淺談活動目錄的商業價值與特性

時間  2021-08-13
標籤 前端 數據庫 後端 安全 服務器 網絡 負載均衡 分佈式 ide 工具 欄目 快樂工作 简体版
原文   原文鏈接
 
 
 
     
隨着信息化時代的到來,人類愈來愈感覺到信息產業所帶來的巨大的經濟效益。對於在商業運做中保持競爭力而言,網絡化計算變得比以往任什麼時候候都更爲重要。爲此,就要求現代化的操做系統具備管理存在於構成網絡環境所需分佈式資源中的一致性和關聯性的機制。目錄服務提供必定空間,用於存儲與基於網絡的實體相關的信息,例如應用程序、文件、打印機和人員等。同時,該服務也提供用於命名、描述、定位、存取、管理、備份、以及保證獨立資源信息安全性的一致性方法。
 
關鍵字: 活動目錄,域,域控制器,對象,組織單位,站點
Abstract
 
Keywords: Active Directory, Domain, Domain Controller, Object, Organizational Unit, Site
 
 
1. 活動目錄概述
 
1. 1 什麼是活動目錄
活動目錄是Windows 2000網絡體系結構中一個基本且不可分割的部分。它在Windows NT 4.0操做系統的域結構基礎上改進而成,並提供了一套爲分佈式網絡環境設計的目錄服務。活動目錄使得組織機構能夠有效地對有關網絡資源和用戶的信息進行共享和管理。另外,目錄服務在網絡安全方面也扮演着中心受權機構的角色,從而使操做系統能夠輕鬆地驗證用戶身份並控制其對網絡資源的訪問。同等重要的是,活動目錄還擔當着系統集成和鞏固管理任務的集合點。
總的來講,活動目錄的這些功能使組織機構能夠將標準化的商業規則貫徹於分佈式應用和網絡資源當中,同時,無需管理員來維護各類不一樣的專用目錄。以下圖(1-1)所示:
clip_p_w_picpath002
圖(1-1)
活動目錄提供了對基於Windows的用戶帳號、客戶、服務器和應用程序進行管理的惟一點。同時,它也幫助組織機構經過使用基於Windows的應用程序和與Windows相兼容的設備對非Windows系統進行集成,從而實現鞏固目錄服務並簡化對整個網絡操做系統的管理。公司也可使用活動目錄服務安全地將網絡系統擴展到Internet上。活動目錄所以使現有網絡投資升值,同時,下降爲使Windows網絡操做系統更易於管理、更安全、更易於交互所需的所有費用。
 
1.2 爲何要提供目錄服務
對更增強大、透明且高度集成的目錄服務的不斷需求是由爆炸性增加的網絡計算所致使的。隨着局域網(LAN)、廣域網(WAN)規模與複雜性的不斷提升和這些網絡不斷被連入Internet,以及應用程序對網絡的依賴程度不斷加強並不斷被連接到協做企業網中的其它系統上,對目錄服務的需求也日漸增多。基於下列緣由,目錄服務成爲擴展的計算機系統中最重要的部件之一。
 
集中管理:活動目錄集中組織和管理網絡中的資源信息。活動目錄比如一個圖書館的圖書目錄,圖書目錄存放了這個圖書館的圖書信息,便於管理。Windows 2003的活動目錄就是Windows網絡這個「圖書館」的一個「目錄」,經過它能夠方便地管理各類網絡資源。
便捷的網絡資源訪問:活動目錄容許用戶一次登錄網絡就能夠訪問網絡中的全部該用戶有權限訪問的資源。而且,用戶訪問網絡資源時沒必要知道資源所在的物理位置。活動目錄容許快速、方便地查詢網絡資源。網絡資源主要包含用戶賬戶、組、共享文件夾、打印機等。
可擴展性:活動目錄具備強大的可擴展性。目錄能夠隨着公司或組織的增加而一同擴展,容許從一個網絡對象較少的小型網絡環境發展成大型網絡環境。
目錄服務兼任管理工具和用戶工具。隨着網絡中對象數量的增長,目錄服務變得必不可少。目錄服務在一個龐大的分佈式系統中發揮着網絡集線器的做用。致力於這些需求,Windows 2000 服務器版引入了活動目錄——即一套用於改進Windows網絡操做系統管理、安全性和互操做性的完整的目錄服務集。
 
1.3 安裝活動目錄所須要的軟件和硬件平臺。
建立域必須先安裝一臺域控制器(DC),DC上存儲着域中的資源信息,如名稱、位置和特性描述等信息。經過在一臺服務器上安裝活動目錄,就會將這臺計算機安裝成DC。
一臺計算機要安裝成DC,必須具有如下幾個條件:
* 安裝者必須具備本地管理員權限
* 操做系統版本必須知足條件(Windows Server 2003 除Web版外都知足)
本地至少有一個分區是NTFS文件系統
* 有TCP/IP設置(IP地址、子網掩碼等)
* 有相應的DNS服務器支持
* 有足夠的可用空間
當知足以上幾個條件後,就能夠安裝活動目錄了。
 
2. 活動目錄的商業價值與特性
 
2.1 提升了企業用戶的工做效率
 
2.1.1企業網絡打印機的部署
 
1、企業所面臨的問題:
* 普通用戶不會安裝。
* 安裝過程當中不知道打印機的IP,打印服務器等安裝信息。
* 一臺物理打印機壞了,不知道若是鏈接到另外一臺物理打印機上。
 
