某公司 微軟System Center整體方案建議書(shū)

1 限公司 微軟 體方案建議書(shū) 2 目錄 1 項(xiàng)目背景 司 經(jīng)過(guò)多年的信息化建設(shè)，已經(jīng)取得了較有成效的建設(shè)， 包括基本的 礎(chǔ)架構(gòu)建設(shè)，包括基礎(chǔ)網(wǎng)絡(luò)、安全防病毒、 基本的補(bǔ)丁管理、數(shù)據(jù)備份等，以及一系列內(nèi)部應(yīng)用系統(tǒng)。 但是，隨著 司 的信息化建設(shè)成熟度提升，隨之而來(lái)的系統(tǒng)管理問(wèn)題已經(jīng)成為占用天河區(qū)信息中心相關(guān)的信息人員較大工作量以及花費(fèi)了大量維護(hù)成 本的問(wèn)題了。 系統(tǒng)管理的問(wèn)題包括了，終端桌面的維護(hù)和管理以及服務(wù)器的維護(hù)管理。 對(duì)于終端管理，信息中心相關(guān)人員往往都忙于對(duì)于客戶(hù)端發(fā)生的故障進(jìn)行故障處理，對(duì)于終端的安裝工作， 花費(fèi)大量的時(shí)間，而且對(duì)于最終用戶(hù)的滿(mǎn)意度也無(wú)法做到最好。 對(duì)于客戶(hù)端的故障往往都是用戶(hù)對(duì)于終端的使用行為管理不當(dāng)引起。此外，終端的安裝問(wèn)題，也困擾著信息中心的工作。 對(duì)于服務(wù)器的維護(hù)，目前也基本依靠人為的方式來(lái)實(shí)現(xiàn)管理，由于目前的服務(wù)器數(shù)量還不是太多，所以維護(hù)人員的工作量還可以有所保障。 對(duì)于目前的問(wèn)題，需要全面規(guī)劃一套系統(tǒng)管理平臺(tái)來(lái)統(tǒng) 一考慮解決困擾 司 日常的系統(tǒng)管理的問(wèn)題。 本文檔的目標(biāo)就是幫助 司 統(tǒng)一規(guī)劃系統(tǒng)管理平臺(tái)解決方案建議書(shū)。 2 司 目前終端管理現(xiàn)狀分析 司 目前在管轄范圍內(nèi)的桌面終端數(shù)量在 3000 臺(tái)左右。包括了信息中心以及底下的 3 委辦局等。大多數(shù)的下屬機(jī)構(gòu)的網(wǎng)絡(luò)帶寬和信息中心的網(wǎng)絡(luò)帶寬基本上都是 10寬。 除了有個(gè)別 居委會(huì)的帶寬為 512是在這些居委會(huì)的客戶(hù)端數(shù)量只有幾臺(tái)。 司 已經(jīng)在全區(qū)建立了微軟活動(dòng)目錄 的架構(gòu)，全區(qū)基本上所有的客戶(hù)端都屬于司 的域管理范圍內(nèi)，只有 2 個(gè)委辦局建立了各 自獨(dú)立的域。 目前， 司 對(duì)于終端管理上，只使用了 務(wù)來(lái)完成終端的補(bǔ)丁管理。其他對(duì)于終端沒(méi)有實(shí)現(xiàn)任何管理的功能。對(duì)于服務(wù)器管理上，沒(méi)有任何自動(dòng)管理平臺(tái)，基本依靠 個(gè)人手工維護(hù)管理。 3 項(xiàng)目階段目標(biāo) 鑒于目前 司 目前對(duì)于 系統(tǒng)管理 遇到的問(wèn)題和挑戰(zhàn)，微軟認(rèn)為應(yīng)該通過(guò)整體的規(guī)劃進(jìn)行全面考慮。 我們認(rèn)為可以按照微軟基礎(chǔ)架構(gòu)優(yōu)化模型進(jìn)行規(guī)劃。所謂基礎(chǔ)架構(gòu)優(yōu)化模型是指一個(gè)企業(yè)的 礎(chǔ)架構(gòu)成熟度狀況的分析，分為：基本階段、標(biāo)準(zhǔn)化階段、合理化階段和動(dòng)態(tài)化階段。 基本階段：主要的標(biāo)志是在企業(yè)的 境中缺乏集中自 動(dòng)化的基礎(chǔ)架構(gòu)來(lái)實(shí)現(xiàn)身份和訪(fǎng)問(wèn)管理，設(shè)備管理（網(wǎng)絡(luò)設(shè)備，桌面設(shè)備，服務(wù)器設(shè)備等），數(shù)據(jù)管理，安全和網(wǎng)絡(luò)管理以及系統(tǒng)管理流程規(guī)范。