)器等，該規(guī)范變?yōu)橐患埧瘴?無(wú)法被貫徹實(shí)施?，F(xiàn)階段，部分企業(yè)對(duì)IT環(huán)境的發(fā)展仍然缺乏整體和長(zhǎng)遠(yuǎn)考慮，還是按照老思路，簡(jiǎn)單考慮硬件及應(yīng)用軟件的采購(gòu)與建設(shè)，照此建設(shè)思路走下去，將會(huì)使目前的IT環(huán)境更加“臃腫”，更難于管理，最終導(dǎo)致生產(chǎn)力的降低。同時(shí)，目前四川汽車工業(yè)集團(tuán)有限公司在文件管理方

7、面主要面臨以下挑戰(zhàn)：1、 大量的文件存放在用戶客戶端計(jì)算機(jī)中。用戶在編輯完文件之后，文件被保存在客戶端計(jì)算機(jī)中。這樣大量的企業(yè)信息資源被存放在用戶客戶端計(jì)算機(jī)中，首先不利于文件的共享，另外如果客戶端遭遇病毒、電腦丟失、硬件損壞等情況，由于沒(méi)有副本備份會(huì)導(dǎo)致企業(yè)信息資源丟失，帶來(lái)不可估量的后果。第三方數(shù)據(jù)統(tǒng)計(jì)，便攜式電腦成為企業(yè)機(jī)要信息丟失的主要?dú)⑹?，如果便攜式計(jì)算機(jī)存有大量的客戶資料，企業(yè)專利信息等，會(huì)給企業(yè)帶來(lái)巨大的損失。更有數(shù)據(jù)表明由于機(jī)密資料丟失而導(dǎo)致企業(yè)破產(chǎn)率在70%以上。2、 用戶自行備份文件。在目前的企業(yè)環(huán)境中，部分用戶對(duì)比較重要的文件使用移動(dòng)存儲(chǔ)介質(zhì)或者光盤(pán)等存儲(chǔ)設(shè)備備份，但是由

8、于用戶對(duì)計(jì)算機(jī)管理能力的不同，如何更好的備份文件顯然超出了用戶的操作技能范圍，而且用戶自行備份文件行為不受管理制度控制，用戶是否備份，用戶備份文件的周期等都不在管理員的可控范圍內(nèi)。3、 用戶文件共享不便。在目前的企業(yè)環(huán)境中，用戶之間需要共享文件通常在自己的客戶端電腦上開(kāi)放共享文件夾供其它用戶訪問(wèn)，或者使用移動(dòng)存儲(chǔ)設(shè)備復(fù)制共享文件。這種文件的交換方式顯然有很多弊端，用戶的共享文件可能會(huì)被沒(méi)有權(quán)限的用戶查看到，另外在客戶端上啟用共享文件或者移動(dòng)存儲(chǔ)設(shè)備交換文件都容易受病毒的侵害。另外用戶在訪問(wèn)文件時(shí)還要記住多個(gè)共享路徑，不方便使用。4、 文件版本不一致由于文件存放在多個(gè)客戶端電腦上，導(dǎo)致某些文件在

9、企業(yè)環(huán)境出現(xiàn)了不同的發(fā)行版本，有些已經(jīng)廢止的文檔格式還在使用，由于這些文檔的版本不一致，已經(jīng)給企業(yè)員工在文件協(xié)作方面帶來(lái)困擾。5、 文檔安全性由于四川汽車工業(yè)集團(tuán)有限公司正處于發(fā)展階段，企業(yè)內(nèi)部研發(fā)部更是企業(yè)未來(lái)發(fā)展命脈，如何安全，穩(wěn)定的保護(hù)公司研發(fā)資料成果，防止泄密，已成為企業(yè)日益關(guān)注的重點(diǎn)難題。任何規(guī)模的組織都需要保護(hù)重要的數(shù)字信息，以避免由于疏忽引起誤操作以及被惡意利用。此外，信息竊取行為的不斷增多以及對(duì)保護(hù)數(shù)據(jù)的立法呼聲的高漲，使得如何更好地保護(hù)數(shù)字信息這一需求變得更為強(qiáng)烈。現(xiàn)在，使用計(jì)算機(jī)來(lái)創(chuàng)建和處理以上類型的敏感信息的情況越來(lái)越多，通過(guò)專用網(wǎng)絡(luò)和公共網(wǎng)絡(luò)（包括 Internet）擴(kuò)

10、大連接也日益普及，而計(jì)算設(shè)備的功能正愈來(lái)愈強(qiáng)大，這一切都使得保護(hù)組織數(shù)據(jù)成為必需的安全事項(xiàng)。再者，四川汽車工業(yè)集團(tuán)有限公司由于IT原有歷史遺留問(wèn)題，導(dǎo)致企業(yè)內(nèi)部網(wǎng)絡(luò)安全危險(xiǎn)日益嚴(yán)重，當(dāng)今企業(yè)面臨的最大挑戰(zhàn)之一就是客戶端設(shè)備越來(lái)越多地暴露給諸如病毒和蠕蟲(chóng)等惡意軟件。這些程序可以進(jìn)入未受保護(hù)或配置不當(dāng)?shù)闹鳈C(jī)系統(tǒng)，并且可以使用該系統(tǒng)作為暫存點(diǎn)以傳播到企業(yè)網(wǎng)絡(luò)上的其他設(shè)備。針對(duì)現(xiàn)有四川汽車工業(yè)集團(tuán)有限公司初步研究發(fā)現(xiàn)，企業(yè)內(nèi)部并未部署有效的實(shí)時(shí)監(jiān)控、互聯(lián)網(wǎng)訪問(wèn)策略管理、上網(wǎng)行為管理的安全平臺(tái)，隨著內(nèi)部用戶網(wǎng)絡(luò)應(yīng)用的進(jìn)一步深入，原防火墻的處理能力力不從心。二、總體功能需求結(jié)合四川汽車工業(yè)集團(tuán)有限公司的企

11、業(yè)應(yīng)用實(shí)際情況，隨著以上闡述的問(wèn)題在企業(yè)內(nèi)部IT環(huán)境中越來(lái)越突出，四川汽車工業(yè)集團(tuán)有限公司存在以下需求：2.1 集中的組織與管理網(wǎng)絡(luò)內(nèi)的服務(wù)器及客戶端通過(guò)對(duì)網(wǎng)絡(luò)內(nèi)的服務(wù)器與客戶端計(jì)算機(jī)進(jìn)行集中式的管理，有助于消除早期“松散型”管理帶來(lái)的安全漏洞及其他影響IT系統(tǒng)穩(wěn)健運(yùn)行問(wèn)題，能夠保證企業(yè)制訂的IT管理規(guī)范可以通過(guò)計(jì)算機(jī)的邏輯方式派發(fā)給各個(gè)被管理的節(jié)點(diǎn)，并且通過(guò)集中管理的模式可以有效降低客戶端的維護(hù)工作量。2.2 統(tǒng)一的數(shù)據(jù)組織與資源管理實(shí)現(xiàn)統(tǒng)一的數(shù)據(jù)組織，如共享文件夾的發(fā)布，共享打印機(jī)的發(fā)布等等，并且能夠提供較為簡(jiǎn)單的信息檢索方式，快速查詢并定為所需的各種資源，實(shí)現(xiàn)資源的高效利用。另外統(tǒng)一的數(shù)

12、據(jù)組織與資源管理可以有效減少數(shù)據(jù)冗余與資源浪費(fèi)，減輕IT環(huán)境的維護(hù)難度，提升企業(yè)生產(chǎn)力。2.3 單一登錄的網(wǎng)絡(luò)環(huán)境企業(yè)內(nèi)的普通員工計(jì)算機(jī)應(yīng)用能力有限，如何使員工一次登錄計(jì)算機(jī)后就可以訪問(wèn)其有權(quán)限訪問(wèn)的各種資源是提升生產(chǎn)效率，對(duì)于普通員工來(lái)說(shuō)更能感受到應(yīng)用信息技術(shù)能夠帶來(lái)更加快捷的工作效率，有助于提升信息系統(tǒng)的使用率。2.4 集中化的軟件部署與運(yùn)行限制企業(yè)希望在大規(guī)模部署某個(gè)應(yīng)用軟件時(shí)可以避免手工逐一安裝的低效率模式，而采用服務(wù)器/客戶端的網(wǎng)絡(luò)分發(fā)模式，并能對(duì)軟件的版本更新做到一定控制，并且可以制定哪些軟件可以被安裝在哪些用戶的計(jì)算機(jī)上。通過(guò)對(duì)軟件的運(yùn)行限制，限制客戶端計(jì)算機(jī)上所運(yùn)行的應(yīng)用軟件，

