某公司 微軟System Center整體方案建議書

1、xxxx有限公司微軟system center整體方案建議書目錄1 項目背景 xx公司經(jīng)過多年的信息化建設(shè)，已經(jīng)取得了較有成效的建設(shè)， 包括基本的it基礎(chǔ)架構(gòu)建設(shè)，包括基礎(chǔ)網(wǎng)絡(luò)、安全防病毒、基本的補(bǔ)丁管理、數(shù)據(jù)備份等，以及一系列內(nèi)部應(yīng)用系統(tǒng)。但是，隨著xx公司的信息化建設(shè)成熟度提升，隨之而來的系統(tǒng)管理問題已經(jīng)成為占用天河區(qū)信息中心相關(guān)的信息人員較大工作量以及花費了大量維護(hù)成本的問題了。系統(tǒng)管理的問題包括了，終端桌面的維護(hù)和管理以及服務(wù)器的維護(hù)管理。對于終端管理，信息中心相關(guān)人員往往都忙于對于客戶端發(fā)生的故障進(jìn)行故障處理，對于終端的安裝工作，花費大量的時間，而且對于最終用戶的滿意度也無法做到最好

2、。對于客戶端的故障往往都是用戶對于終端的使用行為管理不當(dāng)引起。此外，終端的安裝問題，也困擾著信息中心的工作。對于服務(wù)器的維護(hù)，目前也基本依靠人為的方式來實現(xiàn)管理，由于目前的服務(wù)器數(shù)量還不是太多，所以維護(hù)人員的工作量還可以有所保障。對于目前的問題，需要全面規(guī)劃一套系統(tǒng)管理平臺來統(tǒng)一考慮解決困擾xx公司日常的系統(tǒng)管理的問題。本文檔的目標(biāo)就是幫助xx公司統(tǒng)一規(guī)劃系統(tǒng)管理平臺解決方案建議書。2 xx公司目前終端管理現(xiàn)狀分析xx公司目前在管轄范圍內(nèi)的桌面終端數(shù)量在3000臺左右。包括了信息中心以及底下的委辦局等。大多數(shù)的下屬機(jī)構(gòu)的網(wǎng)絡(luò)帶寬和信息中心的網(wǎng)絡(luò)帶寬基本上都是10mbps帶寬。 除了有個別居委會

3、的帶寬為512kbps,但是在這些居委會的客戶端數(shù)量只有幾臺。xx公司已經(jīng)在全區(qū)建立了微軟活動目錄ad域的架構(gòu)，全區(qū)基本上所有的客戶端都屬于xx公司的域管理范圍內(nèi)，只有2個委辦局建立了各自獨立的域。目前，xx公司對于終端管理上，只使用了wsus服務(wù)來完成終端的補(bǔ)丁管理。其他對于終端沒有實現(xiàn)任何管理的功能。對于服務(wù)器管理上，沒有任何自動管理平臺，基本依靠個人手工維護(hù)管理。 3 項目階段目標(biāo)鑒于目前xx公司目前對于系統(tǒng)管理遇到的問題和挑戰(zhàn)，微軟認(rèn)為應(yīng)該通過整體的規(guī)劃進(jìn)行全面考慮。我們認(rèn)為可以按照微軟基礎(chǔ)架構(gòu)優(yōu)化模型進(jìn)行規(guī)劃。所謂基礎(chǔ)架構(gòu)優(yōu)化模型是指一個企業(yè)的it基礎(chǔ)架構(gòu)成熟度狀況的分析，分為：基本

4、階段、標(biāo)準(zhǔn)化階段、合理化階段和動態(tài)化階段?；倦A段：主要的標(biāo)志是在企業(yè)的it環(huán)境中缺乏集中自動化的基礎(chǔ)架構(gòu)來實現(xiàn)身份和訪問管理，設(shè)備管理（網(wǎng)絡(luò)設(shè)備，桌面設(shè)備，服務(wù)器設(shè)備等），數(shù)據(jù)管理，安全和網(wǎng)絡(luò)管理以及系統(tǒng)管理流程規(guī)范。所有的管理都靠手工完成。標(biāo)準(zhǔn)化階段：主要的標(biāo)志是企業(yè)的it環(huán)境中建立起一套標(biāo)準(zhǔn)化的基礎(chǔ)架構(gòu)來實現(xiàn)基礎(chǔ)架構(gòu)需要管理的方面。實現(xiàn)了初步的自動化管理的能力。合理化階段：主要的標(biāo)志是企業(yè)的it基礎(chǔ)架構(gòu)可以和企業(yè)的業(yè)務(wù)進(jìn)行關(guān)聯(lián)，自動化程度更高。使it基礎(chǔ)架構(gòu)管理需要配合企業(yè)業(yè)務(wù)發(fā)展需要進(jìn)行靈活調(diào)整，以及保障業(yè)務(wù)對于it管理的必要要求，實現(xiàn)基于服務(wù)級別的管理。動態(tài)化階段：主要的標(biāo)志是企業(yè)的