所有的管理都靠手工完成。 標(biāo)準(zhǔn)化階段：主要的標(biāo)志是企業(yè)的 境中建立起一套標(biāo)準(zhǔn)化的基礎(chǔ)架構(gòu)來(lái)實(shí)現(xiàn)基礎(chǔ)架構(gòu)需要管理的方面。實(shí)現(xiàn)了初步的自動(dòng)化管理的能力。 合理化階段：主要的標(biāo)志是企業(yè)的 礎(chǔ)架構(gòu)可以和企業(yè)的業(yè)務(wù)進(jìn)行關(guān)聯(lián)，自動(dòng)化程度更高。使 礎(chǔ)架構(gòu)管理需要配合企業(yè)業(yè)務(wù)發(fā)展需要進(jìn)行靈活調(diào)整，以及保障業(yè)務(wù)對(duì)于理的必要要求，實(shí)現(xiàn)基于服務(wù)級(jí)別的管理。 動(dòng)態(tài)化階段：主要的標(biāo)志是企業(yè) 的 礎(chǔ)架構(gòu)可以完全自動(dòng)化自我調(diào)整，靈活按照業(yè)務(wù)需求，靈活調(diào)整 統(tǒng)資源，所有的 理完全和業(yè)務(wù)關(guān)聯(lián)和掛鉤 。 根據(jù)分析，目前 司 的 礎(chǔ)架構(gòu)大多屬于 基本階段， 只有身份管理和訪(fǎng)問(wèn)管理屬于了標(biāo)準(zhǔn)化階段。 所以目前的項(xiàng)目階段，我們需要將 司 的 礎(chǔ)架構(gòu) 除了身份管理部分，要 從基本階段上升為標(biāo)準(zhǔn)化階段。 具體需要實(shí)現(xiàn)的技術(shù)目標(biāo)： 1 建立一套基于微軟 基礎(chǔ)的 礎(chǔ)架構(gòu)平臺(tái)， 2 建立全面的桌面 端管理平臺(tái)， 3 建立全面的服務(wù)器運(yùn)維管理平臺(tái)。 4 4 整體運(yùn)維 平臺(tái)的 方案建議 終端管理平臺(tái) 目前 司 在終端管理上遇到的問(wèn)題主要來(lái)源于終端用戶(hù)對(duì)于終端的配置更改的隨意性，以及對(duì)于一些強(qiáng)制性的軟件，例如：安全補(bǔ)丁、防病毒軟件等，沒(méi)有一些強(qiáng)制性的手段來(lái)保證。而引起的安全配置漏洞，從而產(chǎn)生一些異常的故障。信息人員對(duì)于此類(lèi)問(wèn)題的解決，只能到用戶(hù)現(xiàn)場(chǎng)，并且發(fā)現(xiàn)最終原因的時(shí)間較長(zhǎng)，有時(shí)往往需要重新安裝系統(tǒng)等，浪費(fèi)大量人力，財(cái)力。 針對(duì) 司 目前的問(wèn)題和挑戰(zhàn)，微軟認(rèn)為最迫切需要實(shí)現(xiàn)的終端管理的方面： 1 實(shí)現(xiàn)全面的終端安全配置管理 2 實(shí)現(xiàn)自動(dòng)化的終端遠(yuǎn)程管理 3 實(shí)現(xiàn)自動(dòng)化終端安裝部署管理 另外，對(duì)于 終端管理的其他方面，微軟也建議 司 采用，從而可以大大降低今后的終端維護(hù)工作量： 4 終端補(bǔ)丁管理 5 終端資產(chǎn)統(tǒng)計(jì)管理 6 終端內(nèi)網(wǎng)安全接入管理 7 終端軟件分發(fā)管理 8 終端信息報(bào)表管理 所以，微軟建議建設(shè)一套基于微軟 007 為基礎(chǔ)的全面終端管理平臺(tái)。 007 (是微軟終端管理解決方案 007 的下一代解決方案。 一系列 微軟系統(tǒng)管理解決方案 ，旨在相互協(xié)作使復(fù)雜 礎(chǔ)結(jié)構(gòu)的日常管理變得更加容易、更加經(jīng)濟(jì)高效。 決方案基于從 和信息技術(shù)基礎(chǔ)結(jié)構(gòu)庫(kù) (派生的自動(dòng)化和最佳實(shí)踐，并可用于組織的所有級(jí)別。 007 只 是 列的一部分。 供企業(yè)系統(tǒng)備份和恢復(fù)。 您提供前瞻性的系統(tǒng)監(jiān)視和自動(dòng)化。 用于容量規(guī)劃和基礎(chǔ)結(jié)構(gòu)部署的假設(shè)性分析。