13、使工作用計(jì)算機(jī)僅可以運(yùn)行特定應(yīng)用程序，與工作無(wú)關(guān)的應(yīng)用程序?qū)?huì)被禁止運(yùn)行，提升系統(tǒng)安全性與最大化企業(yè)IT系統(tǒng)效能。2.5 功能強(qiáng)大并易于擴(kuò)展的IT基礎(chǔ)架構(gòu)企業(yè)希望現(xiàn)有的IT基礎(chǔ)架構(gòu)能夠提供較強(qiáng)的功能，如安全的身份驗(yàn)證，資源整合，軟硬件集中監(jiān)控、管理等，并且希望該基礎(chǔ)架構(gòu)支持較多的上層應(yīng)用，具有較強(qiáng)的可擴(kuò)展性，在未來(lái)的幾年中可以在現(xiàn)有底層IT架構(gòu)上實(shí)現(xiàn)更多的價(jià)值。實(shí)現(xiàn)IT投資的保值。2.6 文件的集中管理將企業(yè)中的文件分類，統(tǒng)一存放到一臺(tái)或多臺(tái)文件服務(wù)器上。用戶客戶端不再允許存放企業(yè)重要文件，并且所有文件共享操作都要在服務(wù)器上完成，禁止用戶自行共享文件。2.7 文件服務(wù)器良好的管理特性企業(yè)計(jì)劃對(duì)

14、文件服務(wù)器上的資源的有效利用進(jìn)行管理，比如企業(yè)會(huì)根據(jù)用戶工作性質(zhì)的不同，分配容量不等的存儲(chǔ)空間。另外為了保障企業(yè)投資，文件服務(wù)器解決方案必須支持對(duì)文件類型的存儲(chǔ)限制，不符合企業(yè)規(guī)定的文件不允許存放在文件服務(wù)器上。2.8 文件服務(wù)器的安全性企業(yè)文件服務(wù)器上的資源可以劃分用戶的操作權(quán)限，根據(jù)用戶權(quán)限的不同展現(xiàn)不同的視圖。另外需要確保文件在傳輸?shù)倪^(guò)程中是安全的。2.9 文件服務(wù)器備份和還原特性作為企業(yè)中最重要的信息資源，文件服務(wù)器解決方案必須具備良好、快速的備份恢復(fù)功能，當(dāng)出現(xiàn)文件丟失、損壞或者物理設(shè)備損毀時(shí)能夠快速恢復(fù)服務(wù)器。2.10 用戶體驗(yàn)文件服務(wù)器按照預(yù)期方案部署完畢后 ，用戶可以非常便捷的

15、訪問(wèn)到自己的文件以及團(tuán)隊(duì)共享的文件，盡量減少用戶培訓(xùn)的成本，盡量給用戶以熟悉的界面。另外如果用戶在多個(gè)辦公地點(diǎn)切換，也都可以方便的訪問(wèn)到自己的文件和團(tuán)隊(duì)共享文件。用戶在無(wú)法連接到企業(yè)網(wǎng)絡(luò)時(shí)允許用戶使用脫機(jī)形式訪問(wèn)文件服務(wù)器上的文件。2.11 提供報(bào)表、修改追蹤功能文件服務(wù)器解決方案可以針對(duì)文件存儲(chǔ)區(qū)域提供數(shù)據(jù)報(bào)表，可以讓管理員了解文件存儲(chǔ)區(qū)的空間利用率、存儲(chǔ)空間占用排行、存儲(chǔ)空間占用文件類型等數(shù)據(jù)統(tǒng)計(jì)。另外在文件服務(wù)器上可以追蹤文件的修改記錄，便于管理員對(duì)用戶操作行為進(jìn)行有效監(jiān)控。2.12 有效的文檔加密系統(tǒng)企業(yè)必須對(duì)數(shù)字內(nèi)容進(jìn)行更好的保護(hù)。沒(méi)有任何信息可以避免未經(jīng)授權(quán)的使用，也沒(méi)有哪一種方法

16、能夠確保數(shù)據(jù)萬(wàn)無(wú)一失，最佳的防御戰(zhàn)略是實(shí)施信息保護(hù)綜合解決方案。更好地保護(hù)信息的解決方案作為組織安全戰(zhàn)略的基本組成部分，不應(yīng)僅僅是訪問(wèn)控制，而是能提供控制使用和分發(fā)內(nèi)容的方法。能夠更好地保護(hù)信息的解決方案應(yīng)當(dāng)有助于：ü 保護(hù)公司 Intranet 中的組織記錄與文檔，不允許未授權(quán)用戶訪問(wèn)這些記錄與文檔。ü 確保內(nèi)容安全并防止篡改。ü 如果需要，根據(jù)時(shí)間要求終止內(nèi)容使用，即使是通過(guò) Extranet 發(fā)送給其他組織的內(nèi)容。ü 要求提供審計(jì)線索，以便跟蹤曾訪問(wèn)和使用過(guò)該內(nèi)容的用戶。2.13 企業(yè)網(wǎng)絡(luò)訪問(wèn)保護(hù)當(dāng)客戶端計(jì)算機(jī)嘗試連接網(wǎng)絡(luò)或在網(wǎng)絡(luò)上通信時(shí)，通過(guò)監(jiān)視

17、和評(píng)估客戶端計(jì)算機(jī)的健康狀況來(lái)強(qiáng)制實(shí)施健康要求。如果確定客戶端計(jì)算機(jī)不符合健康要求，則可以將其置于包含資源的受限網(wǎng)絡(luò)上，以幫助更新客戶端系統(tǒng)使其符合健康策略。例如，可能要求計(jì)算機(jī)安裝具有最新簽名的防病毒軟件，安裝當(dāng)前操作系統(tǒng)的更新并且啟用基于主機(jī)的防火墻。通過(guò)強(qiáng)制符合健康要求，可以幫助網(wǎng)絡(luò)管理員降低因客戶端計(jì)算機(jī)配置不當(dāng)所導(dǎo)致的一些風(fēng)險(xiǎn)，這些不當(dāng)配置可使計(jì)算機(jī)暴露給病毒和其他惡意軟件。三、解決方案建議根據(jù)上述四川汽車工業(yè)集團(tuán)有限公司對(duì)于IT建設(shè)需求分析，我們?cè)敿?xì)的為四川汽車工業(yè)集團(tuán)有限公司提供活動(dòng)目錄及文件服務(wù)器解決方案，幫助四川汽車工業(yè)集團(tuán)有限公司消除現(xiàn)有IT問(wèn)題，提高四川汽車工業(yè)集團(tuán)有限公

18、司企業(yè)成長(zhǎng)效率。四川汽車工業(yè)集團(tuán)有限公司活動(dòng)目錄解決方案建議3.1.1 概念描述活動(dòng)目錄是 Windows Server網(wǎng)絡(luò)體系結(jié)構(gòu)中一個(gè)基礎(chǔ)且不可分割的部分。它提供了一套為分布式網(wǎng)絡(luò)環(huán)境設(shè)計(jì)的目錄服務(wù)，使得組織機(jī)構(gòu)可以有效地對(duì)有關(guān)網(wǎng)絡(luò)資源和用戶的信息進(jìn)行共享和管理。另外，目錄服務(wù)在網(wǎng)絡(luò)安全方面也扮演著中心授權(quán)機(jī)構(gòu)的角色，從而使操作系統(tǒng)可以輕松地驗(yàn)證用戶身份并控制其對(duì)網(wǎng)絡(luò)資源的訪問(wèn)?；顒?dòng)目錄提供了對(duì)基于Windows的用戶賬號(hào)、客戶、服務(wù)器和應(yīng)用程序進(jìn)行管理的唯一點(diǎn)。同時(shí)，它也幫助組織機(jī)構(gòu)通過(guò)使用基于Windows的應(yīng)用程序和與Windows相兼容的設(shè)備對(duì)非Windows系統(tǒng)進(jìn)行集成，從而實(shí)現(xiàn)