2、通常的解決方法:
* 管理員幫助安裝。
* 遠程運行腳本。(須要必定的技術)
* 藉助昂貴的管理軟件實現。(第三方軟件)
 
3、AD環境下實現的方法:
(1)、管理員在打印服務器上安裝多臺打印機,網絡拓撲圖以下圖(2-1)。(具體安裝過程略)
clip_p_w_picpath004
圖(2-1)
注意:
一、可設置多臺打印機鏈接到一臺打印設備上。
二、打印優先級的設置要合理。
三、打印機的共享名以及註釋要代表打印機的物理位置,其次屬於哪一個部門。
四、打印機使用的權限要設置合理,好比說公司裏各個部門主管對本部門的物理打印機具備管理權限,只須要將各部門主管加入到一個創建好的全局組,而後將全局組加入本地域組Print Operators中。注:對於DC上安裝的打印機,Print Operators組裏的組或用戶默認具備管理的權限。以下圖(2-2)所示:
clip_p_w_picpath006
圖(2-2)
 
其次要對其它全部員工設置打印的權限。可使用AGDLP規則。好比說將公司裏各個部門裏的員工加入各自對應的全局組,而後將各個部門的全局組加入到一個本地域組,而後給本地域組賦予打印的權限。以下圖(2-3)所示:
clip_p_w_picpath008
圖(2-3)
 
(2)、在活動目錄中發佈打印機。打印機發布到活動目錄後,就能夠進行統一組織和管理。其餘域用戶在加入域的客戶機上能夠經過「網上鄰居」中的「搜索 Active Directory」來進行搜索,爲了提升查找速度,能夠在活動目錄的對象中設置針對「打印機」進行搜索。(注:若是「網上鄰居」中沒有「搜索 Active Directory」,則須要設置資源管理器的「工具」→「文件夾選項」→「常規」→「任務」,勾選「在文件夾中顯示常規任務」)
 
(3)、在成員客戶機上添加網絡打印機。域用戶搜索到全部打印機以後,能夠選中所須要的打印機,好比說,你是工程部裏的員工,你只須要從搜索的選項中選擇工程部裏的打印機,而後單擊鼠標右鍵,選擇「鏈接」便可。不須要記憶打印服務器的IP地址了。辦公效率顯然獲得提升。(注:爲了查看是否已安裝上了網絡打印機,能夠在「開始」→「設置」→「控制面板」→「打印機和傳真」裏進行查看。)若是你是一位售前人員,常常在公司裏各個部門裏走動。只要有必定的權限也能夠經過搜索活動目錄鏈接到其餘打印機上。以下圖(2-4)
clip_p_w_picpath010
圖(2-4)
 
4、安裝AD以後的優點:
* 域用戶不須要太深的技術,就能夠經過簡單的方法快速部署網絡打印機。
* Print Operators組裏的組或管理者可以更加方便地管理本地打印機和網絡打印機。
* 因爲打印機的具體信息都儲存在AD數據庫中,提升了查詢的速度。
 
2.1.2 用戶信息方便、快速查詢
 
1、企業所面臨的問題:
2 主管或員工須要快速查詢其餘員工的電話號碼或其它信息。
2 須要根據簡單的關鍵字,好比「姓名」進行查找。
2、通常的解決方法:
2 使用excel、word或者其它的軟件作電子錶,查找方法不是很靈活。
2 使用內部網站發表電話表,不過要隨時更新,帶來很多麻煩。
2 將須要的資料打印出來分發到各個部門,查找起來更爲不便。
3、AD環境下實現的方法:
(1)、安裝Exchange郵件服務器,爲全部域用戶創建郵件帳戶,所有用戶的郵件名稱能夠以姓名拼音填寫。好比說域用戶名叫郝俊峯,域名爲benet.com,就能夠命名爲: [email]haojunfeng@benet.com[/email]
(2)、域中用戶除了普通查找其它同事的信息外,還能夠經過Outlook Express裏的聯繫人進行查找。管理員查找工程部主管的信息,除了在活動目錄裏進行查找以外,還能夠直接用鼠標經過雙擊聯繫人「工程部主管」進行查看。同時,工程部主管也能夠隨時更新本身的信息。以下圖(2-5)所示:
clip_p_w_picpath012
圖(2-5)
 
安裝AD以後的優點:
2 管理人員或者員工不須要再花費大量的時間去查用戶資料。
2 用戶的資料能夠獲得隨時更新,避免了及時聯繫不到同事所帶來的沒必要要的麻煩。
2 避免了打印過多的資料,節約了成本。
2.2 加強了整個網絡系統的安全性 2.2.1加強員工安全策略的設置
1、企業所面臨的問題:
2 用戶使用的賬號密碼過於簡單、不符合複雜性要求。
2 默認狀況下,任何人均有徹底訪問權限。
2 用戶常常忘記密碼,給網絡管理員帶來了必定的負擔。
 
2、通常的解決方法:
2 由網絡管理員給用戶指定密碼,或是用戶把密碼集中起來告訴給網絡管理員進行修改。
2 數千臺計算機的密碼修改會引來安全問題。
2 用戶常常把一些複雜的密碼寫在小紙條上,而後貼在本身的電腦桌上或其餘隱蔽的地方,形成了一些不安全的隱患。
 