此外還有很多相關(guān)信息（有關(guān)更多信息，請(qǐng)查看 安全 配置管理是 另一個(gè)非常顯著的功能。圖 1 描述了顯示兩個(gè) 安 全 配置基線(xiàn)符合性的 “所需配置管理 ”主頁(yè) ： 5 通過(guò) 007， 微軟提供了終端安全配置漏洞的掃描的基準(zhǔn)文件， 軟件安裝錯(cuò)誤和錯(cuò)誤的配置危及安全性和穩(wěn)定性，導(dǎo)致支持成本不斷增多。用于 安全配置弱點(diǎn)評(píng)估的基準(zhǔn)文件愛(ài)女有助于防止錯(cuò)誤，從而增加了企業(yè)的正常運(yùn)行時(shí)間，并幫助您構(gòu)建更加安全的基礎(chǔ)架構(gòu)。設(shè)想場(chǎng)景： 掃描企業(yè)因配置錯(cuò)誤而產(chǎn)生的弱點(diǎn)。 檢測(cè)實(shí)例： 是否安裝 并運(yùn)行沒(méi)必要的服務(wù)？ 文件共享是否需要適當(dāng)?shù)脑S可？ 是否啟動(dòng) 火墻？ 是否啟動(dòng)自動(dòng)更新？ 是否強(qiáng)制要求強(qiáng)大的口令？ 是否啟動(dòng)不安全的客戶(hù)賬戶(hù)？ 是否在單一計(jì)算機(jī)上安排了過(guò)多的本地管理員？ 安全 配置管理的關(guān)鍵 來(lái)自對(duì) 戶(hù)的大量研究，大部分服務(wù)停用是由關(guān)鍵任務(wù)服務(wù)器和桌面上的操作系統(tǒng)或應(yīng)用程序配置錯(cuò)誤導(dǎo)致。使用 安全 配置管理功能，管理員 可以通過(guò)對(duì)系統(tǒng)運(yùn)行定期基線(xiàn)掃描快速捕獲配置偏差。這些基線(xiàn)使用配置項(xiàng) (創(chuàng)建，并提供組織中計(jì)算機(jī)集合的符合性信息。 除了捕獲配置偏差， 安全 配置管理還可以幫助實(shí)現(xiàn)法規(guī)符合性報(bào)告和更改驗(yàn)證。在大部分組織中，都有可能需要法規(guī)符合性報(bào)告，如薩班斯 奧克斯利法案 (支付卡行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn) (和健康保險(xiǎn)可攜性與責(zé)任法案 ( 007 可通過(guò)所需配置管理幫助您獲得所需的報(bào)告。 6 下面是 安全 配置管理的工作原理。管理員將定義配置項(xiàng) 可 以在計(jì)算機(jī)中檢測(cè)、應(yīng)用和刪除的配置單位。定義這些配置項(xiàng)后，即可創(chuàng)建由一個(gè)或多個(gè)配置項(xiàng)組成的配置基線(xiàn)。隨后，這些基線(xiàn)將被分配到 合進(jìn)行符合性監(jiān)視和法規(guī)報(bào)告。 配置項(xiàng)可以查看計(jì)算機(jī)的幾個(gè)不同方面以收集信息，包括 文件元數(shù)據(jù)、腳本結(jié)果、存儲(chǔ)在 中的數(shù)據(jù)、軟件更新數(shù)據(jù)、 冊(cè)表值、 數(shù)據(jù)以及 示和配置。從不同位置收集的信息將存儲(chǔ)在 據(jù)庫(kù)中 ，并用于驗(yàn)證系統(tǒng)是否符合要求。 有趣的是，現(xiàn)在 安全 配置管理過(guò)程和通過(guò) 007 發(fā)布新更新的過(guò)程已完全集成。與新的軟件更新引擎相同，所有 安全 配置管理數(shù)據(jù)將使用基于狀態(tài) 的高優(yōu)先級(jí)通道。這兩種關(guān)鍵任務(wù)功能的集成使管理員可以定義新的 安全 配置管理基線(xiàn)或通過(guò)新更新來(lái)更新現(xiàn)有基線(xiàn)（作為更新部署過(guò)程的一部分）。 并且通過(guò)定制，可以實(shí)現(xiàn)對(duì)于終端用戶(hù)變動(dòng)了相關(guān)設(shè)置后的自動(dòng)還原，這樣可以大大降低由于終端用戶(hù)有意或無(wú)意修改了關(guān)鍵設(shè)置，例如： 覽器設(shè)置等，而造成的大量維護(hù)工作。 