19、鞏固目錄服務(wù)并簡(jiǎn)化對(duì)整個(gè)網(wǎng)絡(luò)操作系統(tǒng)的管理。公司也可以使用活動(dòng)目錄服務(wù)安全地將網(wǎng)絡(luò)系統(tǒng)擴(kuò)展到Internet上?；顒?dòng)目錄因此使現(xiàn)有網(wǎng)絡(luò)投資升值，同時(shí)，降低為使Windows網(wǎng)絡(luò)操作系統(tǒng)更易于管理、更安全、更易于交互所需的全部費(fèi)用。今天，對(duì)于在商業(yè)運(yùn)作中保持競(jìng)爭(zhēng)力而言，網(wǎng)絡(luò)化計(jì)算變得比以往任何時(shí)候都更為重要。為此，就要求現(xiàn)代化的操作系統(tǒng)具有管理存在于構(gòu)成網(wǎng)絡(luò)環(huán)境所需分布式資源中的一致性和關(guān)聯(lián)性的機(jī)制。“基于活動(dòng)目錄的網(wǎng)絡(luò)基礎(chǔ)架構(gòu)”建設(shè)方案中，不僅要建設(shè)一系列豐富的，互聯(lián)的底層基礎(chǔ)架構(gòu)，同時(shí)還將構(gòu)建集中統(tǒng)一的軟件基礎(chǔ)設(shè)施、完整互通的基礎(chǔ)數(shù)據(jù)庫(kù)，無(wú)縫整合現(xiàn)有信息應(yīng)用系統(tǒng)，并建立“企業(yè)信息技術(shù)基礎(chǔ)架構(gòu)

20、活動(dòng)目錄”與外部信息系統(tǒng)的互聯(lián)互通機(jī)制。活動(dòng)目錄可以實(shí)現(xiàn)用戶管理，提供對(duì)用戶、應(yīng)用程序和設(shè)備的單一、一致性的管理點(diǎn)；加強(qiáng)終端安全性。并且向用戶提供單一的網(wǎng)絡(luò)資源登錄，為管理員提供強(qiáng)大、一致性的工具以使他們能夠管理為內(nèi)部計(jì)算機(jī)用戶、遠(yuǎn)程撥號(hào)用戶以及外部客戶提供的安全服務(wù)?；顒?dòng)域管理是實(shí)施服務(wù)器管理、終端管理的基礎(chǔ)，也為財(cái)務(wù)、人事、電子郵件、企業(yè)信息門(mén)戶、辦公自動(dòng)化、防病毒系統(tǒng)等各種應(yīng)用系統(tǒng)提供支持，是安全體系建設(shè)的基礎(chǔ)。活動(dòng)目錄(Active Directory)主要提供以下功能：l 基礎(chǔ)網(wǎng)絡(luò)服務(wù)：包括DNS、WINS、DHCP、證書(shū)服務(wù)等。l 服務(wù)器及客戶端計(jì)算機(jī)管理：管理服務(wù)器及客戶端計(jì)算機(jī)

21、帳戶，所有服務(wù)器及客戶端計(jì)算機(jī)加入域管理并實(shí)施組策略。l 用戶服務(wù)：管理用戶域帳戶、用戶信息、企業(yè)通訊錄（與電子郵件系統(tǒng)集成）、用戶組管理、用戶身份認(rèn)證、用戶授權(quán)管理等，按省實(shí)施組管理策略。l 資源管理：管理打印機(jī)、文件共享服務(wù)等網(wǎng)絡(luò)資源。l 桌面配置：系統(tǒng)管理員可以集中的配置各種桌面配置策略，如：界面功能的限制、應(yīng)用程序執(zhí)行特征限制、網(wǎng)絡(luò)連接限制、安全配置限制等。l 應(yīng)用系統(tǒng)支撐：支持財(cái)務(wù)、人事、電子郵件、企業(yè)信息門(mén)戶、辦公自動(dòng)化、補(bǔ)丁管理、防病毒系統(tǒng)等各種應(yīng)用系統(tǒng)。3.1.2 活動(dòng)目錄功能及優(yōu)勢(shì)1 集中管理用戶/密碼，實(shí)現(xiàn)統(tǒng)一身份認(rèn)證活動(dòng)目錄是集成式、分布式的目錄服務(wù)，可以將分布的資源集中

22、管理，提高資源的利用率以及節(jié)省工作時(shí)間，提高工作效率。活動(dòng)目錄集中的管理所有客戶端的用戶/密碼，增強(qiáng)網(wǎng)絡(luò)安全性的同時(shí)實(shí)現(xiàn)單點(diǎn)登錄。企業(yè)管理員只需要為用戶添加一個(gè)帳號(hào)，通過(guò)一次登錄就可以實(shí)現(xiàn)諸如：訪問(wèn)網(wǎng)絡(luò)資源、Exchange郵箱應(yīng)用、lync即時(shí)協(xié)作應(yīng)用、Sharepoint門(mén)戶協(xié)作平臺(tái)，數(shù)據(jù)庫(kù)訪問(wèn)、客戶關(guān)系管理以及其它應(yīng)用程序應(yīng)用。2 提高信息的安全性保障應(yīng)用活動(dòng)目錄后，信息的安全性完全域活動(dòng)目錄集成，用戶授權(quán)管理和目錄訪問(wèn)控制已經(jīng)整合在活動(dòng)目錄中?；顒?dòng)目錄可以集中控制用戶授權(quán)，限制對(duì)特定域資源的訪問(wèn)權(quán)限。通過(guò)向網(wǎng)絡(luò)資源提供單一的集成、高性能且對(duì)終端用戶透明的安全服務(wù)。通過(guò)根據(jù)終端用戶角色鎖

23、定桌面系統(tǒng)配置來(lái)防止對(duì)特定客戶主機(jī)操作進(jìn)行訪問(wèn)，例如軟件安裝或注冊(cè)表編輯。通過(guò)提供對(duì)安全的Internet標(biāo)準(zhǔn)協(xié)議和身份驗(yàn)證機(jī)制的內(nèi)建支持，如Kerberos, 公開(kāi)密鑰基礎(chǔ)設(shè)施（PKI）和安全套接字協(xié)議層（SSL）之上的輕便目錄訪問(wèn)協(xié)議（LDAP）。通過(guò)對(duì)目錄對(duì)象和構(gòu)成他們的單獨(dú)數(shù)據(jù)元素設(shè)置訪問(wèn)控制特權(quán)。Windows Server 2008R2活動(dòng)目錄當(dāng)中一共有4600多條策略，通過(guò)策略我們可以對(duì)系統(tǒng)的各個(gè)組件進(jìn)行精確控制。我們將在前期的IT環(huán)境細(xì)節(jié)調(diào)研確認(rèn)階段結(jié)束后，針對(duì)四川汽車工業(yè)集團(tuán)有限公司不同保密級(jí)別的部門(mén)規(guī)劃并配置相應(yīng)級(jí)別的組策略。3 基于策略的管理組策略設(shè)置可以決定指定的對(duì)象集

24、合的資源訪問(wèn)權(quán)限，什么樣的資源可以被用戶使用以及怎樣使用。比如，限制用戶在客戶端可以使用的應(yīng)用程序是哪些，不能使用的應(yīng)用程序是哪些等。4 信息復(fù)制能力信息復(fù)制能力為目錄提供了信息可用性、容錯(cuò)、負(fù)載平衡和性能優(yōu)勢(shì)，活動(dòng)目錄使用多主機(jī)復(fù)制，使得域中所有域控制器上的信息達(dá)到同步。活動(dòng)目錄強(qiáng)大的信息復(fù)制能力使得網(wǎng)絡(luò)可用性、容錯(cuò)性大大提升。5 與其它目錄服務(wù)的互操作性由于活動(dòng)目錄是基于標(biāo)準(zhǔn)的目錄訪問(wèn)協(xié)議的，所以許多應(yīng)用程序界面（API）都允許開(kāi)發(fā)者進(jìn)入這些協(xié)議，例如活動(dòng)目錄服務(wù)界面（ADSI）、輕型目錄訪問(wèn)協(xié)議（LDAP）等，便于后期的開(kāi)發(fā)應(yīng)用。活動(dòng)目錄可以應(yīng)對(duì)復(fù)雜的網(wǎng)絡(luò)環(huán)境，并且可以與基于標(biāo)準(zhǔn)開(kāi)發(fā)的業(yè)

