1、引言

    隨著信息技術的發展，統一身份驗證體系的建設與服務在企業產、科技活動中起著重要的作用。浙江省能源集團有限公司計劃存本部與各下屬單位之問建立一套統一的基礎架構系統，通過制定相關規則，建立企業級的統一安全策略、用戶賬號、計算機和網絡資源，以適應當前企業信息化的發展。

    微軟活動目錄基礎架構是Windows操作系統的核心組件，它為用戶管理網絡環境各個組成要素的標識和關系提供了一種有力的手段�；顒幽夸洿鎯α擞嘘P網絡對象的信息，并且讓管理員和用戶能夠輕松地查找和使用這些信息�；顒幽夸浭褂昧艘环N結構化的數據存儲方式，并以此作為基礎對目錄信息進行合平邏輯的分層組織。

2、系統概述

    2．1功能概述

    活動目錄主要提供以下功能：

    (1)基礎網絡服務：包括DNS域名解析、DHCP網絡地址分配、證書服務等。

    (2)服務器及客戶端計算機管理：管理服務器及客戶端計算機賬戶，所有服務器及客戶端計算機加入域管理并通過實施不同的組策略，達到對不問分組服務器和客戶端的管理。

    (3)用戶服務：管理用戶域賬戶、用戶信息、企業通訊錄(與電子郵件系統Exchange集成)、用戶組管理、用戶身份認證、用戶權限管理以及用戶軟件控制策略等。

    (4)資源管理和共享服務：管理網絡打印機、文件共享服務等網絡資源，對不同的用戶，進行差別化的權限分配。

    (5)計算機策略配置：系統管理員可以集中的配置各種計算機策略配置，如：界面功能的限制、應用程序執行特征限制、剛絡連接限制、安全配置限制等。

    (6)應用系統基礎平臺：支持補丁管理、企業門戶、電子郵件、財務、人事、辦公自動化、防病毒系統等各種應用系統。

    2．2技術概述

    活動日錄基礎架構基于微軟公司的Windows 2008 R2系統，Microsoft Active Directory 服務是Windows平臺的核心組件。Active Directory存儲J 有關網絡對象的信息(包括用戶賬戶、計算機和網絡資源等)，并且讓管理員和用戶能夠輕松地查找和使用這些信息。Active Directory使用了一種結構化的數據存儲方式，并以此作為基礎對目錄信息進行合乎邏輯的分層組織。

    物理結構：采用單林單域多OU的形式，集團的兩臺服務器作為主域控，實現多點容錯和性能優化，制定活動目錄復制策略和操作主控，其他各個電廠以站點的形式和集團主域連接，實現統一管理。

    邏輯結構：集團本部統一一作為單域，按各個電廠行成OU。安裝和配置DNS服務以支持活動目錄，配置活動目錄對象的訪問控制，做委派授權，實現對用戶權限的控制和統一化的管理。

3、部署方案

    3．1網絡拓撲結構

    浙能集團互聯網絡包括城域網、廣域網及VPN網，采用星型結構組網(各下屬企業局域網不互通)，城域網采用100M速率的裸光纖互聯，連接在杭子公司，廣域網采用2*2M速率的浙江電力通信SDH專線、1OM速率的中國電信MPLS-VPN線路互聯，實現雙鏈路負載冗余，連接非在杭下屬企業，VPN網采用IPSIC加密力一式，通過中國電信Internet網、中國網通Internet網連接籌建單位。浙能集團各單位內部采用10/100/1000M以太網技術組網。

    3.2部署方式

    根據項目要求，硬件平臺統一采用HP或者IBM高性能服務器，軟件平臺統一采用Windows 2008 R2企業版平臺。50人以上的子公司，每個公司放置兩臺域控制器，一臺作為主域控服務器，另一臺作為備域控服務器。50人以下的子公司，每個公司放置一臺域拄制器。但考慮到容錯，建議都放2臺域控制器。主域控和備域控服務器均配置為可讀寫域控制器，其中集團本部和下屬各單位的主域控服務器又作為全局編錄服務器(GC)。

    首先將Windows 2008 R2企業版操作系統完全安裝，修改域控服務器的DNS，指向自己和另一臺域控。然后安裝Active Directory域服務運用提升工具Dcpromo進行服務器的提升，在提升過程中同時安裝域集成的DNS服務。重啟服務器之后，安裝組策略服務等。