5、it基礎(chǔ)架構(gòu)可以完全自動化自我調(diào)整，靈活按照業(yè)務(wù)需求，靈活調(diào)整it系統(tǒng)資源，所有的it管理完全和業(yè)務(wù)關(guān)聯(lián)和掛鉤。根據(jù)分析，目前xx公司的it基礎(chǔ)架構(gòu)大多屬于基本階段，只有身份管理和訪問管理屬于了標(biāo)準(zhǔn)化階段。所以目前的項目階段，我們需要將xx公司的it基礎(chǔ)架構(gòu)除了身份管理部分，要從基本階段上升為標(biāo)準(zhǔn)化階段。具體需要實現(xiàn)的技術(shù)目標(biāo)：1 建立一套基于微軟system center為基礎(chǔ)的it基礎(chǔ)架構(gòu)平臺，2 建立全面的桌面pc終端管理平臺，3 建立全面的服務(wù)器運維管理平臺。4 整體運維平臺的方案建議4.1建立全面的終端管理平臺目前xx公司在終端管理上遇到的問題主要來源于終端用戶對于終端的配置更改的隨

6、意性，以及對于一些強(qiáng)制性的軟件，例如：安全補(bǔ)丁、防病毒軟件等，沒有一些強(qiáng)制性的手段來保證。而引起的安全配置漏洞，從而產(chǎn)生一些異常的故障。信息人員對于此類問題的解決，只能到用戶現(xiàn)場，并且發(fā)現(xiàn)最終原因的時間較長，有時往往需要重新安裝系統(tǒng)等，浪費大量人力，財力。針對xx公司目前的問題和挑戰(zhàn)，微軟認(rèn)為最迫切需要實現(xiàn)的終端管理的方面：1 實現(xiàn)全面的終端安全配置管理2 實現(xiàn)自動化的終端遠(yuǎn)程管理3 實現(xiàn)自動化終端安裝部署管理另外，對于終端管理的其他方面，微軟也建議xx公司采用，從而可以大大降低今后的終端維護(hù)工作量：4 終端補(bǔ)丁管理5 終端資產(chǎn)統(tǒng)計管理6 終端內(nèi)網(wǎng)安全接入管理7 終端軟件分發(fā)管理8 終端信息報

7、表管理所以，微軟建議建設(shè)一套基于微軟system center configuration manager 2007為基礎(chǔ)的全面終端管理平臺。system center configuration manager 2007 (sccm2007) 是微軟終端管理解決方案sccm 2007的下一代解決方案。 system center 是一系列微軟系統(tǒng)管理解決方案，旨在相互協(xié)作使復(fù)雜 it 基礎(chǔ)結(jié)構(gòu)的日常管理變得更加容易、更加經(jīng)濟(jì)高效。system center 解決方案基于從 microsoft operations framework (mof) 和信息技術(shù)基礎(chǔ)結(jié)構(gòu)庫 (itil) 派生的自動

8、化和最佳實踐，并可用于組織的所有級別。configuration manager 2007 只是system center 系列的一部分。system center data protection manager 提供企業(yè)系統(tǒng)備份和恢復(fù)。system center operations manager 為您提供前瞻性的系統(tǒng)監(jiān)視和自動化。system center capacity planner 可用于容量規(guī)劃和基礎(chǔ)結(jié)構(gòu)部署的假設(shè)性分析。此外還有很多相關(guān)信息（有關(guān)更多信息，請查看 4.2終端安全配置管理安全配置管理是sccm2007 中另一個非常顯著的功能。圖 1 描述了顯示兩個安全配置基線符