25、務(wù)系統(tǒng)做集成應(yīng)用。6 靈活、便捷的查詢功能任何用戶可以使用“開(kāi)始”菜單、“網(wǎng)上鄰居”、“活動(dòng)目錄用戶和計(jì)算機(jī)”上的“搜索”命令，通過(guò)名字、姓氏、電子郵件名、辦公室位置等屬性來(lái)查找網(wǎng)絡(luò)上的對(duì)象。諸如：應(yīng)用程序、文件、打印機(jī)和人員等。7 簡(jiǎn)化管理提供對(duì)Windows用戶賬號(hào)、客戶、服務(wù)器和應(yīng)用程序以及現(xiàn)存目錄同步能力進(jìn)行單一點(diǎn)管理。降低桌面系統(tǒng)的行程針對(duì)用戶在公司中所擔(dān)當(dāng)?shù)慕巧詣?dòng)向其分發(fā)軟件，以減少或消除系統(tǒng)管理員為軟件安裝和配置而安排的多次行程。更好的實(shí)現(xiàn)IT資源的最大化安全地將管理功能分派到組織機(jī)構(gòu)的所有層次上。降低總體擁有成本（TCO）通過(guò)使網(wǎng)絡(luò)資源容易被定位、配置和使用來(lái)簡(jiǎn)化對(duì)文件和打印

26、服務(wù)的管理和使用。8 安全、標(biāo)準(zhǔn)化管理客戶端活動(dòng)目錄的一大功能就是更加安全、標(biāo)準(zhǔn)化的管理客戶端，活動(dòng)目錄通過(guò)組策略可以嚴(yán)格控制客戶端應(yīng)用程序的安裝和使用，明確哪些程序是可以安裝、使用的，哪些是被禁止的。另外，管理員還可以通過(guò)組策略的設(shè)置，統(tǒng)一密碼策略、IE設(shè)置、桌面設(shè)置等，起到標(biāo)準(zhǔn)化管理的效果。9 集中管理網(wǎng)絡(luò)資源活動(dòng)目錄所提供的目錄服務(wù)可以統(tǒng)一、集中的管理網(wǎng)絡(luò)上的所有資源。相當(dāng)于把網(wǎng)絡(luò)上所有資源放在一張目錄表中，用戶通過(guò)目錄表的檢索可以很輕松的找到所需資源。10 集中管理帳戶密碼用戶的帳戶、密碼將被集中存放在域控制器的活動(dòng)目錄數(shù)據(jù)庫(kù)中。這樣做的好處就在于帳戶、密碼這些敏感信息得到更好的保護(hù)，

27、實(shí)現(xiàn)統(tǒng)一身份認(rèn)證。11 微軟產(chǎn)品的基礎(chǔ)平臺(tái)活動(dòng)目錄作為Windows Server 2008R2標(biāo)準(zhǔn)版本、Windows Server 2008R2企業(yè)版和Windows Server 2008R2 Datacenter版上應(yīng)用的目錄服務(wù)，更重要的一點(diǎn)，它是微軟其它產(chǎn)品應(yīng)用的基礎(chǔ)平臺(tái)。微軟所研發(fā)的OCS、MOSS、EXCHANGE等產(chǎn)品應(yīng)用的前提就是要具有活動(dòng)目錄架構(gòu)。3.1.3 四川汽車工業(yè)集團(tuán)有限公司活動(dòng)目錄總體框架設(shè)計(jì)我們?cè)谝?guī)劃四川汽車工業(yè)集團(tuán)有限公司目錄林模式時(shí)，綜合統(tǒng)一身份認(rèn)證實(shí)現(xiàn)、方便管理集中系統(tǒng)方面考慮，最后與四川汽車工業(yè)集團(tuán)進(jìn)行確認(rèn)后決定采用單森模式的活動(dòng)目錄框架設(shè)計(jì)。3.1.

28、3.1 建立單一森林環(huán)境單一目錄林環(huán)境易于建立和維護(hù)。所有的用戶都通過(guò)全局編錄看到單一的目錄，而無(wú)需知道任何目錄結(jié)構(gòu)。當(dāng)將目標(biāo)域添加到目錄林時(shí)，不要求其它的信任配置。只需應(yīng)用一次配置更改即可影響所有域。四川汽車工業(yè)集團(tuán)有限公司森林環(huán)境選型根據(jù)四川汽車工業(yè)集團(tuán)有限公司網(wǎng)絡(luò)狀況、業(yè)務(wù)系統(tǒng)應(yīng)用、以及集中化、高安全的管理需求，所有客戶端和服務(wù)器均由中心域服務(wù)器統(tǒng)一集中管理，所以這里我們最終確定采用單一森林。所有加入域的計(jì)算機(jī)都可以在“AD用戶和計(jì)算機(jī)”控制面版中查看到，我們可能通過(guò)“AD用戶和計(jì)算機(jī)”面版對(duì)域中所有計(jì)算機(jī)進(jìn)行統(tǒng)一管理，大大簡(jiǎn)化了IT管理的工作復(fù)雜程序，提高管理的工作效率。四川汽車工業(yè)集

29、團(tuán)有限公司活動(dòng)目錄域設(shè)計(jì)由于四川汽車工業(yè)集團(tuán)有限公司地理位置相對(duì)集中，客戶端幾乎都同屬于一個(gè)辦公園區(qū)，因此，與客戶溝通確認(rèn)后，決定采用單域多OU結(jié)構(gòu)。OUOUOU四川汽車工業(yè)集團(tuán)有限公司組織單元設(shè)計(jì)1) 組織單元的概念一個(gè)組織單元（OU）是一個(gè)容器對(duì)象，用于管理域中的對(duì)象，例如：用戶賬號(hào)、組、計(jì)算機(jī)、打印機(jī)和其他的組織單位?？梢允褂媒M織單位在一個(gè)邏輯層次中組織各種對(duì)象，這樣能夠體現(xiàn)企業(yè)基于部門(mén)的或基于地理分界的結(jié)構(gòu)，網(wǎng)絡(luò)管理模式是基于行政的管理架構(gòu)?；顒?dòng)目錄可以根據(jù)員工所在部門(mén)，針對(duì)員工的不同工作崗位或工作職責(zé)對(duì)員工進(jìn)行分組，以“組織單元”的形式分級(jí)進(jìn)行管理。在我們的方案中，針對(duì)整個(gè)部門(mén)分部環(huán)

30、境對(duì)不同部門(mén)分組也進(jìn)行了細(xì)致規(guī)劃。組織單位可包含用戶、組、計(jì)算機(jī)、打印機(jī)、共享文件夾以及其他組織單位。組織單位是目錄容器對(duì)象。它們表現(xiàn)為“活動(dòng)目錄用戶和計(jì)算機(jī)”中的文件夾。組織單位簡(jiǎn)化了域中目錄對(duì)象的視圖以及這些對(duì)象的管理?？蓪⒚總€(gè)組織單位的管理控制權(quán)委派給特定的人。這樣，就可以在管理員中分配域的管理工作，以更接近指派的單位職責(zé)的方式來(lái)管理這些管理性職責(zé)工作。OU命名方式：城市簡(jiǎn)稱，部門(mén)簡(jiǎn)（全）稱。為了提高對(duì)將來(lái)系統(tǒng)集成的兼容性，建議所有名稱中只使用英文字母和數(shù)字。2) 四川汽車工業(yè)集團(tuán)有限公司組織單元的設(shè)計(jì)我們將在組建的域控制器上為四川汽車工業(yè)集團(tuán)有限公司多個(gè)業(yè)務(wù)部門(mén)以部門(mén)名稱創(chuàng)建相應(yīng)的OU