3、AD環境下實現的方法:
(1)、普通域用戶的域安全策略的設置。打開「開始」→「程序」→「管理工具」→「域安全策略」→「安全設置」→「賬戶策略」,而後設置密碼策略,賬戶鎖定策略以及Kerberos策略。以下圖(2-6)
clip_p_w_picpath014
圖(2-6)
好比說能夠設置域用戶密碼必須符合複雜性要求,密碼長度最小值爲7位,賬戶鎖定閾值爲5次(避免了一些***遠程試探密碼)等等。除此以外還有設置用戶的一些權利分配,好比說不容許普通域用戶更改系統時間,遠程關機等等。
(2)、在默認域安全設置裏更改加入域的全部計算機管理員用戶名(針對客戶機生效),以下圖(2-7)所示,避免了一些***猜想用戶名的手段。同時也能夠取消在啓動登錄時顯示上一次登錄的用戶名。以下圖(2-8)所示。
clip_p_w_picpath016
圖(2-7)
clip_p_w_picpath018
圖(2-8)
 
4、安裝AD以後的優點:
* 管理員只須要在域安全策略裏進行設置就可讓全部加入域的成員計算機生效,減小了管理負擔。
* 除此以外,還有更多的域安全設置,管理員能夠針對企業的需求自行選擇。
 
2.2.2防病毒服務器的部署
 
1、企業所面臨的問題:
* 單機版的防病毒軟件查殺病毒能力較差,得不到及時的更新。
* 企業中一臺計算機感染就可能致使其它全部計算機感染。
* 管理員不能集中管理,只能逐一查殺病毒。
 
2、通常的解決方法:
* 管理員從網上下載更新的病毒庫,而後分發給每臺客戶機進行病毒庫的更新。
* 常常地還原系統,恢復到正常的狀態。
 
3、AD環境下實現的方法:
當前的網絡防病毒系統有好多,這裏以一款主流的網絡防病毒系統Symantec AntiVirus 9.0企業版爲例進行介紹,更多的介紹它如何和活動目錄結合在一塊兒的。
(1)、首先安裝Symantec AntiVirus服務器程序,其次安裝Symantec系統中心,再次配置網絡防病毒系統爲一級服務器,最後安裝Symantec AntiVirus 客戶端。(具體詳細過程略)圖(2-9)是Symantec AntiVirus服務器組
clip_p_w_picpath020
圖(2-9)
 
(2)、啓動病毒歷史記錄和事件日誌管理,能夠集中查看網絡上的病毒和其餘威脅活動以及掃描狀況。以下圖(2-10)所示:
clip_p_w_picpath022
圖(2-10)
 
(3)、Symantec AntiVirus 預設了使用於大多數用戶的防病毒策略,用戶能夠根據我的須要調整設置,能夠設置爲自動防禦、手動掃描、調動掃描等,以下圖(2-11)、(2-12)、(2-13)所示:
clip_p_w_picpath024
圖(2-11)
clip_p_w_picpath026
圖(2-12)
clip_p_w_picpath028
圖(2-13)
 
(4)、可針對服務器和客戶端的防病毒策略進行設置,好比說啓用客戶端自動防禦功能,並鎖定該功能,不容許客戶進行配置和更改等等。以下圖(2-14)所示:
clip_p_w_picpath030
圖(2-14)
 
(4)、利用Symantec 系統中心爲服務器以及客戶端實施病毒升級,防病毒服務器能夠鏈接到Symantec系統中心的LiveUpdate 服務器下載新的病毒定義,服務器在網絡非繁忙階段將其推送到它們管理的防病毒客戶端。
 
4、安裝AD以後的優點:
* 防病毒服務器與活動目錄結合能夠部署多臺防病毒服務器而後鏈接到多臺防病毒客戶端,更加有利於病毒庫更新以及客戶端的病毒的查殺工做的進行。
* 掃描策略的設置不須要管理員的干預就能夠在規定的時間給客戶端查殺病毒,增長了必定的靈活性。
* 服務器和客戶端的防病毒策略的設置能夠禁用普通用戶一些功能的設置,更加有利於客戶端的管理。
 
2.3 更容易訪問文件的方法;更可靠,更少的宕機時間 2.3.1 DFS文件服務器的部署
 
1、企業所面臨的問題:
* 在大多數環境中,共享資源在多臺服務器上的各個共享文件夾中。要訪問資源,用戶必須記住多條共享文件夾的路徑,很不方便。
* 因爲多臺服務器上共享資源過多,缺少集中的管理,管理上帶來太多的不便。
2、通常的解決方法:
* 用戶訪問多臺服務器上的共享資源時,必須輸入每臺服務器的IP地址或者計算機名,好比說 \\172.16.3.5\或\\benet-pc1\
* 網絡管理員管理共享資源時,需鏈接到每臺服務器進行管理,帶來了不便,同時也爲服務器的安全形成了必定的隱患。
3、AD環境下實現的方法:
(1)、在任何一臺域成員服務器上建立基於域的DFS根目錄。具體建立方法爲:「開始」→「程序」→「分佈式文件系統」→「操做」→「新建根目錄」→而後按照新建根目錄嚮導進行建立。
注意:
一、選擇根目錄類型爲域根目錄。(域根目錄支持自動複製並使用Active Directory 存儲DFS配置。)
二、建立完根目錄以後,而後新建鏈接,將全部共享的目錄所有掛載上去就能夠了。
三、用戶能夠經過訪問DFS根目錄就能夠訪問其餘全部掛載上
的共享文件。以下圖(2-15)所示。每一個部門的資料在每一個部門的服務器上。只是邏輯上鍊接到了一塊兒。
clip_p_w_picpath032
圖(2-15)
 