9、合性的“所需配置管理”主頁： 通過sccm 2007，微軟提供了終端安全配置漏洞的掃描的基準(zhǔn)文件，軟件安裝錯誤和錯誤的配置危及安全性和穩(wěn)定性，導(dǎo)致支持成本不斷增多。用于安全配置弱點評估的基準(zhǔn)文件愛女有助于防止錯誤，從而增加了企業(yè)的正常運行時間，并幫助您構(gòu)建更加安全的基礎(chǔ)架構(gòu)。設(shè)想場景：掃描企業(yè)因配置錯誤而產(chǎn)生的弱點。檢測實例：是否安裝并運行沒必要的服務(wù)？文件共享是否需要適當(dāng)?shù)脑S可？是否啟動 windows 防火墻？是否啟動自動更新？是否強(qiáng)制要求強(qiáng)大的口令？是否啟動不安全的客戶賬戶？是否在單一計算機(jī)上安排了過多的本地管理員？ configuration manager 中安全配置管理的關(guān)鍵來自對

10、 microsoft 客戶的大量研究，大部分服務(wù)停用是由關(guān)鍵任務(wù)服務(wù)器和桌面上的操作系統(tǒng)或應(yīng)用程序配置錯誤導(dǎo)致。使用 configuration manager 中安全配置管理功能，管理員可以通過對系統(tǒng)運行定期基線掃描快速捕獲配置偏差。這些基線使用配置項 (ci) 創(chuàng)建，并提供組織中計算機(jī)集合的符合性信息。除了捕獲配置偏差，安全配置管理還可以幫助實現(xiàn)法規(guī)符合性報告和更改驗證。在大部分組織中，都有可能需要法規(guī)符合性報告，如薩班斯奧克斯利法案 (sox)、支付卡行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn) (pci dss) 和健康保險可攜性與責(zé)任法案 (hipaa)。configuration manager 2007 可

11、通過所需配置管理幫助您獲得所需的報告。下面是安全配置管理的工作原理。管理員將定義配置項 可以在計算機(jī)中檢測、應(yīng)用和刪除的配置單位。定義這些配置項后，即可創(chuàng)建由一個或多個配置項組成的配置基線。隨后，這些基線將被分配到 sccm集合進(jìn)行符合性監(jiān)視和法規(guī)報告。配置項可以查看計算機(jī)的幾個不同方面以收集信息，包括 active directory、文件元數(shù)據(jù)、腳本結(jié)果、存儲在 sql server 中的數(shù)據(jù)、軟件更新數(shù)據(jù)、wmi、xml、注冊表值、iis 元數(shù)據(jù)以及 microsoft installer 顯示和配置。從不同位置收集的信息將存儲在 configuration manager 數(shù)據(jù)庫中，并

12、用于驗證系統(tǒng)是否符合要求。有趣的是，現(xiàn)在安全配置管理過程和通過 configuration manager 2007 發(fā)布新更新的過程已完全集成。與新的軟件更新引擎相同，所有安全配置管理數(shù)據(jù)將使用基于狀態(tài)的高優(yōu)先級通道。這兩種關(guān)鍵任務(wù)功能的集成使管理員可以定義新的安全配置管理基線或通過新更新來更新現(xiàn)有基線（作為更新部署過程的一部分）。并且通過定制，可以實現(xiàn)對于終端用戶變動了相關(guān)設(shè)置后的自動還原，這樣可以大大降低由于終端用戶有意或無意修改了關(guān)鍵設(shè)置，例如：ie瀏覽器設(shè)置等，而造成的大量維護(hù)工作。4.3終端遠(yuǎn)程管理sccm2007可以啟用遠(yuǎn)程控制工具，幫助管理員遠(yuǎn)程登陸終端桌面進(jìn)行管理配置工作。此