31、，并將部門(mén)所屬的所有客戶機(jī)PC都加入到所屬部門(mén)的OU。3) OU管理權(quán)利委派在 Windows 2000 之前的 Windows NT 版本中，域的管理委派僅限于使用內(nèi)建的本地組，例如帳戶管理組。這些組有預(yù)先定義的功能，在某些情況下這些功能并不符合特殊情況的要求。結(jié)果，在某些情況下，單位中的管理員需要高級(jí)的管理訪問(wèn)（例如域管理員）權(quán)限。 在現(xiàn)在的Windows server 中，管理委派功能更強(qiáng)并更具靈活性。這種靈活性是通過(guò)部門(mén)、每個(gè)屬性訪問(wèn)控制和訪問(wèn)控制繼承的組合來(lái)實(shí)現(xiàn)的。管理可以任意委派，其方法是通過(guò)授予一組用戶創(chuàng)建特定類別的對(duì)象、或修改特定類別的對(duì)象的特定屬性的能力來(lái)實(shí)現(xiàn)。 例如，可以授

32、權(quán)人力資源部門(mén)在特定的 OU 中創(chuàng)建用戶對(duì)象，而不在其他地方?？梢允跈?quán)幫助中心技術(shù)人員重新設(shè)置該 OU 中的用戶的密碼，但不能創(chuàng)建用戶?？梢允跈?quán)其他的目錄管理員修改用戶對(duì)象的通訊簿屬性，但不允許創(chuàng)建用戶或重新設(shè)置密碼。 在單位中委派管理有一些好處。委派特定的權(quán)限使您可以將必須有高級(jí)訪問(wèn)權(quán)限的用戶的數(shù)量降到最少。權(quán)限受到限制的管理員所發(fā)生的事故或錯(cuò)誤所產(chǎn)生的影響只限于他們負(fù)責(zé)的范圍。以前，在單位中除了 IT 之外的組可能必須將更改請(qǐng)求提交到高級(jí)管理員，高級(jí)管理員代表他們進(jìn)行更改。通過(guò)管理委派，可以將責(zé)任分散到單位中的各個(gè)組，這樣可以節(jié)省將請(qǐng)求發(fā)送到高級(jí)管理組的開(kāi)銷。 可控性權(quán)利委派 可以部分的、

33、選擇性的將某一個(gè)OU的權(quán)利委派給管理員；將權(quán)利委派給管理員后是可以收回的。 權(quán)利委派作用域 被委派權(quán)利的管理員只會(huì)作用于所指定的OU，對(duì)其它OU是無(wú)效的。根據(jù)四川汽車工業(yè)集團(tuán)有限公司的情況，將每個(gè)部門(mén)的OU完全控制的權(quán)限委派給部門(mén)主管。從安全的角度考慮，OU以及域的最大控制權(quán)限應(yīng)該由信息中心控制。四川汽車工業(yè)集團(tuán)有限公司DNS設(shè)計(jì)由于活動(dòng)目錄中許多功能對(duì)DNS的依賴性，DNS 服務(wù)器的可用性直接影響活動(dòng)目錄的可用性?？蛻舳艘蕾?DNS 來(lái)查找域控制器，而域控制器依賴 DNS 查找其他的域控制器來(lái)進(jìn)行復(fù)制。即使目前您的網(wǎng)絡(luò)上已部署了 DNS 服務(wù)器，仍可能需要調(diào)整服務(wù)器的數(shù)量和布置，以滿足活動(dòng)目

34、錄客戶端和域控制器對(duì)DNS的需求?；顒?dòng)目錄使用域名系統(tǒng)（ Domain Name System ，簡(jiǎn)稱 DNS ）。這使得運(yùn)行在 TCP/IP 網(wǎng)絡(luò)上的計(jì)算機(jī)可以識(shí)別和連接另一臺(tái)計(jì)算機(jī)。 DNS 域和 Windows Server 2003 R2的域自然而有機(jī)的結(jié)合在一起，使得整個(gè)目錄結(jié)構(gòu)成樹(shù)型分布，具有了 DNS 的層次感覺(jué)，也使得 Windows Serever 2008 R2 系統(tǒng)能夠支撐龐大的目錄結(jié)構(gòu)，是的目錄對(duì)象涵蓋了整個(gè)網(wǎng)絡(luò)元素：用戶，計(jì)算機(jī)，打印機(jī)，共享文件夾，應(yīng)用程序，管理策略等。 1) DNS 和活動(dòng)目錄目錄林中的每個(gè)域控制器都注冊(cè)了兩組定位器記錄：一組是域特定的記錄，如以結(jié)

35、尾；另一組是目錄林范圍的記錄，以 結(jié)尾。目錄林范圍的記錄是客戶端以及目錄林各部份的域控制器都感興趣的記錄。例如，全局編錄服務(wù)器定位器記錄以及復(fù)制系統(tǒng)用來(lái)查找復(fù)制伙伴所用的記錄，都包含在目錄林范圍的記錄中。 任意兩個(gè)域控制器要想能夠彼此復(fù)制（包括同一域的兩個(gè)域控制器），必須能夠查找目錄林范圍的定位器記錄。剛創(chuàng)建的域控制器要想?yún)⑴c復(fù)制，必須能夠在 DNS 中注冊(cè)其目錄林范圍的記錄，而其他域控制器必須能夠查找這些記錄。因此，目錄林范圍的定位器記錄必須對(duì)每個(gè)站點(diǎn)的每個(gè) DNS 服務(wù)器可用。 客戶端使用站點(diǎn)特定的域控制器定位器記錄，來(lái)搜索附近的域控制器。只有在客戶端站點(diǎn)沒(méi)有域控制器項(xiàng)時(shí)，客戶端才會(huì)查詢并

36、接受其他的域控制器。默認(rèn)情況下，每個(gè)域控制器都會(huì)發(fā)布其站點(diǎn)特定的 SRV 記錄和通用 SRV 記錄。2) DNS 名稱解析方案為了確保每個(gè)域控制器都能成功注冊(cè)其兩組定位器記錄，并確保每個(gè)域控制器和客戶端能通過(guò)DNS得到其所需的定位器記錄，我們要在域控制器和客戶端上配置使得其首選和備用的DNS服務(wù)器都指向域內(nèi)的DNS服務(wù)器。通過(guò) DNS 服務(wù)中的 Service Resource Record （ SRV RR ）記錄公布提供目錄服務(wù)的服務(wù)器地址， SRV RR 中的附加信息指出了服務(wù)器的優(yōu)先權(quán)及重要度，使得客戶可以選擇他們所需要的最好的服務(wù)器。 DNS 記錄也可以集成到目錄中，隨著目錄復(fù)制而達(dá)

37、到 DNS 復(fù)制的目的。3) 活動(dòng)目錄集成的DNS正向搜索區(qū)域DNS正向搜索區(qū)域分為主搜索區(qū)域，副搜索區(qū)域和活動(dòng)目錄集成的搜索區(qū)域。為了實(shí)現(xiàn)多臺(tái)DNS服務(wù)器間搜索區(qū)域內(nèi)的同步，我們可以通過(guò)一臺(tái)擁有主搜索區(qū)域，和多臺(tái)擁有副搜索區(qū)域DNS服務(wù)器實(shí)現(xiàn)，或通過(guò)多臺(tái)擁有活動(dòng)目錄集成的搜索區(qū)域的DNS服務(wù)器實(shí)現(xiàn)。而后者有以下優(yōu)點(diǎn)：l 活動(dòng)目錄集成的搜索區(qū)域的DNS服務(wù)器可以實(shí)現(xiàn)多更新主機(jī)協(xié)同工作，避免一臺(tái)服務(wù)器由于大量的DNS注冊(cè)負(fù)載過(guò)重。l 活動(dòng)目錄集成的搜索區(qū)域的DNS服務(wù)器可以使用安全的注冊(cè)方式，從而可以避免服務(wù)器的定位器記錄被非授權(quán)主機(jī)更改。3.1.3.6 四川汽車工業(yè)集團(tuán)有限公司DNS設(shè)計(jì)規(guī)劃l

38、 活動(dòng)目錄DNS正向搜索區(qū)域設(shè)置在控制器上創(chuàng)建一個(gè)活動(dòng)目錄集成，在所有域內(nèi)的DNS服務(wù)器上復(fù)制的正向搜索區(qū)域，并允許安全的動(dòng)態(tài)更新。在控制器上創(chuàng)建一個(gè)活動(dòng)目錄集成，在的所有森林內(nèi)的DNS服務(wù)器上復(fù)制正向搜索區(qū)域，并允許安全的動(dòng)態(tài)更新。l DNS 客戶端配置規(guī)劃域中的客戶機(jī)決定采用固定IP地址，則主DNS指向本站點(diǎn)的DNS服務(wù)器，輔助DNS指向 DNS服務(wù)器。3.1.3.7 活動(dòng)目錄方案成效成都時(shí)代加華軟件技術(shù)有限公司的活動(dòng)目錄技術(shù)服務(wù)，提供統(tǒng)一用戶身份管理和認(rèn)證，統(tǒng)一網(wǎng)絡(luò)資源實(shí)體的管理，同時(shí)也為后續(xù)的各種應(yīng)用的統(tǒng)一認(rèn)證和授權(quán)管理奠定了堅(jiān)實(shí)的基礎(chǔ)。其應(yīng)用成效主要表現(xiàn)在以下幾點(diǎn)：1) 實(shí)現(xiàn)身份統(tǒng)一