四、注意各部門文件夾權限的設置。好比說你時財務部的員工,想訪問經理部內部資料,就會出現下面圖(2-16)所示的結果。
clip_p_w_picpath034
圖(2-16)
 
(2)、管理員可在AD中發佈DFS根目錄,而後經過管理DFS根目錄來管理其餘服務器上共享的文件。
注意:若是企業規模比較大,每一個部門員工比較多,能夠爲每一個部門建立一個基於域的DFS根目錄。
4、安裝AD以後的優點:
* 用戶不須要再記憶過多的服務器路徑就能夠經過根目錄進行訪問,給工做上帶來了許多便利。
* 管理員只須要管理域DFS根目錄就能夠管理全部服務器上的共享文件夾,管理上更加駕輕就熟。
 
2.3.2 使用基於域的DFS負載均衡
1、企業所面臨的問題:
* 網絡中的文件服務器在有的時候不當心宕機了,管理員每每須要很長的時候才能恢復文件服務器的正常運做。
* 企業員工在文件服務器宕機以後不能及時訪問共享的文件,給工做帶來不便。
2、通常的解決方法:
* 管理員從備份中恢復服務器,恢復中資源不可用。
* 普通用戶花時間處處找資料,耽誤工做時間。
3、AD環境下實現的方法:
(1)、在搭建好的域DFS根目錄上選擇「新建根目錄目標」而後按嚮導選擇另一臺服務器做爲根目錄目標。(也能夠選擇多臺服務器)
(2)、創建好以後,根目錄裏共享的文件就能夠在根目錄目標所選擇的服務器裏進行自動文件複製。以下圖(2-17)所示:
clip_p_w_picpath035
圖(2-17)
 
(3)、從下圖(2-18)能夠看出全部文件服務器上存放的共享目錄都存在於兩臺DFS服務器根目錄裏。
clip_p_w_picpath038
圖(2-18)
 
4、安裝AD以後的優點:
* 基於域的DFS根目錄在多個服務器之間具備自動複製文件的功能,給數據備份帶來了方便。
* DFS根主服務器宕機了,其餘的DFS根副服務器能夠接替DFS根主服務器的工做,不會影響員工的正常訪問。管理員也有足夠的時間去維護。
* 用戶能夠經過網上鄰居搜索活動目錄,找到本身所須要的共享目錄。
* 當用戶須要在文件服務器上下載文件時,活動目錄站點和DFS能夠自動幫用戶選擇最近的服務器下載。
 
2.4 減小了IT管理負擔與成本 2.4.1利用GPO實現軟件分發策略
 
1、企業所面臨的問題:
* 網絡管理員在佈置域中的軟件時,經常會遇到要在多臺計算機上對軟件進行安裝、修復、卸載和升級操做。若是在每臺計算機上重複這些操做,工做量大,還容易出錯。
* 普通用戶在使用軟件時每每誤操做形成軟件不能正常使用。
* 一些普通用戶不會安裝軟件,也不知道須要的軟件在哪?
2、通常的解決方法:
* 管理員對每臺機子進行安裝、修復、卸載和升級操做。
* 管理員寫安裝步驟或是給用戶進行培訓。
* 電話支持。
3、AD環境下實現的方法:
(1)、管理員將員工必需安裝的軟件包(必須時.msi文件,以及必要的相關安裝文件,安裝其餘格式的文件必需經過第三方軟件實現)經過GPO指派出去。
(2)、其它域用戶只要登錄到域上,指派的軟件包就會自動安裝,並出如今「開始」菜單裏。以下圖(2-19)所示:
clip_p_w_picpath040
圖(2-19)
(2)、也能夠選擇「發佈」軟件包。當用戶登錄到計算機時,發佈的程序顯示在「控制面板」→「添加或刪除程序」中。用戶根據本身的須要選擇安裝那個軟件。不過指派比發佈更具備強制性。
4、安裝AD以後的優點:
* 管理員只須要指派所須要的軟件,即可強制安裝到指定的成員計算機或OU上。
* 對於發佈的軟件包,用戶在控制面板裏能夠自行選擇安裝所須要的軟件,給用戶帶來更多的使用空間。
 