13、外，sccm 2007與遠(yuǎn)程桌面 (remote desktop)，遠(yuǎn)程協(xié)助（remote assistance）無縫整合，可以更加快捷，方便的實現(xiàn)遠(yuǎn)程操作。而且sccm 2007可以靈活設(shè)置遠(yuǎn)程控制是否可以由客戶端授權(quán)或不需要授權(quán)等不同的遠(yuǎn)程管理模式，sccm的遠(yuǎn)程控制功能可以實現(xiàn)：1 遠(yuǎn)程控制，通過在sccm管理員控制臺上可以遠(yuǎn)程控制終端用戶的桌面。2 遠(yuǎn)程重啟，幫助重新啟動遠(yuǎn)程終端。3 遠(yuǎn)程聊天，可以和遠(yuǎn)程終端用戶進(jìn)行聊天，幫助用戶解決問題。4 可以實現(xiàn)遠(yuǎn)程文件傳輸，可以實現(xiàn)在sccm服務(wù)器和終端之間的文件傳送。5 遠(yuǎn)程執(zhí)行，可以在遠(yuǎn)程終端上執(zhí)行命令，腳本等任務(wù)。包括執(zhí)行程序或腳本，啟動

14、/停止服務(wù)，中斷非法進(jìn)程，修改注冊表，修改文件等。6 sccm客戶端診斷，可以在終端上進(jìn)行故障診斷。通用過遠(yuǎn)程工具，it 管理和故障排除可以在網(wǎng)絡(luò)任何一個位置進(jìn)行處理，集中管理的目標(biāo)得到體現(xiàn)。并且，通過遠(yuǎn)程處理終端故障和幫助用戶，有效降低了it 支持的成本。通過遠(yuǎn)程終端維護(hù)管理，可以讓信息中心的相關(guān)維護(hù)人員降低維護(hù)的成本以及提升維護(hù)的效率，無需到現(xiàn)場進(jìn)行故障恢復(fù)。4.4終端自動化安裝部署管理操作系統(tǒng)部署功能是 sccm 2007 最大的重點領(lǐng)域。microsoft 已將 configuration manager 設(shè)計為部署服務(wù)器和工作站平臺操作系統(tǒng)的主要方式。從根本上更改管理操作系統(tǒng)部署的方

15、法。windows xp, vista 為操作系統(tǒng)部署引入了新的 windows 映像 (wim) 格式。使用此格式有不少好處，首要的一個好處是 configuration manager 2007 本機(jī)導(dǎo)入了 wim 映像格式，這樣管理員就可以直接從控制臺使用這些映像并對其進(jìn)行部署。configuration manager 中另一個重要的新功能是集成的部署任務(wù)排序器。通過利用任務(wù)排序器，操作系統(tǒng)部署過程完全不需要任何干預(yù)。任務(wù)排序器可以幫助安排部署操作系統(tǒng)需要執(zhí)行的所有步驟，包括進(jìn)行部署前要在較舊的操作系統(tǒng)中執(zhí)行的步驟（用戶狀態(tài)遷移和應(yīng)用程序設(shè)置轉(zhuǎn)移），部署新操作系統(tǒng)的步驟（設(shè)置格式、磁盤

16、分區(qū)、產(chǎn)品密鑰、用戶名、公司、許可證設(shè)置、驅(qū)動程序安裝），以及部署完新系統(tǒng)后要求執(zhí)行的步驟（其他應(yīng)用程序安裝、更新安裝、用戶狀態(tài)遷移）。作為此功能的一個示例，圖 4 顯示了任務(wù)序列編輯器，突出顯示了在 windows xp, vista 部署中您可以利用的一些功能。除了任務(wù)排序器，configuration manager 2007 中還有若干用于操作系統(tǒng)部署的其他增強(qiáng)功能，如圖 5 所述。例如，configuration manager 支持通過設(shè)備驅(qū)動程序管理對 x86 和 x64 平臺的預(yù)引導(dǎo)執(zhí)行環(huán)境 (pxe) 進(jìn)行裸機(jī)部署。通過此設(shè)備驅(qū)動程序管理選項，您的組織可以顯著減少需要為各類硬

17、件維護(hù)的映像數(shù)。通過與 windows vista wim 映像格式引入的單一映像支持結(jié)合，在執(zhí)行操作系統(tǒng)部署時您無疑會節(jié)省時間和資金。整個客戶端自動部署實現(xiàn)流程如下：1. 按照企業(yè)終端的實際情況，安裝需要作鏡像的參考對象桌面系統(tǒng)，準(zhǔn)備核心鏡像2. 按照企業(yè)不同的業(yè)務(wù)需求，配置軟件分發(fā)包。（在系統(tǒng)部署時動態(tài)加載）3. 使用桌面管理系統(tǒng)sccm 2007,4. 通過sccm 2007的鏡像打包向?qū)В瑢⒖紝ο笞烂嫦到y(tǒng)進(jìn)行鏡像打包。5. 通過 sccm 2007的軟件分發(fā)向?qū)В瑢Σ煌瑧?yīng)用程序打包。6. 配置自動部署策略，定制管理信息數(shù)據(jù)庫，將用戶名、工作部門（或者需要安裝的軟件包）、產(chǎn)品密鑰、域信