    在域控中，創建站點、組織單位，批量導人需要創建的用戶賬戶、用戶屬性、計算機賬戶等信息，同時針對不同的人員和不同的管理性質進行權限分配，可分為Administrators(管理員組), DomainAdmins(指定的域管理員)、OU管理員、Server Operators(域服務管理員組),GPO Creators( GPO創建組),Event Log Readers(本地事件讀取組)、Dornian users(普通域帳戶)等。對于集團本部及下屬各單位的所有計算機要求全部加入浙能集團域。

    活動目錄基礎架構通過已建立的管理平臺，從基礎階段向合理化階段和動態化階段過渡，通過微軟其它產品的部署(如SCCM2007和SCOM 2007)使之能夠從人為的管理到自動監測、自動管理階段。

    3.3系統詳細設計

    網絡端口設計:

    (1)操作主機角色設計:將所有操作主機角色全部放置集團的兩臺域控制器上，其中主域控制器放置架構主機、域命名主機、RID主機和PDC仿真主機，備域控制器放置結構主機角色。

    (2)站點設計:站點與子網相關，所以要求集團和各子公司的子網是全路由的。站點間復制時各子公司域控制器都與集團的主域控制器(也是橋頭堡)通過IP協議進行復制，提高復制效率。

    (3)林功能設計:如果所有域控制器都為Windows 2008 R2系統，則提升為Windows 2008林功能。

    (4)域功能設計:所有域控制器都為Windows 2008 R2，則提升為Windows 2008 R2域功能。浙能集團使用zhenergy . com . cn作為整個集團的域名。

    (5)組織單位設計:集團和子公司信息放在不同的組織單位中，部門允許重名。集團和各子公司都可以看見如上信息，但各自OU的管理員只能操作自己公司的信息。對于敏感的部門可以只允許部分人員才能看到和操作。在建立組織單位時，選擇防止意外刪除，以防止組織單位被管理員意外刪除。

    (6)組設計:一般通過組來授權，所以需要經常維護組成員關系，可以開發腳本自動創建組，組名與組織單位一樣，組成員是該組織單位下所有用戶，這樣既管理了組織架構，又管理了授權。使用中文命名，要求能夠充分反映用戶組的分組依據或者用途，易于記憶管理每一個部門/分公司建立一用戶組，以維護部門/分公司內部的文件權限分配。

    (7)站點間復制控制設計:出于對集團局域網內部安全考慮和活動目錄中的各臺DC之間的內容復制，在一般的設計環境下是互進行復制的，而且只要是其中一臺發生改變，那么根據活動目錄中保存的拓撲結構，將進行同步。也就是說當這個網絡拓撲過于龐大的時候，各DC之間的復制會出現混亂，會出現剛刪除某個對象，一段時間后該對象自己恢復了。所以浙能集團的站點間復制不僅僅是一個簡單的星型拓撲結構，在各站點間設計了下面子公司之間的相互復制。

    (8)桌面安全管理角色設計:安全小組:由集團指定人員擔任，負責安全管理的整體規劃和技術實現。安全管理員:由集團和子公司相關人員擔任，負責總體安全策略的具體實施。

    (9)桌面規范設計:安裝指定的正版操作系統和應用軟件，必須加入域接受域安全管理，及時安裝補丁和防病毒軟件，不得刪除集團指定的防病毒軟件，硬盤或移動設備送修時需徹底刪除相關資料。

    (10)桌面管理審核設計:從新員工人職，網絡準人，桌面機加域，包括員工在使用中問題支持，均應通過IT支持平臺走流程，并根據常見問題進行優化改進。安全小組每月或每季度對子公司進行安全巡檢，抽查是否符合安全規范，從而提升整個集團的安全規范管理。

    (11)組策略設計:組策略設計主要包括以下七個方面:

    第一、IE安全配置:針對域用戶的IE瀏覽器進行安全設置，提高域中用戶的安全性，主要包括URL設置、IE安全區域、IE中的ActiveX設置、IE收藏夾和鏈接。URL設置是針對不同公司，設定重要的URL，鎖定用戶IE主頁策略。IE安全區域是設置較高的安全級別，限制用戶訪問某些網站，限制用戶下載、視頻瀏覽等。IE中的ActiveX是只下載已簽名的ActiveX控件，防止互聯網環境中的病毒控件未經過允許直接安裝到本地計算機上。