以啟用遠(yuǎn)程控制工具，幫助管理員遠(yuǎn)程登陸終端桌面進(jìn)行管理配置工作。此外， 007 與遠(yuǎn)程桌面 (遠(yuǎn)程協(xié)助（ 縫整合，可以更加快捷，方便的實(shí)現(xiàn)遠(yuǎn)程操作。而且 007 可以靈活設(shè)置遠(yuǎn)程控制是否可以由客戶(hù)端授權(quán)或不需要授權(quán)等不同的遠(yuǎn)程管理模式， 遠(yuǎn)程控制功能可以實(shí)現(xiàn)： 1 遠(yuǎn)程控制，通過(guò)在 理員控制臺(tái)上可以遠(yuǎn)程控制終端用戶(hù)的桌面。 2 遠(yuǎn)程重啟，幫助重新啟動(dòng)遠(yuǎn)程終端。 3 遠(yuǎn)程 聊天，可以和遠(yuǎn)程終端用戶(hù)進(jìn)行聊天，幫助用戶(hù)解決問(wèn)題。 4 可以實(shí)現(xiàn)遠(yuǎn)程文件傳輸，可以實(shí)現(xiàn)在 務(wù)器和終端之間的文件傳送。 5 遠(yuǎn)程執(zhí)行，可以在遠(yuǎn)程終端上執(zhí)行命令，腳本等任務(wù)。包括執(zhí)行程序或腳本，啟動(dòng) /停止服務(wù)，中斷非法進(jìn)程，修改注冊(cè)表，修改文件等。 6 戶(hù)端診斷，可以在終端上進(jìn)行故障診斷。 通用過(guò)遠(yuǎn)程工具， 理和故障排除可以在網(wǎng)絡(luò)任何一個(gè)位置進(jìn)行處理，集中管理的目標(biāo)得到體現(xiàn)。并且，通過(guò)遠(yuǎn)程處理終端故障和幫助用戶(hù)，有效降低了 持的成本。 通過(guò)遠(yuǎn)程終端維護(hù)管理，可以讓信息中心的 相關(guān)維護(hù)人員降低維護(hù)的成本以及提升維護(hù)的效率，無(wú)需到現(xiàn)場(chǎng)進(jìn)行故障恢復(fù)。 操作系統(tǒng)部署功能是 007 最大的重點(diǎn)領(lǐng)域。 將 計(jì)為部署服務(wù)器和工作站平臺(tái)操作系統(tǒng)的主要方式。從根本上更改管理操作系統(tǒng)部署的方法。 P, 操作系統(tǒng)部署引入了新的 像 (格式。使用此格式有不少好處，首要的一個(gè)好處是 007 本 機(jī)導(dǎo)入了 像格式，這樣管理員就可以直接從控制臺(tái)使用這些映像并對(duì)其進(jìn)行部署。 另一個(gè)重要的新功能是集成的 部署 任務(wù)排序器。通過(guò)利用任務(wù)排 7 序器，操作系統(tǒng)部署過(guò)程完全不需要任何干預(yù)。 任務(wù)排序器可以幫助安排部署操作系統(tǒng)需要執(zhí)行的所有步驟，包括進(jìn)行部署前要在較舊的操作系統(tǒng)中執(zhí)行的步驟（用戶(hù)狀態(tài)遷移和應(yīng)用程序設(shè)置轉(zhuǎn)移），部署新操作系統(tǒng)的步驟（設(shè)置格式、磁盤(pán)分區(qū)、產(chǎn)品密鑰、用戶(hù)名、公司、許可證設(shè)置、驅(qū)動(dòng)程序安裝），以及部署完新系統(tǒng)后要求執(zhí)行的步驟（其他應(yīng)用程序安裝、 更新安裝、用戶(hù)狀態(tài)遷移）。作為此功能的一個(gè)示例，圖 4 顯示了任務(wù)序列編輯器，突出顯示了在 P, 署中您可以利用的一些功能。 除了任務(wù)排序器， 007 中還有若干用于操作系統(tǒng)部署的其他增強(qiáng)功能，如 圖 5 所述。例如， 持通過(guò)設(shè)備驅(qū)動(dòng)程序管理對(duì) 臺(tái)的預(yù)引導(dǎo)執(zhí)行環(huán)境 (進(jìn)行裸機(jī)部署。通過(guò)此設(shè)備驅(qū)動(dòng)程序管理選項(xiàng)，您的組織可以顯著減少需要為各類(lèi)硬件維護(hù)的映像數(shù)。通過(guò)與 像格式引入的單一映像支持結(jié)合，在執(zhí)行操作系統(tǒng)部署時(shí)您無(wú)疑會(huì)節(jié)省時(shí)間和資金。 整個(gè)客戶(hù)端自動(dòng)部署實(shí)現(xiàn)流程如下： 1. 