18、息、硬件網(wǎng)卡mac地址信息進(jìn)行配置。7. 通過sccm 2007的同步功能，將鏡像文件同步到在各分支機(jī)構(gòu)的遠(yuǎn)程安裝服務(wù)器上，8. 客戶端計算機(jī)網(wǎng)卡啟動，進(jìn)行網(wǎng)絡(luò)安裝；或者將鏡像文件通過制作分發(fā)光盤在每個桌面計算機(jī)上安裝。4.5終端補(bǔ)丁管理如同 configuration manager 2007 中的其他功能，軟件更新管理已得到顯著改進(jìn)。軟件更新管理的基于狀態(tài)的方法還意味著修補(bǔ)程序和更新狀態(tài)不再與硬件清單掃描相關(guān)，因此不再需要當(dāng)前的 inventory tool for microsoft updates (itmu) 和掃描目錄。相反，configuration manager 將使用運行

19、windows server update services (wsus) 的新軟件更新點 (sup) 服務(wù)器角色在后端作為軟件更新引擎和數(shù)據(jù)庫。通過為所有軟件更新和安全配置管理信息創(chuàng)建一個新的基于狀態(tài)的高優(yōu)先級通道，configuration manager 將向托管代理推出更新和定期程序包的方法分離出來。推出其他軟件包不會防礙推出軟件更新或從托管的工作站、筆記本電腦或服務(wù)器接收修補(bǔ)程序狀態(tài)。在 configuration manager 中，wsus 使您能夠在一個集中位置進(jìn)行所有更新管理。這使您可以下載 microsoft update 上所有可用的內(nèi)容，包括非關(guān)鍵更新、驅(qū)動程序和 mi

20、crosoft 平臺的其他軟件包。此外，microsoft 還會鼓勵其合作伙伴通過此方法發(fā)布軟件更新。很多公司當(dāng)前為 sccm 2007 r2 中的自定義更新清單工具 (itcu) 發(fā)布了清單，并計劃對接下來的 configuration manager 也采取同樣的行動，adobe 和 citrix 就是其中的兩家。此新的軟件更新引擎還提供接近實時的更新狀態(tài)以啟用更好的報告和增強(qiáng)的主頁視圖。通過這些自定義的視圖，您可以快速了解整個 it 基礎(chǔ)結(jié)構(gòu)或特定計算機(jī)集合的修補(bǔ)程序狀態(tài)。圖 6 顯示了通過為軟件更新管理自定義的某個新主頁視圖查看特定公告的修補(bǔ)程序符合性數(shù)據(jù)的過程有多簡單。通過sccm

21、2007的補(bǔ)丁管理的特性，大大增強(qiáng)了目前xx公司僅僅利用wsus來完成補(bǔ)丁管理的功能。首先，sccm2007的補(bǔ)丁管理完全利用了原來的wsus 的基礎(chǔ)架構(gòu)，節(jié)省了原來的投資。其次，sccm 2007的補(bǔ)丁管理可以幫助企業(yè)加強(qiáng)對補(bǔ)丁管理的控制，例如：可以定制客戶端安裝補(bǔ)丁的策略，何時安裝，何時重啟，是否可以延遲重啟，是否設(shè)置強(qiáng)行重啟的最后期限等。并且sccm 2007的補(bǔ)丁管理和ad的緊密整合后，可以靈活地制定針對不同的對象計算機(jī)的補(bǔ)丁管理策略。最后通過sccm 2007的補(bǔ)丁管理可以及時查看補(bǔ)丁的最新狀況，而且sccm2007的補(bǔ)丁管理，可以結(jié)合其他的功能，例如：安全配置管理， sccm 20