2.4.2 用戶端管理
1、企業所面臨的問題:
* 用戶端的管理能夠說是網絡管理中成本至關高的一部分,給企業經濟上帶來必定的負擔。
* 各類用戶的需求,佔用管理員大量的時間。
* 效率低,不易維護。
2、通常的解決方法:
* 給每臺客戶機進行設置安全策略。
* 公司嚴格制定一些規章制度進行管理。
3、AD環境下實現的方法:
(1)、針對每一個部門創建屬於他們本身的OU,而後爲每一個OU創建一個全局組,將部門裏的全部域用戶加入到全局組裏,最後將全部全局組加入到本地域組裏,而後給本地域組賦予權限將影響到全部的域成員。(AGDLP規則)。以下圖(2-20)所示:
clip_p_w_picpath042
圖(2-20)
(2)、組策略的設置。好比說要禁用用戶修改公司的主頁,使用「控制面板」,「運行「窗口,「安全設置」,「修改桌面背景」……好比說針對發展部門設置的組策略:阻止更改桌面牆紙。組策略生效以後,全部發展部門裏的員工用本身的域賬戶登錄到域控制器時,都不能更改桌面牆紙。以下圖(2-21)所示:
clip_p_w_picpath044
圖(2-21)
也能夠針對發展部計算機進行策略的設置。(注意:全部策略的設置遵循LSDOU原則)
4、安裝AD以後的優點:
* 管理員只須要在活動目錄上設置相應的組策略,便會影響到必定範圍內的用戶或計算機。
* 策略設置以後,普通用戶在每臺計算機上也只是有僅需的權限,只有這樣,才能將更多的時間用在工做上。
2.4.3 任務的委派
1、企業所面臨的問題:
* 部門主管但願對本部門的員工信息進行管理。
* 分公司管理員須要管理分公司的IT信息。
2、通常的解決方法:
* 管理員會創建一些額外的管理用戶對員工信息進行管理。(權限不易控制,將會引發很多的麻煩)
* 普通員工常常會打電話尋求幫助。
3、AD環境下實現的方法:
(1)、利用活動目錄的委派功能爲每個部門主管委派必定的權限。好比說:建立、刪除以及管理用戶賬戶……以下圖(2-22)、(2-23)所示:
clip_p_w_picpath046
圖(2-22)
clip_p_w_picpath048
圖(2-23)
(2)、管理員若是想取消某個主管的權限,能夠先啓用「Active Directory用戶和計算機」→「查看」→「高級功能」,右擊制定的OU「屬性」→「安全」→「高級」→「權限」,選擇委派了任務的賬戶條目,單擊「刪除」按鈕便可。
4、安裝AD以後的優點:
* 爲管理員分擔管理上的負擔,也提升了工做效率。
* 各部門主管具備了必定的權限,可以更好的管理本部門裏的域用戶。
 
2.5 與應用程序的集成
2.5.1 與Windows 網路服務集成
1、企業所面臨的問題:
* 衆多服務管理較複雜。
* 某些服務的管理問題,如DHCP、DNS……。
2、通常的解決方法:
* 獨立地管理各服務,給管理者形成了必定的負擔。
* 服務功能較單一,不能和其餘服務緊密地結合到一塊兒。
3、AD環境下實現的方法:
(1)、安裝DHCP服務器,而後利用管理員權限在活動目錄裏進行正式註冊。註冊以後,其它用戶安裝的DHCP服務器,只要沒有在活動目錄裏註冊,就會被屏蔽掉。
(2)、在安裝活動目錄的過程當中同時安裝DNS,DNS在此過程當中起到兩大做用:一、定位DC。二、域名的命名採用DNS標準
4、安裝AD以後的優點:
* 經過與AD集成爲網絡服務提供額外的控制功能。
* 經過活動目錄更好的管理Windows網絡服務。
2.5.2 與應用集成
1、企業所面臨的問題:
* 衆多應用管理較複雜
* 應用管理如何優化,好比說Exchange、ISA、Live Communication、SMS、第三方軟件SAP……
2、通常的解決方法:
* 經過網絡郵件服務器進行郵件的存儲,安全性較低,沒法管理。
* 下載一些功能簡單的網絡防火牆進行網絡的過濾。如天網、瑞星網絡防火牆等
* 經過簡單的聊天工具進行技術的交流,如騰訊的QQ、電信的飛信等。
3、AD環境下實現的方法:
(1)、經過活動目錄將Exchange和Live Communication集成在一塊兒,而後能夠發送電子郵件的時候,你就能夠看到對方是否在線。若是對方在線就能夠發送及時消息。在此過程當中,能夠利用活動目錄進行聊天存檔,遠程管理等。以下圖(2-24)所示:
clip_p_w_picpath050
圖(2-24)
 
(2)、經過活動目錄利用ISA Service防火牆制定Web服務器發佈規則、郵件服務器發佈規則,FTP服務器的發佈規則以及其它一些服務器的發佈規則。以下圖(2-25)所示:
clip_p_w_picpath052
圖(2-25)
 
(3)、全部的應用服務均可以放到活動目錄裏集中存儲,而後經過一些活動目錄管理工具對它們進行集中管理。如圖(2-26)
clip_p_w_picpath054
圖(2-26)
 