按照企業(yè)終端的實(shí)際情況，安裝需要作鏡像的參考對(duì)象桌面系統(tǒng)，準(zhǔn)備核心鏡像 2. 按照企業(yè)不同的業(yè)務(wù)需求，配置軟件分發(fā)包。（在系統(tǒng)部署時(shí)動(dòng)態(tài)加載） 3. 使用桌面管理系統(tǒng) 007, 8 4. 通過(guò) 007 的鏡像打包向?qū)?，?duì)參考對(duì)象桌面系統(tǒng)進(jìn)行鏡像打包。 5. 通過(guò) 007 的軟件分發(fā)向?qū)?，?duì)不同應(yīng)用程序打包。 6. 配置自動(dòng)部署策略，定制管理信息數(shù)據(jù)庫(kù)，將用戶(hù)名、工作部門(mén)（或者需要安裝的軟件包）、產(chǎn)品密鑰、域信息、硬件網(wǎng)卡 址信息進(jìn)行配置。 7. 通過(guò) 007 的同步功能 ，將鏡像文件同步到在各分支機(jī)構(gòu)的遠(yuǎn)程安裝服務(wù)器上， 8. 客戶(hù)端計(jì)算機(jī)網(wǎng)卡啟動(dòng)，進(jìn)行網(wǎng)絡(luò)安裝；或者將鏡像文件通過(guò)制作分發(fā)光盤(pán)在每個(gè)桌面計(jì)算機(jī)上安裝。 如同 007 中 的其他功能，軟件更新管理已得到顯著改進(jìn)。 軟件更新管理的基于狀態(tài)的方法還意味著修補(bǔ)程序和更新?tīng)顟B(tài)不再與硬件清單掃描相關(guān)，因此不再需要當(dāng)前的 和掃描目錄。相反， 使用運(yùn)行 的新軟件更新點(diǎn) (服務(wù)器角色在后端作為軟件更新引擎和數(shù)據(jù)庫(kù)。 通過(guò)為所有軟件更新和 安全 配置管理信息創(chuàng)建一個(gè)新的基于狀態(tài)的高優(yōu)先級(jí)通道，向托管代理推出更新和定期程序包的方法分離出來(lái)。推出其他軟件包不會(huì)防礙推出軟件更新或從托管的工作站、筆記本電腦或服務(wù)器接收修補(bǔ)程序狀態(tài)。 在 ， 您能夠在一個(gè)集中位置進(jìn)行所有 更新管理。這使 9 您可以下載 所有可用的內(nèi)容，包括非關(guān)鍵更新、驅(qū)動(dòng)程序和 臺(tái)的其他軟件包。此外， 會(huì)鼓勵(lì)其合作伙伴通過(guò)此方法發(fā)布軟件更新。很多公司當(dāng)前為 007 的自定義更新清單工具 (發(fā)布了清單，并計(jì)劃對(duì)接下來(lái)的 采取同樣的行動(dòng)， 是其中的兩家。 此新的軟件更新引擎還提供接近實(shí)時(shí)的更新?tīng)顟B(tài)以啟用更好的報(bào)告和增強(qiáng)的主頁(yè)視圖。通過(guò) 這些自定義的視圖，您可以快速了解整個(gè) 礎(chǔ)結(jié)構(gòu)或特定計(jì)算機(jī)集合的修補(bǔ)程序狀態(tài)。圖 6 顯示了通過(guò)為軟件更新管理自定義的某個(gè)新主頁(yè)視圖查看特定公告的修補(bǔ)程序符合性數(shù)據(jù)的過(guò)程有多簡(jiǎn)單。 通過(guò) 007 的補(bǔ)丁管理的特性，大大增強(qiáng)了目前 司 僅僅利用 完成補(bǔ)丁管理的功能。 首先， 補(bǔ)丁管理完全利用了原來(lái)的 基礎(chǔ)架構(gòu)，節(jié)省了原來(lái)的投 資。 其次， 007 的補(bǔ)丁管理可以幫助企業(yè)加強(qiáng)對(duì)補(bǔ)丁管理的控制，例如：可以定制客戶(hù)端安裝補(bǔ)丁的策略，何時(shí)安裝，何時(shí)重啟，是否可以延遲重啟，是否設(shè)置強(qiáng)行重啟的最后期限等。 并且 007 的補(bǔ)丁管理和 緊密整合后，可以靈活地制定針對(duì)不同的對(duì)象計(jì)算機(jī)的補(bǔ)丁管理策略。 最后通過(guò) 007 的補(bǔ)丁管理可以及時(shí)查看補(bǔ)丁的最新?tīng)顩r，而且 補(bǔ)丁管理，可以結(jié)合其他的功能，例如：安全配置管理， 007 可以把某一些關(guān)鍵補(bǔ)丁，作為終端安全配置的基準(zhǔn)之一。