22、07可以把某一些關(guān)鍵補(bǔ)丁，作為終端安全配置的基準(zhǔn)之一。另外sccm 2007還有客戶端內(nèi)網(wǎng)接入保護(hù)功能，可以制定關(guān)鍵補(bǔ)丁作為接入健康條件。4.6終端資產(chǎn)管理sccm 2007的資產(chǎn)管理是基于標(biāo)準(zhǔn)的硬件清單，即通過利用 windows management instrumentation (wmi)，sccm 2007提高了清單掃描過程中客戶端的性能并提供了一組更豐富的清單數(shù)據(jù)，其中包括 bios 和機(jī)架外殼數(shù)據(jù)。目前可以支持超過130種wmi的類型，可以獲取豐富和準(zhǔn)確地信息。而且sccm 2007可以提供靈活細(xì)致的清單。盡管 sccm 2007 使企業(yè)能跟蹤其系統(tǒng)上幾乎全部的軟件資產(chǎn)，但通常企

23、業(yè)會有特別重要或感興趣的一組核心應(yīng)用程序和文件。通過使用通配符、環(huán)境變量和文件屬性之類的功能來提供實施智能清單搜索的功能，sccm 2007 使企業(yè)可以專注于他們所需的信息。通過跳過壓縮和加密的文件，還可以減少系統(tǒng)資源的消耗。為確保豐富的清單和使用情況跟蹤信息易于訪問且與業(yè)務(wù)相關(guān)，sccm 2007 包括一款強(qiáng)大、高度靈活且可完全擴(kuò)展的 web 報告引擎，其中預(yù)置了 120 多種現(xiàn)成的報告。其中包含了圖形類的報表和數(shù)據(jù)類型的報表。也可以自定義或創(chuàng)建報告，還可以使用導(dǎo)入和導(dǎo)出功能將這些報告?zhèn)鬏數(shù)狡渌?sccm 2007 環(huán)境中。當(dāng)然，在沒有安裝sms客戶端軟件的終端設(shè)備，也可以通過sms的網(wǎng)絡(luò)

24、進(jìn)行發(fā)現(xiàn)，并且可以讓系統(tǒng)管理員能夠?qū)ζ溥M(jìn)行跟蹤和維護(hù)。4.7終端內(nèi)網(wǎng)接入保護(hù) sccm 2007可以對內(nèi)網(wǎng)的終端接入到企業(yè)內(nèi)網(wǎng)進(jìn)行全面的安全健康狀態(tài)檢查能力，例如：可以制定特定的補(bǔ)丁，特定的需要安裝的軟件等，作為終端接入企業(yè)內(nèi)網(wǎng)的健康指標(biāo)，如果不符合企業(yè)標(biāo)準(zhǔn)，將會把此客戶端接入到隔離網(wǎng)絡(luò)進(jìn)行修補(bǔ)管理，然后直到客戶端符合企業(yè)健康要求，才讓客戶端接入內(nèi)網(wǎng)。此解決方案叫做網(wǎng)絡(luò)接入保護(hù)network access protection (nap), 在windows vista, xp sp3, windows server 2008中以及在操作系統(tǒng)默認(rèn)安裝中包含了健康策略客戶端，sccm 2007就

25、利用了此客戶端，在服務(wù)器端集中制定規(guī)則，通過和網(wǎng)絡(luò)控制設(shè)備（802.1x網(wǎng)絡(luò)設(shè)備，windows server 2008 dhcp, vpn, ipsec等）可以實現(xiàn)對客戶端的網(wǎng)絡(luò)接入進(jìn)行控制。sccm2007提供了持續(xù)的對客戶端接入的策略制定，以及對不符合要求的客戶端進(jìn)行修補(bǔ)管理。 微軟提供的健康狀態(tài)檢查網(wǎng)絡(luò)接入保護(hù)系統(tǒng)是針對企業(yè)終端接入網(wǎng)絡(luò)而實施的保護(hù)系統(tǒng)。根據(jù)企業(yè)安全策略去限制非安全終端接入內(nèi)部網(wǎng)，和其他終端安全方案結(jié)合將構(gòu)成完整的終端安全系統(tǒng)。因此將企業(yè)網(wǎng)絡(luò)劃分為兩個互相隔離的區(qū)域：l 安全區(qū)域，可以訪問企業(yè)內(nèi)部資源；l 控制區(qū)域，將不能訪問企業(yè)內(nèi)部資源，可以訪問internet，可以