4、安裝AD以後的優點:
2 經過活動目錄與應用集成簡化管理。
2 極大的下降了管理和運營成本。
2 普通用戶使用各個服務器提供的服務更加靈活、方便。
 
3 活動目錄成功使用的案例分析
3.1 微軟Windows Server 2003平臺幫助李寧公司優化IT管理
1、背景狀況
李寧公司成立於 1991 年,爲中國領先的體育用品的創造企業,也是一種健康生活方式的傳播者、推進者。李寧牌系列產品贏得了衆多榮譽,成爲 1991 年以來中國體育表明團參加歷次重大國際比賽的專用裝備,李寧牌服裝和運動鞋系列不只被推選爲中國明星產品,並且被評爲全國服裝行業十大名牌之一。
李寧公司自 2004 年 6 月 28 日正式在香港主板市場上市後,公司步入了一個新的快速發展階段,鞏固了在中國的體育用品市場中的領導地位。
李寧公司不只是體育用品行業的領導者,在信息化建設上,也是同行業的領航者。 1999 年 2 月,李寧公司率先在服裝行業中開始建設先進的 ERP 系統,對主要的關鍵業務優化了流程,下降了管理成本,並將業務系統化。 2002 年,李寧公司開始進行 E-POS 系統建設,在原有的銷售點 POS 的基礎上進一步改形成電子化的零售管理系統。
信息技術的實施,目的在於簡化企業的經營管理流程,並有效下降企業的總體擁有成本( TCO ),從而增長企業利潤,加強企業的市場競爭力。企業在 IT 系統發展到必定規模以後,每每會陷入 IT 管理的困難。爲此,計世資訊( CCW Research )的研究人員,訪問了李寧公司的 IT 管理人員,試圖經過對李寧公司優化計算環境,提升 IT 價值的經驗進行總結和分析,爲更多的企業用戶改善 IT 管理提供參考。
2、解決方案
2008 年奧運會在中國的舉辦,爲中國本土的體育用品供應商提供了史無前例的發展契機,爲了應對業務迅速發展的挑戰,李寧公司加大了信息化建設的力度,這其中也包括對公司總體辦公環境的管理改善。目前,李寧公司的總體 IT 應用環境很是龐大,包括多種業務系統,以及分佈在全國各分支機構的數千臺 PC 和其餘終端。龐大的 IT 應用環境使得公司在 IT 管理上也十分複雜,系統補丁的更新、硬件和軟件資源的部署、各個部門及員工的權限分配和管理都成了一個很是棘手的問題。
爲了優化公司 IT 系統的管理,李寧公司於 2005 年,在微軟公司及其合做夥伴 恆逸軟件(上海)有限公司 的支持下,在企業中部署了 Windows Server 2003 平臺,並參照 IT 管理的最佳實踐經驗,進行了 IT 系統的優化和整合。
1. 增強補丁和防病毒管理
公司使用微軟的 SMS 軟件來對統一管理補丁和防病毒軟件, SMS 軟件自動完成公司內部數千臺 PC 以及終端的軟件更新、補丁部署以及防病毒軟件的管理工做,大大簡化了以往由信息管理人員才能完成的工做
2. 實施統一的域和權限管理
公司在微軟 Windows Server 2003 的系統平臺上,使用 AD (活動目錄)對域和用戶權限進行統一管理。方案採用單域設計,即在全國範圍內只設置一個管理域,由 2 臺位於北京的域控制器( DC )管理。單個域的設計能夠簡化域的管理,下降了投入成本。
3. 簡化應用軟件複雜性
李寧公司在簡化 IT 系統的複雜性方面,下了很大力氣。公司的服務器平臺採用 Windows Server 2003 ,統一採購並部署了微軟的桌面系統和辦公軟件 Office 等應用軟件,前端和後端的產品因爲都由微軟公司提供,大大下降了軟件應用的複雜性。
4. 利用系統管理軟件
恆逸軟件爲李寧公司部署了 SMS ( Systems Management Server ), 實施資產管理、安全補丁的分發、應用部署、 移動設備管理和應用使用狀況追蹤等,替代這些以往由信息管理人員手工來完成的工做。
5. 選擇外包服務
在外包服務上,李寧公司將辦公環境中的軟、硬件維護都外包給專業的 IT 技術服務商,李寧公司本身的 IT 人員,投入到能創造更大價值的業務系統開發、實施和優化中,合理的配置了 IT 資源。
3、優點與收益
經過實施上述的系統優化、整合和增強管理的工做,李寧公司利用 Windows Server 2003 平臺,在 IT 管理方面,獲得了明顯的改進,包括:
大大提升了網絡性能和安全性
公司採用了微軟的 Windows Server 2003 進行網絡管理,經過單一的域管理,能夠明確安全界限,能夠統一實施安全機制策略,從而能夠有效防止機密信息的泄漏。經過單點網絡登陸,管理員能夠管理分散在網絡各處的目錄數據和組織單位,只有通過受權的網絡用戶才能夠訪問網絡指定位置的資源。同時, SMS 軟件的應用,使得軟件更新和防病毒軟件自動、按期的進行,也提升了系統的安全性能。所以,該方案的實施大大提升了公司網絡的性能和安全性。
簡化操做,提升了工做效率
經過創建 AD 和 SMS ,使公司的信息管理人員簡化了平常的操做,提升了工做效率。據李寧公司的相關人員介紹,在設立域管理器以前,公司在全國各地的服務器管理起來十分複雜,常常出現混亂的情況。在通過系統優化和整合以後,不只能夠把全國範圍內的服務器進行統一管理,並且在各個區域、部門和人員的權限分配和處理上明顯簡化了管理流程。系統平臺和應用軟件都採用微軟的產品,也使得用戶下降了使用的複雜性,提升了員工的工做效率。
下降了總體擁有成本
系統的實施簡化了操做,下降了公司的總體擁有成本。統一的權限設置和自動進行的補丁和防病毒管理,大大節省了公司的維護 IT 系統方面的人員支出,而且爲終端用戶提供了更穩定的工做環境。另外,因爲目前有衆多熟悉微軟公司產品的 IT 服務供應商,李寧公司能夠在較低的成本支出狀況下,獲得專業的服務,這是 Linux 沒法比擬的優點。
 