另外 007 還有客戶(hù)端內(nèi)網(wǎng)接入保護(hù)功能，可以制定關(guān)鍵補(bǔ)丁作為接入健康條件。 10 007 的資產(chǎn)管理是 基于標(biāo)準(zhǔn)的硬件清單 ，即 通過(guò)利用 007 提高了清單掃描過(guò)程中客戶(hù)端的性能并提供了一組更豐富的清單數(shù)據(jù)，其中包括 機(jī)架外殼數(shù)據(jù)。 目前可以支持超過(guò) 130 種 類(lèi)型，可以獲取豐富和準(zhǔn)確地信息。而且 007 可以提供 靈活細(xì)致的清單 。 盡管 007 使企業(yè)能跟蹤其系統(tǒng)上幾乎全部的軟 件資產(chǎn)，但通常企業(yè)會(huì)有特別重要或感興趣的一組核心應(yīng)用程序和文件。通過(guò)使用通配符、環(huán)境變量和文件屬性之類(lèi)的功能來(lái)提供實(shí)施智能清單搜索的功能，007 使企業(yè)可以專(zhuān)注于他們所需的信息。通過(guò)跳過(guò)壓縮和加密的文件，還可以減少系統(tǒng)資源的消耗。為確保豐富的清單和使用情況跟蹤信息易于訪(fǎng)問(wèn)且與業(yè)務(wù)相關(guān)， 007 包括一款強(qiáng)大、高度靈活且可完全擴(kuò)展的 告引擎，其中預(yù)置了 120 多種現(xiàn)成的報(bào)告。 其中包含了圖形類(lèi)的報(bào)表和數(shù)據(jù)類(lèi)型的報(bào)表。 也可以自定義或創(chuàng)建報(bào)告，還可以使用導(dǎo)入和導(dǎo)出功能將這些報(bào)告?zhèn)鬏?到其他的 007 環(huán)境中。 當(dāng)然，在沒(méi)有安裝 戶(hù)端軟件的終端設(shè)備，也可以通過(guò) 網(wǎng)絡(luò)進(jìn)行發(fā)現(xiàn)，并且可以讓系統(tǒng)管理員能夠?qū)ζ溥M(jìn)行跟蹤和維護(hù)。 007 可以對(duì)內(nèi)網(wǎng)的終端接入到企業(yè)內(nèi)網(wǎng)進(jìn)行全面的安全健康狀態(tài)檢查能力，例如：可以制定特定的補(bǔ)丁，特定的需要安裝的軟件等，作為終端接入企業(yè)內(nèi)網(wǎng)的健康指標(biāo)，如果不符合企業(yè)標(biāo)準(zhǔn)，將會(huì)把此客戶(hù)端接入到隔離網(wǎng)絡(luò)進(jìn)行修補(bǔ)管理，然后直到客戶(hù)端符合企業(yè)健康要求，才讓客戶(hù)端接入內(nèi)網(wǎng)。此解決方案叫做網(wǎng)絡(luò)接入保護(hù) 在 008 中以及在操作系統(tǒng)默認(rèn)安裝中包含了健康策略客戶(hù)端， 007 就利用了此客戶(hù)端，在服務(wù)器端集中制定規(guī)則，通過(guò)和網(wǎng)絡(luò)控制設(shè)備（ 008 ）可以實(shí)現(xiàn)對(duì)客戶(hù)端的網(wǎng)絡(luò)接入進(jìn)行控制。供了持續(xù)的對(duì)客戶(hù)端接入的策略制定，以及對(duì)不符合要求的客戶(hù)端進(jìn)行修補(bǔ)管理。 11 微軟提供的 健康狀態(tài) 檢查 網(wǎng)絡(luò)接入保護(hù)系統(tǒng)是針對(duì)企業(yè)終端接入網(wǎng)絡(luò)而實(shí)施的保護(hù)系統(tǒng)。根據(jù)企業(yè)安全策略去限制非安全終端接入內(nèi)部網(wǎng)，和其他終端安全方案結(jié)合將構(gòu)成完整的終端安全系統(tǒng)。因此將企業(yè)網(wǎng)絡(luò)劃分為兩個(gè)互相隔離的區(qū)域： 安全區(qū)域，可以訪(fǎng)問(wèn)企業(yè)內(nèi)部資源； 控制區(qū)域，將不能訪(fǎng)問(wèn)企業(yè)內(nèi)部資源，可以訪(fǎng)問(wèn) 以安裝補(bǔ)丁和最新的病毒庫(kù)； 終端接入安全策略 企業(yè)安全策略是根據(jù)企業(yè)安全需求而設(shè)定的，包括終端補(bǔ)丁安裝 情況，終端防病毒軟件安裝以及版本更新情況，病毒代碼庫(kù)的更新情況。