26、安裝補(bǔ)丁和最新的病毒庫；終端接入安全策略 企業(yè)安全策略是根據(jù)企業(yè)安全需求而設(shè)定的，包括終端補(bǔ)丁安裝情況，終端防病毒軟件安裝以及版本更新情況，病毒代碼庫的更新情況。例如和主流防病毒軟件symantec聯(lián)動，可以對其防病毒軟件版本和病毒庫進(jìn)行監(jiān)測。個人防火墻的配置情況，屏幕保護(hù)的配置情況，特定服務(wù)的運行狀況，計算機(jī)或者用戶所屬的組，以及接入時間控制等等。這些安全策略由企業(yè)信息化建設(shè)的安全部門進(jìn)行制定，系統(tǒng)支持在線更新策略，終端接入檢查開始之前刷新安全策略的機(jī)制。終端安全檢查和網(wǎng)絡(luò)控制服務(wù) 終端實施接入時進(jìn)行安全檢查，當(dāng)終端檢查結(jié)果符合企業(yè)安全策略時，允許終端接入到企業(yè)網(wǎng)絡(luò)，可以訪問內(nèi)部資源：文件、

27、應(yīng)用、內(nèi)部網(wǎng)站等。否則終端一直處于與企業(yè)內(nèi)部網(wǎng)絡(luò)隔離的控制區(qū)域，接受修補(bǔ)。直到修補(bǔ)完成，具備健康接入的條件后，重新接入。非安全終端管理策略 可以與其他安全方案配合，在網(wǎng)絡(luò)控制區(qū)內(nèi)部署補(bǔ)丁分發(fā)和病毒庫更新服務(wù)器，使得進(jìn)入控制區(qū)的非安全終端可以在局域網(wǎng)就可以修補(bǔ)系統(tǒng)達(dá)到符合安全策略。另外，在特殊情況下，管理員可以手動配置網(wǎng)絡(luò)端口臨時性進(jìn)入網(wǎng)絡(luò)安全區(qū)域。4.8軟件分發(fā)sccm 2007的軟件分發(fā)功能有了較為增強(qiáng)的功能：l 靈活性基于不同對象，例如：在活動目錄中定義的組織單位，站點等進(jìn)行分發(fā)可以靈活地根據(jù)不同需求給不同的對象群組分發(fā)軟件。l 準(zhǔn)確性基于 sccm guid的分發(fā)，即使計算機(jī)改名也能準(zhǔn)確

28、發(fā)布。l 自動性新增的機(jī)器，只要滿足集合的條件，就能自動安裝指定的軟件，而無需二次分發(fā)。l 可追蹤性詳盡的狀態(tài)報表可以跟蹤應(yīng)用程序部署的進(jìn)展l 節(jié)省帶寬sccm的軟件分發(fā)具有智能后臺傳輸技術(shù)，可以自動調(diào)整軟件分發(fā)傳輸?shù)膸?，并且可以設(shè)定閥值上限。對于分支機(jī)構(gòu)的軟件分發(fā)傳輸，可以利用本地的文件服務(wù)器作為本地的代表進(jìn)行本地對等分發(fā)，同時在sccm2007中，還可以讓客戶端擔(dān)任本地分發(fā)對等下載得角色，大大降低了分支機(jī)構(gòu)的硬件投資。l 軟件包本身的更新是增量式的復(fù)制。只有更改部分在網(wǎng)絡(luò)上傳輸。并且，sccm具有智能帶寬傳輸技術(shù)，它可以自動根據(jù)業(yè)務(wù)網(wǎng)絡(luò)的帶寬占用情況作出自動的帶寬使用調(diào)整，在不影響正常業(yè)

29、務(wù)在網(wǎng)絡(luò)的運行下，實現(xiàn)對應(yīng)用程序的部署。l 可靠性對慢速及不穩(wěn)定網(wǎng)絡(luò)的支持，以及斷點續(xù)傳的功能，保證了應(yīng)用程序部署可以可靠的完成。l sccm 2007還可以設(shè)定軟件分發(fā)的窗口期，可以控制客戶端在某個具體時間點才能完成相關(guān)的軟件分發(fā)，補(bǔ)丁分發(fā)的維護(hù)工作。降低對一些關(guān)鍵客戶端，因為日常維護(hù)而帶來的影響正常工作業(yè)務(wù)的開展。4.9終端管理數(shù)據(jù)報表管理sccm 2007中的報表能夠有效準(zhǔn)確地將sccm管理的結(jié)果直觀地體現(xiàn)出來，如資產(chǎn)信息，補(bǔ)丁管理信息，應(yīng)用程序部署狀態(tài)，整個sccm site的健康狀況。在sccm2007安裝完后，就已經(jīng)可以直接使用內(nèi)置的120以上的報表模版。已有的報表分為以下幾類：