3.2 微軟Windows Server 2003幫助華北戴爾特公司搭建高效的IT系統
 
1、背景狀況
華北戴爾特印刷包裝有限公司(如下簡稱華北戴爾特)成立於1999年,是唐山第一包裝有限公司與英國DELAT印刷包裝有限公司合資組建的大型印刷包裝企業。
通過幾年的快速發展,華北戴爾特已成爲國內印刷品和印刷服務的領先廠商,公司佔地面積27000平方米,員工接近300人,爲國內同行業規模最大的廠商之一,客戶涉及衆多國內外知名企業。華北戴爾特近幾年管理水平獲得不斷的提高,於2005年經過了ISO9001質量管理體系認證;2006年又經過了ISO14001環境管理體系認證。
華北戴爾特的信息化建設開始於2001年,當時只是在公司內部使用PC和一些簡單的應用軟件。隨着公司規模的不斷擴大,在2005年11月初,公司全面啓動了ERP項目。開始經過應用IT技術來幫助企業得到持續的競爭能力和擴大自身業務發展,由於IT技術能夠幫助公司準確地把信息傳達給客戶,並幫助公司控制生產流程,實現及時交貨。
業務的發展和IT系統的擴大,對華北戴爾特公司的IT系統平臺提出了新的需求。如何選擇並搭建公司的IT系統基礎平臺,能夠高效、成熟、低成本地知足公司的信息處理要求呢?華北戴爾特公司開始進行解決方案的規劃。
2、解決方案
華北戴爾特之前的系統平臺爲Windows NT Server4.0,已經沒法知足公司的業務發展須要。在進行系統規劃時,公司考察了兩種不一樣的方案,一種是將NT 4.0升級爲Windows Server2003;另一種是採用Linux平臺。Linux平臺的採購成本比較低,彷佛更有吸引力,可是,考慮到公司的IT人員對Linux產品不熟悉,基於Linux的成熟的解決方案也較少,最終公司選擇了易用性強、維護簡便、具備豐富的解決方案和合做夥伴支持的Windows Server 2003,開始將Windows NT Server 4.0升級,並基於此平臺,構建公司的信息系統。
在微軟合做夥伴北京元恆時代公司(如下簡稱元恆時代)的支持下,2005年12月,華北戴爾特成功將系統平臺由NT4.0升級爲Windows Server 2003。公司的數據存儲採用SQL Server2000,桌面系統採用Windows XP。
華北戴爾特具備多臺運行Windows Server 2003平臺的服務器,其中有一臺做爲域控制器,爲整個公司的系統服務。在進行此服務器系統升級前,元恆時代協助公司檢查了原先服務器的硬件配置和NT 4.0系統的補丁狀況。在系統升級後,元恆時代又幫助公司擴展了網絡的AD(活動目錄),應用新的組策略。在一個星期的運行過程當中,元恆時代對網絡情況進行了詳細的監控,重點檢查了域控制器策略、安全設置、本地策略、數字簽署通訊中的組策略和賬戶鎖定等設置,確認用戶由NT 4.0平滑升級至Windows Server 2003。
3、優點與收益
系統平臺安全可靠
Windows Server 2003爲製造行業提供了安全穩定的系統平臺。在使用了Server2003後,華北戴爾特的網絡管理員賈海風說:「Server2003的安全性能和系統穩定性比NT4.0有了很大提升,系統的漏洞比之前少了不少,系統也很是穩定,幾乎不多須要從新啓動。」
系統性能獲得明顯提高
Windows Server 2003的性能比NT4.0有了很大提升,不只支持網絡負載平衡,能夠在羣集中各個結點之間平衡傳入的IP 通信;集成的AD(活動目錄)更能夠有效、快速地爲各個部門和用戶分配相關權限;Server2003還集成了IIS6.0(Internet Information Service),能夠更安全地在Web 上執行各類業務。
系統操做簡便,易於管理,提升了工做效率
「咱們當初選擇了將系統升級爲Windows Server2003,沒有選擇Linux平臺,主要緣由就是Server2003操做簡單,管理人員比較熟悉,上手很快,管理起來也很方便。」 賈海風說,「公司目前的IT系統已經具備了必定的規模,目前咱們的網絡管理人員僅有兩人,就能夠保障系統的安全運轉。」Windows Server 2003新增了Microsoft 軟件更新服務 (SUS)和服務器配置嚮導等自動管理工具來幫助實現自動部署;新的組策略管理控制檯 (GPMC) 也使得管理組策略更加容易。
大大下降了用戶的使用成本
與Unix/Linux平臺相比,Windows Server 2003平臺應用程序兼容性很是好,並且有衆多的應用軟件和合做夥伴支持,大大下降了用戶建設和應用IT系統的總體擁有成本,尤爲是對於製造行業用戶。
 