39、認(rèn)證服務(wù)用戶可以通過(guò)多種方式在目錄結(jié)構(gòu)中查詢自己所需要的網(wǎng)絡(luò)資源。尤其是對(duì)個(gè)人而言，用戶可以實(shí)現(xiàn)單點(diǎn)登陸，用戶每次只需要登陸到域中，當(dāng)訪問(wèn)后臺(tái)應(yīng)用時(shí)，就不再需要重復(fù)輸入用戶名和密碼。這樣一方面可減輕用戶記住多套用戶名和密碼的負(fù)擔(dān)，同時(shí)也可避免每次訪問(wèn)應(yīng)用時(shí)都要再重復(fù)輸入一遍用戶名和密碼。尋找打印機(jī)也更加方便。用戶甚至不必記住打印機(jī)服務(wù)器的名字，利用“尋找打印機(jī)”就可以迅速找到離自己位置最近的打印機(jī)，極大的方便工作。其次，每次不再需要重復(fù)輸入用戶名和密碼即可進(jìn)入系統(tǒng)；尋找文件更加方便，用戶不必記住文件服務(wù)器的IP地址，只需要記住服務(wù)器名稱即可，利用分布式文件系統(tǒng)，統(tǒng)一到一個(gè)地方去存取文件，而不用

40、擔(dān)心文件物理放在哪臺(tái)文件服務(wù)器上；設(shè)立文件共享不再需要特別設(shè)定共享密碼。缺省只有域用戶才可以訪問(wèn)，文件共享者也可以通過(guò)設(shè)定特定的域用戶組和特定用戶，只允許他們才可以訪問(wèn)改文件。當(dāng)用戶去訪問(wèn)文件服務(wù)器，不再需要輸入用戶名和密碼。Windows 會(huì)利用域帳戶自動(dòng)去驗(yàn)證。另外，關(guān)于遠(yuǎn)程操作系統(tǒng)的安裝、委托管理、遠(yuǎn)程桌面協(xié)助等各種功能也能在統(tǒng)一的管理下輕松實(shí)現(xiàn)。同時(shí)，活動(dòng)目錄充當(dāng)管理用戶身份和網(wǎng)絡(luò)資源控制訪問(wèn)驗(yàn)證的統(tǒng)一認(rèn)證機(jī)構(gòu)，支持業(yè)界標(biāo)準(zhǔn)協(xié)議Kerberos認(rèn)證協(xié)議，并可集成證書(shū)服務(wù), CA和 智能卡(Smart Card)認(rèn)證。用戶的訪問(wèn)便可以根據(jù)企業(yè)的統(tǒng)一認(rèn)證服務(wù)被準(zhǔn)許或拒絕。同時(shí)，從用戶使用來(lái)

41、看，一套用戶認(rèn)證系統(tǒng)建立了Single-Sign On SSO(單點(diǎn)登錄)的基礎(chǔ)，增加用戶的便利性和安全性。2) 設(shè)備的管理加強(qiáng)終端管理，降低運(yùn)維費(fèi)用建立企業(yè)目錄管理系統(tǒng)，通過(guò)活動(dòng)目錄組策略推送的方式，將終端使用策略主動(dòng)的推送到各個(gè)終端。只要用戶登錄進(jìn)入域，域管理服務(wù)器就會(huì)自動(dòng)推送該用戶所需要的終端設(shè)置。這樣就可以實(shí)現(xiàn)約束業(yè)務(wù)人員終端使用，加強(qiáng)企業(yè)終端管理、維護(hù)手段的主動(dòng)性，降低終端人為導(dǎo)致軟件故障的發(fā)生率，從而降低運(yùn)維費(fèi)用。而且在這種統(tǒng)一管理下，用戶還能實(shí)現(xiàn)多種遠(yuǎn)程管理。比如用戶可以不必在Windows 客戶機(jī)上安裝打印機(jī)驅(qū)動(dòng)程序就能夠使用打印機(jī)，可以很容易地進(jìn)行網(wǎng)絡(luò)打印以及管理打印機(jī)服務(wù)器

42、了。再比如委托管理，各事業(yè)部可自行管理，包括創(chuàng)建本部門(mén)用戶，計(jì)算機(jī)，打印機(jī)，文件服務(wù)器等。組策略設(shè)置可以讓管理員以邏輯單元（例如部門(mén)或辦公地點(diǎn)）的形式組織用戶和對(duì)象，然后給這些邏輯單元分配相同的設(shè)置，包括安全、外觀和管理選項(xiàng)，這個(gè)過(guò)程可以簡(jiǎn)化相應(yīng)的管理任務(wù)。另外，在活動(dòng)目錄的支持下，當(dāng)用戶需要重新安裝操作系統(tǒng)，可以利用“遠(yuǎn)程O(píng)S安裝”的特性在不到半小時(shí)里自行安裝一個(gè)新的操作系，而且對(duì)于使用Windows XP Professional的機(jī)器而言，當(dāng)軟件出現(xiàn)問(wèn)題時(shí)，可以不必等待IT維護(hù)人員親自跑到機(jī)器面前維護(hù)，用戶可以發(fā)出遠(yuǎn)程邀請(qǐng)桌面協(xié)助，這樣用戶和IT人員可以立即共享Windows桌面診斷問(wèn)題

43、，加快問(wèn)題的響應(yīng)速度，提高用戶的滿意度。3) 提升系統(tǒng)安全管理水平作為安全管理中心，活動(dòng)目錄服務(wù)利用安全組策略技術(shù)進(jìn)行服務(wù)器和桌面機(jī)器的安全控制。通過(guò)有效的企業(yè)級(jí)或者部門(mén)級(jí)安全策略設(shè)定，在企業(yè)內(nèi)部桌面系統(tǒng)加強(qiáng)安全約束，提供整體安全性，從而提升系統(tǒng)安全管理水平。4) 后續(xù)增值效益活動(dòng)目錄技術(shù)作為企業(yè)目錄建設(shè)的基石，其本身的作用主要有三：ü 它可以成為一個(gè)管理中心。通過(guò)對(duì)網(wǎng)絡(luò)中的元素，如用戶賬戶、計(jì)算機(jī)賬戶等信息進(jìn)行收集、保存，作為其管理的對(duì)象。通過(guò)其本身提供的組策略等技術(shù)作為管理的手段，從而實(shí)現(xiàn)管理中心的功能；ü 它可以成為一個(gè)安全中心。通過(guò)域環(huán)境的搭建，使其成為域中資源的安

44、全邊界。同時(shí)，可以扮演身份認(rèn)證和授權(quán)中心的角色；ü 它是一個(gè)開(kāi)放的平臺(tái)?；顒?dòng)目錄是可擴(kuò)展的，就是說(shuō)管理員可以向模式中添加新的對(duì)象類，也可以向已經(jīng)存在的對(duì)象類添加新的屬性。模式包括每一個(gè)對(duì)象類和對(duì)象類屬性的定義，它們可以存儲(chǔ)在目錄中。例如，可以向用戶對(duì)象添加購(gòu)買機(jī)構(gòu)屬性，然后可以將用戶的購(gòu)買機(jī)構(gòu)范圍做為用戶帳號(hào)的一部分進(jìn)行存儲(chǔ)。通過(guò)對(duì)目錄服務(wù)標(biāo)準(zhǔn)的支持，使得在其基礎(chǔ)架構(gòu)上，進(jìn)行應(yīng)用的開(kāi)發(fā)、與其它應(yīng)用和服務(wù)進(jìn)行整合成為可能，從而不斷擴(kuò)展其功能。四川汽車工業(yè)集團(tuán)有限公司文件服務(wù)器解決方案解決方案的設(shè)計(jì)原則我們?cè)谠O(shè)計(jì)系統(tǒng)的同時(shí)重點(diǎn)突出以下設(shè)計(jì)原則：1、 總體規(guī)劃、分階段實(shí)施。系統(tǒng)要在長(zhǎng)遠(yuǎn)規(guī)劃