30、硬件信息 軟件信息 軟件更新信息（補(bǔ)丁管理） 應(yīng)用程序部署信息 sccm site信息 具體客戶端的報表除了以上的基本報表，為了便于領(lǐng)導(dǎo)查詢所需的信息，sccm2007還新增了儀表盤 (dashboard)。它的好處是：將常用的幾個報表匯總一處并給予權(quán)限設(shè)置。這樣，只需一個統(tǒng)一的界面，可以同時查看多個報表而無需同時打開多個頁面。sccm中的報表的查詢是基于sql的視圖的。用戶無需了解整個數(shù)據(jù)庫的詳細(xì)架構(gòu)就可以方便地進(jìn)行二次開發(fā)。此外，sccm2007的報表是基于web方式的，只要有瀏覽器和連接，就可以隨時隨地查看。也易于與其他web服務(wù)整合在一起。所有收集到的數(shù)據(jù)和信息都集中保存在站點服務(wù)器的

31、數(shù)據(jù)庫里，也包括一定時期的歷史紀(jì)錄。一個優(yōu)秀的操作小組能夠根據(jù)需要制作報表來幫助管理層進(jìn)行現(xiàn)狀分析，提出改善建議。4.10服務(wù)器監(jiān)控功能實現(xiàn) 目前xx公司沒有對服務(wù)器實現(xiàn)全面的監(jiān)控管理，微軟建議建立基于system center operation manager 2007 (scom 2007)為基礎(chǔ)平臺的服務(wù)器運維平臺。 對于服務(wù)器的本身的運行狀況，性能狀況，應(yīng)用程序運行狀況的監(jiān)控，是服務(wù)器管理方面非常重要的管理項目。 需要實現(xiàn)從硬件底層的監(jiān)控，操作系統(tǒng)平臺的監(jiān)控，一直到應(yīng)用程序監(jiān)控的多層面監(jiān)控要求。 監(jiān)控包括健康狀態(tài)提示，故障自動告警，故障告警后自動的知識庫提示，操作人員操作的安全審計管

32、理，運維整體報表管理等多角度。 基于微軟system center平臺另外一個重要解決方案system center operations manager 2007可以方便實現(xiàn)以上所有服務(wù)器運維監(jiān)控管理的要求。4.10.1服務(wù)器狀態(tài)監(jiān)控scom 2007面向各種規(guī)模的企業(yè)單位實現(xiàn)了windows服務(wù)器事件與性能監(jiān)控的集中化目標(biāo)。為應(yīng)對這種合并趨勢可能引發(fā)的潛在的信息“洪流”，mom預(yù)先內(nèi)建了大量“知識”儲備，可供應(yīng)用程序?qū)π畔⒑x進(jìn)行評估，并就所應(yīng)做出的響應(yīng)提供決策。上述知識主要以管理軟件包形式出現(xiàn)，不僅有助于在故障發(fā)生的第一時間盡快診斷出問題根源并做出適當(dāng)反應(yīng)，而且，還可通過就問題隱患向管理人員發(fā)出警告，并在其發(fā)生前提供解決方案建議的方式來預(yù)防故障事件的實際發(fā)生。scom 2007主要具備以下特性和優(yōu)勢： 具備可擴(kuò)展內(nèi)建知識儲備的管理軟件包。 集中化服務(wù)器事件與性能監(jiān)控特性。 具備高度可伸縮性的分布式體系結(jié)構(gòu)。 針對基于windows操作系統(tǒng)的服務(wù)器性能實施監(jiān)控的能力。 針對基于windows操作系統(tǒng)的服務(wù)器事件實施監(jiān)控的能力。 根據(jù)警告提示執(zhí)行專項操作的能力。 和第三方管理產(chǎn)品實現(xiàn)事件集成的能力和通過第三方廠商提供的管理軟件包實現(xiàn)對包括路由器和非windows系統(tǒng)在內(nèi)的整體監(jiān)控能力。4.10.2