 
3.3 微軟Windows Server 2003平臺幫助北京西伯爾通訊科技有限公司快速發展
 
北京西伯爾通訊科技有限公司(如下簡稱西伯爾通訊)成立於2003年,註冊資金4000萬。公司主要從事面向3G的核心增值服務、基於WCDMA和CDMA-EVDO的移動通訊設備及無線通訊模塊等業務。公司在管理方面十分規範,於2005年經過ISO9001國際質量管理體系認證,現有員工600多人。
西伯爾通訊的信息化建設在開始階段只是PC的簡單應用,隨着公司業務的拓展和市場形式的變化,原有的系統已經難以知足公司的須要,主要表如今兩個方面:
一是國內的電信增值市場競爭激烈。隨着我國加入WTO,國外的電信運營商也進入到國內的電信市場,本來競爭激烈的電信增值市場競爭將更加激烈。
西伯爾通訊自身的業務也在不斷擴展,公司在近年取得了良好的銷售業績,自身規模也在逐漸擴大,原有的信息平臺難以適應公司快速發展的須要。
在這種狀況下,西伯爾通訊決定從新組建公司的信息化平臺,努力搭建一個快速、有效、簡便易用的平臺。
2、解決方案
在平臺的選擇上,西伯爾通訊通過了慎重的考慮,決定採用Windows Server 2003做爲系統平臺。公司信息管理部門的吳東志說:「咱們選擇了Windows Server 2003,是由於咱們一直在使用Windows平臺,對其比較熟悉,並且系統平臺維護起來比較簡便,系統很是穩定。」
在微軟的合做夥伴北京元恆時代公司的支持下,西伯爾通訊於2005年初,搭建了以Windows Server2003爲平臺的信息化系統,前端的桌面使用微軟的Windows XP和Office辦公軟件。在Windows Server 2003平臺上,公司還使用ISA Server 2000做爲防火牆,員工上網統一經過ISA Server 2000。
做爲通信服務提供商,西伯爾通訊在開發各類項目時,尤爲是中小項目時,採用的也是微軟的開發工具。產品研發部門的劉彩俊說:「咱們在產品開發上,前端使用ASP.net,後臺數據庫使用SQL Server2000,產品開發的週期短,開發人員不多,可是項目開發順利,容易實現,開發的界面友好,用戶很容易接受。」
3、優點與收益
西伯爾通訊搭建了以Windows Server2003爲平臺的系統,大大提升了公司的信息管理水平,同時使用微軟產品來進行項目開發也爲用戶提供了良好的產品體驗,實現了共贏。具體來講,爲公司帶了如下收益:
Windows平臺操做簡單,管理方便
西伯爾通訊的系統平臺所有采用Windows Server 2003,Windows平臺保證了用戶在操做上的簡單和便利,提升了管理效率。「應用了Windows Server 2003後,用戶感受使用很是便利,操做簡單,效率很高,」 西伯爾通訊信息中心的吳東志說:「這種操做的簡化,也爲公司節省了大量的人力成本,公司的服務器和PC,均由我本身一我的來維護,因爲系統平臺的穩定,平常的維護工做量並不大。」
網絡安全性能可靠穩定
公司採用Windows Server 2003後,網絡的安全性能也有了很大的提升,網絡的安全性再也不是西伯爾通訊擔憂的問題。在用戶上網方面,經過設置ISA Server 2000的三個層次和45種報警方式,能夠安全可靠地過濾各類信息,系統十分穩定,不多出現問題。
提供了良好的客戶體驗
對於一家以提供服務的公司來講,客戶對其產品和服務的反映就是對公司最好的評價,在這方面,西伯爾通訊贏得了客戶很好的口碑。
公司內部的信息化平臺採用了Windows Server 2003,同時在項目開發上也採用了微軟的產品,如SQL Server、ASP.net等。公司內部使用微軟產品也給項目開發帶來了不少經驗,在產品開發上也更駕輕就熟,在產品的界面設計、流程規劃等方面更能知足客戶的需求,爲客戶帶來更好的切身體驗,增長了客戶產品價值。
「客戶對於咱們採用ASP.net和SQL Server設計的產品很是滿意,認爲界面美觀、人性化,操做方便,符合以往的操做習慣,這也給了咱們莫大的信心和鼓舞,咱們從此還會有更多采用微軟開發軟件進行設計的產品,爲用戶帶來更多、更好的產品體驗。」 劉彩俊說到。
更多成功案例請訪問: [url]http://www.microsoft.com/china/[/url]
 
4 總結與展望
今天,關於人員、應用程序和資源的信息遍及於大多數企業的信息系統之中。網絡已從對互聯設備的鬆散集成發展爲由相互依存的資源所組成的複雜生態系統。爲此,網絡操做系統所要提供的服務將遠遠不止是簡單的文件共享與打印服務。網絡操做系統目前須要對分佈式網絡資源間的關係進行透明化管理。
因爲目錄服務提供這些基礎的網絡操做系統功能,它必須與用於管理和提供安全性的操做系統機制緊密結合在一塊兒,從而保證網絡的完整性和保密性。基於Windows 域中的活動目錄服務爲管理和保護Windows的用戶賬號、客戶及應用程序提供了一個焦點。此外,活動目錄被設計成能與現有系統、應用程序及設備中的非Windows目錄相兼容,以提供單一的空間和穩定的方式來管理整個網絡基礎結構。這樣,活動目錄經過減小管理員管理目錄信息所需的空間以使組織機構現有的投資獲得升值,同時,全面下降電算化成本。
 
參考文獻
一、 活動目錄的介紹:
二、 使用活動目錄的條件
三、 活動目錄與域的結合
四、 打印服務器的部署方法
五、 域安全策略的設置
六、 防病毒服務器Symantec AntiVirus的部署
七、 活動目錄的軟件分發策略
八、 活動目錄的任務委派功能
九、DFS文件服務器的部署
相關文章
相關標籤/搜索
每日一句
    每一个你不满意的现在,都有一个你没有努力的曾经。
本站公眾號
   歡迎關注本站公眾號,獲取更多信息
聯繫我們 最近搜索 最新文章 沪ICP备13005482号-10 MyBatis教程 SQL 教程 MySQL教程 Java 教程 Thymeleaf 教程 Hibernate教程 Spring教程 Redis教程