45、、逐步完善的思想指導(dǎo)下，統(tǒng)一規(guī)劃、統(tǒng)一管理，有序?qū)嵤?、 先進(jìn)性與適用性原則。在系統(tǒng)的設(shè)計(jì)中，首先要考慮的是實(shí)用性和易于操作性、易于管理和維護(hù)，易于掌握和學(xué)習(xí)使用。3、 開(kāi)放性與標(biāo)準(zhǔn)化原則。在總體設(shè)計(jì)中應(yīng)用開(kāi)放式、模塊化設(shè)計(jì)體系，使系統(tǒng)有適應(yīng)外界環(huán)境變化的能力，易于調(diào)整、擴(kuò)充和組合，最大限度滿足業(yè)務(wù)要求。4、 可靠性與安全性原則。安全可靠的運(yùn)行是整個(gè)系統(tǒng)建設(shè)的基礎(chǔ)。信息的重要性，要求網(wǎng)絡(luò)系統(tǒng)要有較高的安全性。系統(tǒng)要具備容錯(cuò)、備份及自診斷模塊，便于快速判斷故障點(diǎn)并排除。要配置嚴(yán)密的數(shù)據(jù)安全體系，避免非法入侵，確保系統(tǒng)數(shù)據(jù)的準(zhǔn)確性、數(shù)據(jù)傳輸?shù)恼_性，防止異常情況的發(fā)生。5、 經(jīng)濟(jì)性與可擴(kuò)充性原則

46、。系統(tǒng)的建設(shè)，要從經(jīng)濟(jì)性著眼，在完成系統(tǒng)目標(biāo)的基礎(chǔ)上，盡量采用技術(shù)成熟的網(wǎng)絡(luò)技術(shù)及通信技術(shù)，充分考慮對(duì)現(xiàn)有信息平臺(tái)及資源的充分利用，保護(hù)原有投資，減少重復(fù)建設(shè)。6、 接入廣泛性及接口標(biāo)準(zhǔn)化原則。在總體設(shè)計(jì)中，應(yīng)采用開(kāi)放式的體系結(jié)構(gòu)，使系統(tǒng)易于擴(kuò)充，使相對(duì)獨(dú)立的分系統(tǒng)易于進(jìn)行組合調(diào)整。有適應(yīng)外界環(huán)境變化的能力，即在外界環(huán)境改變時(shí)，系統(tǒng)可以不作修改或僅作小量修改就能在新環(huán)境下運(yùn)行。網(wǎng)絡(luò)選用的通信協(xié)議和設(shè)備符合國(guó)際標(biāo)準(zhǔn)，將不同應(yīng)用環(huán)境和不同結(jié)構(gòu)優(yōu)勢(shì)有機(jī)地結(jié)合起來(lái)。同時(shí)，要保證網(wǎng)絡(luò)的互聯(lián)，為信息的互通和應(yīng)用創(chuàng)造有利的條件，從而滿足不同的需求。3.2.2 文件服務(wù)器解決方案文件服務(wù)器建議采用Window

47、s Server 2008 R2操作系統(tǒng)，Windows Server 2008R2在文件服務(wù)器管理方面具有以下更新和特性：功能說(shuō)明卷影副本（以前版本）恢復(fù)卷影副本（以前版本）恢復(fù)為網(wǎng)絡(luò)文件夾提供了時(shí)間點(diǎn)副本。用戶通過(guò)右鍵單擊 Windows 資源管理器中的文件或文件夾，可以非常方便地訪問(wèn)其以前版本的文件?；?Windows Server 2008R2的文件服務(wù)器會(huì)使用卷影副本功能為該文件服務(wù)器上的所有文件維護(hù)一組它們的以前版本。增強(qiáng)的分布式文件系統(tǒng) (DFS)DFS 有助于商業(yè)機(jī)構(gòu)以較低的總擁有成本提供高度可用的文件服務(wù)。借助 DFS，您可以從多個(gè)物理系統(tǒng)創(chuàng)建一個(gè)邏輯文件系統(tǒng)，從而使您的環(huán)

48、境更易于為用戶所使用并且在設(shè)備利用方面更為有效。通過(guò) DFS，您可以創(chuàng)建一個(gè)包含部門(mén)、分支機(jī)構(gòu)或企業(yè)中的多個(gè)文件服務(wù)器和文件共享的目錄樹(shù)，從而允許用戶方便地查找分布在網(wǎng)絡(luò)中的文件或文件夾。這個(gè)目錄樹(shù)（邏輯命名空間）可以容納 5000 多個(gè)位于企業(yè)內(nèi)不同服務(wù)器上的共享文件夾。另外，還可以使用 Active Directory® 服務(wù)將 DFS 共享作為卷對(duì)象進(jìn)行發(fā)布，并且可以委派管理任務(wù)。在Windows Server 2008R2中，DFS 現(xiàn)在提供了最近站點(diǎn)選擇功能。該功能中，DFS 會(huì)使用 Active Directory 站點(diǎn)信息將客戶端路由到對(duì)指定路徑而言最近的可用文件服務(wù)器

49、上。另外，一個(gè)Windows Server 2008R2系統(tǒng)還可以容納多個(gè) DFS 根。DFS 文件復(fù)制服務(wù) (FRS)就如同 DFS 一樣，F(xiàn)RS 也允許商業(yè)機(jī)構(gòu)實(shí)現(xiàn)較低的 TCO，方法是確保數(shù)據(jù)的始終同步。FRS 與 DFS配合起工作，它可以復(fù)制文件共享中的數(shù)據(jù)，并自動(dòng)保持分布在多個(gè)服務(wù)器上的副本的同步性。通過(guò)Windows Server 2008R2的一個(gè)新功能即 DFS Microsoft 管理控制臺(tái) (MMC) 用戶界面，用戶可以對(duì)復(fù)制拓?fù)浣Y(jié)構(gòu)進(jìn)行配置。FRS 服務(wù)自身也具有新功能它可以壓縮復(fù)制流量以及減少不必要的復(fù)制流量。增強(qiáng)的加密文件系統(tǒng) (EFS)Windows Server

50、2008R2通過(guò)增強(qiáng)的 EFS 加強(qiáng)了文件服務(wù)的安全性。EFS 是其它訪問(wèn)控制方法的補(bǔ)充，它為您的數(shù)據(jù)提供了附加保護(hù)。由于 EFS 作為一種集成的系統(tǒng)服務(wù)運(yùn)行，因此它方便了您的管理、增加了攻擊難度，而且對(duì)用戶而言是透明的。卷影復(fù)制服務(wù)存儲(chǔ)卷的卷影副本是原始文件在某個(gè)具體時(shí)間點(diǎn)的副本。備份應(yīng)用程序通常使用卷影副本來(lái)備份那些使之看起來(lái)呈靜態(tài)（實(shí)際上是不斷變化的）的文件。如果在存儲(chǔ)區(qū)域網(wǎng)絡(luò)（SAN）中創(chuàng)建了卷影副本，可將該卷影副本傳輸?shù)搅硗獾姆?wù)器進(jìn)行備份、測(cè)試或數(shù)據(jù)挖掘。虛擬磁盤(pán)服務(wù) (VDS)VDS 采用一個(gè)標(biāo)準(zhǔn)接口進(jìn)行磁盤(pán)管理。每個(gè)硬件供應(yīng)商都會(huì)編寫(xiě) VDS 提供程序，以便將通用的 VDS A

51、PI 解釋成用于各自硬件的特定指令。借助 VDS 提供的這種抽象層，Windows Server 2008R2可以為用戶提供更為強(qiáng)大的解決方案組合，以便在您在作出有關(guān) SAN 和其它存儲(chǔ)方法的長(zhǎng)期投資決定時(shí)具有更大的靈活性。命令行接口管理員在Windows Server 2008R2中可以獲得新提供的強(qiáng)大新命令行實(shí)用程序來(lái)執(zhí)行多種磁盤(pán)管理任務(wù)，包括：擴(kuò)充基本磁盤(pán)、執(zhí)行各種磁盤(pán)配置和 RAID 配置、管理卷影副本以及調(diào)整文件系統(tǒng)。提高了 CHKDSK 操作的性能由于 NTFS 文件系統(tǒng)完全是一種真正日志化的文件系統(tǒng)，因此很少會(huì)要求 CHKDSK 操作。即使確實(shí)需要檢查磁盤(pán)（基本上不存在這種可能，