    IE收藏夾和鏈接是將公司及其相關的重要的URL鏈接以收藏夾的形式添加到各個客戶端上，方便用戶查找和使用公司資源。

    第二、用戶網絡配置:為了方便OU管理員進行管理，防止用戶私自刪除網絡配置，對用戶網絡配置進行限制。用戶網絡配置主要包括禁用TCP/IP高級配置、刪除所有用戶的遠程訪問連接、禁止刪除遠程訪問連接和禁止用戶手動重定向配置文件夾。

    第三、用戶控制面板配置:針對某些經常維護的IT設備，進行強制性的組策略控制。防止刪除打印機、添加刪除程序、刪除開始菜單和任務欄和禁止訪問控制面板。防止刪除打印機是防止用戶意外刪除打印機。添加刪除程序是隱藏從Microsoft添加程序選項、隱藏從CDROM或軟盤安裝程序，防止誤操作安裝出現藍屏等。刪除開始菜單和任務欄是刪除幫助，刪除網絡，刪除網絡連接，刪除文檔，刪除音樂，刪除游戲等。禁止訪問控制面板是禁止用戶對控制面板進行訪問，防止意外操作。

    第四、計算機用戶配置:包括阻止訪問注冊表編輯工具、阻止訪問命令提示符、可移動磁盤禁止寫入或讀取權限、從休眠/掛起恢復時提示輸人密碼、統一使用相同的桌面壁紙、關閉自動播放和驅動程序搜索。

    第五、軟件安裝，在域控制器上統一下發軟件，簡化管理員操作，簡化IT管理流程。

    第六、計算機安全配置:包括密碼長度最小值、密碼最短使用期限、系統服務設置、匿名枚舉、禁用來賓賬戶、設置可匿名訪問的共享、定義防火墻的人站或出站規則、對可信任站點自動安裝ActiveX控件等。

    第七、系統控制腳本編寫:包括系統狀態監控、客戶端狀態收集、用腳本自動分發打印機、自動提升域用戶到本地最高權限組、Out-look自動配置腳本等。

4、安全管理

    針對活動目錄的安全性問題，在浙能集團活動目錄基礎架構的部署中，采用了以下措施進行安全管理。

    (1)全局編錄是一個信息倉庫，它是活動目錄中所有對象的子集，為了活動目錄數據的安全行，項目部署時，為每個站點建立全局編錄服務器。

    (2)對域控服務器、一般服務器和客戶端采取了限制登陸用戶的方式，通過對服務器和客戶端登陸組的控制，保證服務器和客戶端的安全。

    (3)對活動目錄目錄訪問權限進行控制，對于Administrators組中的賬戶給予完全控制，其余賬號只賦予讀取、寫人或者修改權限。

    (4)SYSVOL是域中每臺域控制器上文件系統中的文件夾和重分析點的集合。所以為了安全起見對SYSVOL文件夾進行重定向和修改文件夾的存儲位置。

    (5)控制用戶賬戶的并發登陸，只允許Administrators組中的用戶并發登陸，減少賬號被盜用和病毒利用賬號漏洞的幾率。

    (6)通過組策略，對一些蠕蟲病毒進行清除，確保局域網安全。

5、結語

    活動目錄基礎架構的部署，統一了浙能集團內部信息系統的身份管理、策略管理和安全管理，提高了浙能集團信息系統的管理效率，對整個局域網的安全性有了很大的增強作用，推動了IT管理從基礎階段向標準化階段、合理化階段和動態階段邁進。同時為優化IT基礎架構，進一步推進企業信息化建設打下堅實基礎。在今后浙能集團活動目錄基礎架構的應用中，將著力開發依托活動目錄基礎架構平臺的各種應用系統，注重組策略對于局域網病毒的研究，是應用真正朝著動態化發展。 

核心關注：拓步ERP系統平臺是覆蓋了眾多的業務領域、行業應用，蘊涵了豐富的ERP管理思想，集成了ERP軟件業務管理理念，功能涉及供應鏈、成本、制造、CRM、HR等眾多業務領域的管理，全面涵蓋了企業關注ERP管理系統的核心領域，是眾多中小企業信息化建設首選的ERP管理軟件信賴品牌。

轉載請注明出處：拓步ERP資訊網http://www.guhuozai8.cn/

本文標題：系統信息化活動目錄基礎架構在浙江省能源集團的應用

本文網址：http://www.guhuozai8.cn/html/consultation/1083933510.html