例如和主流防病毒軟件 以對(duì) 其防病毒軟件版本和病毒庫(kù)進(jìn)行監(jiān)測(cè)。 個(gè)人防火墻的配置情況，屏幕保護(hù)的配置情況，特定服務(wù)的運(yùn)行狀況，計(jì)算機(jī)或者用戶(hù)所屬的組，以及接入時(shí)間控制等等。這些安全策略由企業(yè)信息化建設(shè)的安全部門(mén)進(jìn)行制定，系統(tǒng)支持在線(xiàn)更新策略，終端接入檢查開(kāi)始之前刷新安全策略的機(jī)制。 終端 安全 檢查 和網(wǎng)絡(luò)控制 服務(wù) 終端實(shí)施接入時(shí) 進(jìn)行 安全檢查，當(dāng)終端檢查結(jié)果符合企業(yè)安全策略時(shí)，允許終端接入到企業(yè)網(wǎng)絡(luò)， 可以訪(fǎng)問(wèn)內(nèi)部資源：文件、應(yīng)用、內(nèi)部網(wǎng)站等。 否則終端一直處于與企業(yè) 內(nèi)部 網(wǎng)絡(luò)隔離的控制區(qū)域，接受修補(bǔ)。 直到修補(bǔ)完成，具備健康接入的條件后，重 新接入。 12 非安全終端管理策略 可以與其他安全方案配合，在網(wǎng)絡(luò)控制區(qū)內(nèi)部署補(bǔ)丁分發(fā)和病毒庫(kù)更新服務(wù)器，使得進(jìn)入控制區(qū)的非安全終端可以在局域網(wǎng)就可以修補(bǔ)系統(tǒng)達(dá)到符合安全策略。另外，在特殊情況下，管理員可以手動(dòng)配置網(wǎng)絡(luò)端口臨時(shí)性進(jìn)入網(wǎng)絡(luò)安全區(qū)域。 007 的軟件分發(fā)功能有了較為增強(qiáng)的功能： 靈活性 基于不同對(duì)象，例如：在活動(dòng)目錄中定義的組織單位，站點(diǎn)等進(jìn)行分發(fā)可以靈活地根據(jù)不同需求給不同的對(duì)象群組分發(fā)軟件。 準(zhǔn)確性 基于 分發(fā)，即使計(jì)算機(jī)改名也能準(zhǔn)確發(fā)布。 自動(dòng)性 新增的機(jī)器，只要滿(mǎn)足集合的條件，就能自動(dòng)安裝指定的軟件，而無(wú)需二次分發(fā)。 可追蹤性 詳盡的狀態(tài)報(bào)表可以跟蹤應(yīng)用程序部署的進(jìn)展 節(jié)省帶寬 軟件分發(fā)具有智能后臺(tái)傳輸技術(shù)，可以自動(dòng)調(diào)整軟件分發(fā)傳輸?shù)膸?，并且可以設(shè)定閥值上限。對(duì)于分支機(jī)構(gòu)的軟件分發(fā)傳輸，可以利用本地的文件服務(wù)器作為本地的代表進(jìn)行本地對(duì)等分發(fā)，同時(shí)在 ，還可以讓客戶(hù)端擔(dān)任本地分發(fā)對(duì)等下載得角色，大大降低了分支機(jī)構(gòu)的硬件投資。 軟件包本身的更新是增量式的復(fù)制。只有更改部分在網(wǎng)絡(luò)上傳輸。并且， 有智能帶 寬傳輸技術(shù)，它可以自動(dòng)根據(jù)業(yè)務(wù)網(wǎng)絡(luò)的帶寬占用情況作出自動(dòng)的帶寬使用調(diào)整，在不影響正常業(yè)務(wù)在網(wǎng)絡(luò)的運(yùn)行下，實(shí)現(xiàn)對(duì)應(yīng)用程序的部署。 可靠性 對(duì)慢速及不穩(wěn)定網(wǎng)絡(luò)的支持，以及斷點(diǎn)續(xù)傳的功能，保證了應(yīng)用程序部署可以可靠的完成。 007 還可以設(shè)定軟件分發(fā)的窗口期，可以控制客戶(hù)端在某個(gè)具體時(shí)間點(diǎn)才能完成相關(guān)的軟件分發(fā)，補(bǔ)丁分發(fā)的維護(hù)工作。降低對(duì)一些關(guān)鍵客戶(hù)端，因?yàn)槿粘＞S護(hù)而帶來(lái)的影響正常工作業(yè)務(wù)的開(kāi)展。 007 中的報(bào)表能夠有效準(zhǔn)確地將 理的結(jié)果直觀地體現(xiàn)出來(lái)， 如資產(chǎn)信息，補(bǔ)丁管理信息， 應(yīng)用程序部署 狀態(tài)，整個(gè) 健康狀況。