52、因?yàn)樵谝馔馔C(jī)中，要求這種檢查的低于 1%），CHKDSK 的執(zhí)行速度也會(huì)比在 Windows 2008中快 20% 到 38%。性能更高的碎片整理工具Windows 磁盤(pán)碎片整理工具可優(yōu)化卷中的文件，從而提高磁盤(pán)的可用性和性能。Windows Server 2008R2中的磁盤(pán)碎片整理比在 Windows 2008中更快，而且更為有效。另外，它還支持以聯(lián)機(jī)方式對(duì)主控文件表（Master File Table，MFT）進(jìn)行碎片整理，并且可整理任何簇大小的 NTFS 卷。內(nèi)容索引內(nèi)容索引為用戶搜索本地或網(wǎng)絡(luò)上的信息提供了一個(gè)方便快捷而且安全的方法。用戶可以通過(guò)“開(kāi)始”菜單中的“搜索”命令或通過(guò)在

53、瀏覽器中查看的網(wǎng)頁(yè)來(lái)搜索使用了不同格式和語(yǔ)言的文件。自動(dòng)系統(tǒng)恢復(fù) (ASR)它使得在災(zāi)難恢復(fù)情況下通過(guò)一個(gè)步驟即可恢復(fù)操作系統(tǒng)、系統(tǒng)狀態(tài)和硬件配置，從而提高了效率。遠(yuǎn)程文檔共享 (WebDAV)作為Windows Server 2008R2的一個(gè)新功能，遠(yuǎn)程文檔共享提高了通過(guò) WebDAV 重定向程序連接業(yè)務(wù)的能力。借助 WebDAV 重定向程序，客戶端可以通過(guò)文件系統(tǒng)調(diào)用來(lái)訪問(wèn) Web 資源庫(kù)中的文件。GUID 分區(qū)表 (GPT)Windows XP、vista、7的 64 位版本和 64 位版本的Windows Server 2008R2企業(yè)版和 Datacenter 版都支持 GPT 這

54、種新的磁盤(pán)分區(qū)格式。與通過(guò)主引導(dǎo)記錄（MBR）分區(qū)的磁盤(pán)不同，此時(shí)的關(guān)鍵性平臺(tái)操作數(shù)據(jù)都位于分區(qū)中，而不是位于未分區(qū)的扇區(qū)或隱藏的扇區(qū)中。另外，通過(guò) GPT 分區(qū)的磁盤(pán)都具有冗余的主分區(qū)表和備用分區(qū)表，這提高了分區(qū)數(shù)據(jù)結(jié)構(gòu)的完整性。為防病毒產(chǎn)品提供了新支持保護(hù)資源免遭病毒產(chǎn)生的惡意代碼的侵襲，是提供安全可靠的文件服務(wù)的關(guān)鍵一環(huán)。Windows Server 2008R2新提供了可為第三方防病毒產(chǎn)品提供更高性能和可靠性的內(nèi)核 API，增強(qiáng)了當(dāng)前對(duì)防病毒產(chǎn)品的不懈支持。此外，我們當(dāng)前還為防病毒文件系統(tǒng)的過(guò)濾驅(qū)動(dòng)程序提供了 Windows 硬件質(zhì)量實(shí)驗(yàn)室 (WHQL) 測(cè)試套件和驅(qū)動(dòng)程序認(rèn)證過(guò)程。分

55、布式文件系統(tǒng)Windows Server 2008R2中的分布式文件系統(tǒng) (DFS) 技術(shù)為廣域網(wǎng)（WAN）的復(fù)制提供了方便，并對(duì)位置分散的文件提供了簡(jiǎn)化和容錯(cuò)的訪問(wèn)。DFS 中的兩項(xiàng)技術(shù)分別為：1. DFS 復(fù)制。全新的基于狀態(tài)的，多宿主的復(fù)制引擎在針對(duì)廣域網(wǎng)環(huán)境方面進(jìn)行了優(yōu)化。DFS 復(fù)制支持復(fù)制的計(jì)劃安排，降低帶寬占用，以及全新的比特級(jí)壓縮運(yùn)算規(guī)則，即眾所周知的遠(yuǎn)程差異壓縮 (RDC)。用戶存儲(chǔ)在分布文件系統(tǒng)上的數(shù)據(jù)可以被同步到多個(gè)DFS復(fù)制點(diǎn)，但是用戶在訪問(wèn)的時(shí)候不會(huì)覺(jué)察到有什么異樣，DFS會(huì)根據(jù)用戶連接速度自動(dòng)連接到最近的文件服務(wù)器供用戶訪問(wèn)。這樣即便企業(yè)組織內(nèi)部有多個(gè)辦公地點(diǎn)，也可

56、以保障用戶可以在任意一處都可以訪問(wèn)到自己存儲(chǔ)在服務(wù)器上的資源。非常重要的一點(diǎn)，DFS的復(fù)制只對(duì)差異部分進(jìn)行復(fù)制，當(dāng)用戶在某臺(tái)DFS站點(diǎn)上修改了文件之后，DFS會(huì)自動(dòng)將修改后的文件更新到各個(gè)站點(diǎn)上，但是在這個(gè)過(guò)程中DFS只復(fù)制用戶修改的差異部分，而不是整個(gè)文件都進(jìn)行復(fù)制，這樣就可以節(jié)省站點(diǎn)之間文件復(fù)制的成本。2. DFS 命名空間。這項(xiàng)技術(shù)有助于管理員將分布在不同服務(wù)器上的共享文件夾進(jìn)行分組，并且將這些文件夾以虛擬的樹(shù)型機(jī)構(gòu)提供給用戶，即眾所周知的命名空間。DFS 的命名空間以前在 Windows 2000 Server 和 Windows Server 2003 中稱為分布式文件系統(tǒng)。在分布式

57、文件系統(tǒng)中，共享資源可以是一臺(tái)計(jì)算機(jī)上或者多臺(tái)計(jì)算機(jī)上，用戶只需要訪問(wèn)DFS路徑，就可以定位到文件的物理存放位置。當(dāng)文件存放物理服務(wù)器變更時(shí)，管理員只需要將DFS路徑指到新的物理服務(wù)器即可，而不需要通知用戶更改訪問(wèn)方式。如下圖所示，用戶Mary不必訪問(wèn)處于各地的服務(wù)器，她只需要在客戶端訪問(wèn)DFS路徑的共享資源，就會(huì)被定位到物理文件物理存放位置。文件服務(wù)器的管理特性Windows Server 2008R2新增的文件服務(wù)器管理可以幫助企業(yè)對(duì)用戶的存儲(chǔ)行為進(jìn)行有效的控制。1. 文件存放類型控制Windows Server 2008R2的文件服務(wù)器管理中，我們可以將文件的類型歸類，設(shè)置共享文件夾中是

58、否允許存放某些類型的文件，保障共享文件夾被合理利用。Windows Server 2008R2的文件服務(wù)器管理工具預(yù)設(shè)了5個(gè)管理模板，供用戶使用，您可以通過(guò)自定義設(shè)置來(lái)修改或者新建模板，如下圖所示，可以將“阻止圖像文件”這個(gè)模板使用在僅允許存放Office檔的共享文件夾中。不僅是阻止的策略，你可以設(shè)置某個(gè)文件夾只允許存放某種類型文件的策略，同時(shí)這些文件類型也都是可以自定義。保障文件的安全Windows Server 2008R2文件服務(wù)器使用NTFS權(quán)限來(lái)劃分用戶在共享文件夾中的權(quán)限Windows Server 2008R2NTFS格式卷上的共享文件夾可以在“安全”選項(xiàng)卡中和共享權(quán)限中設(shè)置文件夾的操作權(quán)限，權(quán)限級(jí)別分為讀取、修改、完全控制三個(gè)大類，您可以設(shè)置更為具體的權(quán)限比如只能新建文件，不能修改文件等等。保障您的文件只被合適