在 裝完后，就已經(jīng)可以直接使用內(nèi)置的 120 以上的報(bào)表 模版 。已有的報(bào)表分為以下幾類(lèi)： 硬件信息 軟件信息 軟件更新信息（補(bǔ)丁管理） 13 應(yīng)用程序部署 信息 息 具體客戶(hù)端的報(bào)表 除了以上的基本報(bào)表，為了便于領(lǐng)導(dǎo)查詢(xún)所需的信息， 新增了儀表盤(pán) (它的好處是：將常用的幾個(gè)報(bào)表匯總一處并給予權(quán)限設(shè)置。這樣，只需一個(gè)統(tǒng)一的界面，可以同時(shí)查看多個(gè)報(bào)表而無(wú)需同時(shí)打開(kāi)多個(gè)頁(yè)面。 的報(bào)表的查詢(xún)是基于 視圖的。用戶(hù)無(wú)需了解整個(gè)數(shù)據(jù)庫(kù)的詳細(xì)架構(gòu)就可以方便地進(jìn)行二次開(kāi)發(fā)。 此外， 報(bào)表是基于 式的，只要有瀏覽器和連接，就可以隨時(shí)隨地查看。也易于與其他 務(wù)整合在一起。 所有收集到的數(shù)據(jù)和信息都集中保存在站點(diǎn)服務(wù)器的數(shù)據(jù)庫(kù)里，也包括一定時(shí)期的歷史紀(jì)錄。一個(gè)優(yōu)秀的操作小組能夠根據(jù)需要制作報(bào)表來(lái)幫助管理層進(jìn)行現(xiàn)狀分析，提出改善建議。 目前 司 沒(méi)有對(duì)服務(wù)器實(shí)現(xiàn)全面的監(jiān)控管理，微軟建議建立基于 007 (007)為基礎(chǔ)平臺(tái)的服務(wù)器運(yùn)維平臺(tái)。 對(duì)于服務(wù)器的本身的運(yùn)行狀況，性能狀況，應(yīng)用程序運(yùn)行狀況的監(jiān)控，是服務(wù)器管理方面非常重要的管理項(xiàng)目。 需要實(shí)現(xiàn)從硬件底層的監(jiān)控，操作系統(tǒng)平臺(tái)的監(jiān)控，一直到應(yīng)用程序監(jiān)控的多層面監(jiān)控要求。 監(jiān)控包括健康狀態(tài)提示，故障自動(dòng)告警，故障告警后自動(dòng)的知識(shí)庫(kù)提示，操作人員操作的安全審計(jì)管理，運(yùn)維整體報(bào)表管理等多角度。 基于微軟 臺(tái)另外一個(gè)重要解決方案 007 可以方便實(shí)現(xiàn)以上所有服務(wù)器運(yùn)維監(jiān)控管理的要求。 務(wù)器狀態(tài)監(jiān)控 007 面向各種規(guī)模的企業(yè)單位實(shí)現(xiàn)了 務(wù)器事件與性能監(jiān)控的集中化目標(biāo)。為應(yīng)對(duì)這種合并趨勢(shì)可能引發(fā)的潛在的信息“洪流”， 先內(nèi)建了大量“知識(shí)”儲(chǔ)備，可供應(yīng)用程序?qū)π畔⒑x進(jìn)行評(píng)估，并就所應(yīng)做出的響應(yīng)提供決策。上述知識(shí)主要以管理軟件包形式出現(xiàn)，不僅有助于在故障發(fā)生的第一時(shí)間盡快診斷出問(wèn)題根源并做出適當(dāng)反應(yīng)，而且，還可通過(guò)就問(wèn)題隱患向管理人員 發(fā)出警告，并在其發(fā)生前提供解決方案建議的方式來(lái)預(yù)防故障事件的實(shí)際發(fā)生。 14 007 主要具備以下特性和優(yōu)勢(shì)： 具備可擴(kuò)展內(nèi)建知識(shí)儲(chǔ)備的管理軟件包。 集中化服務(wù)器事件與性能監(jiān)控特性。 具備高度可伸縮性的分布式體系結(jié)構(gòu)。 針對(duì)基于 作系統(tǒng)的服務(wù)器性能實(shí)施監(jiān)控的能力。 針對(duì)基于 作系統(tǒng)的服務(wù)器事件實(shí)施監(jiān)控的能力。 根據(jù)警告提示執(zhí)行專(zhuān)項(xiàng)操作的能力。 和第三方管理產(chǎn)品實(shí)現(xiàn)事件集成的能力和通過(guò)第三方廠商提供的管理軟件包實(shí)現(xiàn)對(duì)包括路由器