IT基礎架構(gòu)規(guī)劃方案三

IT基礎架構(gòu)規(guī)劃方案三（IT基礎軟件和系統(tǒng)規(guī)劃）IT基礎軟件和系統(tǒng)規(guī)劃操作系統(tǒng)選型規(guī)劃方案根據(jù)對某集團的實際調(diào)研，獲取了企業(yè)業(yè)務應用系統(tǒng)的建設情況，隨著企業(yè)信息化建設的推進，需要對各種信息化管理系統(tǒng)和應用系統(tǒng)的服務器選型進行選型規(guī)劃，根據(jù)不同的系統(tǒng)對服務某集團信息化應用目標是：搭建集成、統(tǒng)一平臺，規(guī)避流程、規(guī)避風險，實現(xiàn)高效協(xié)作，有效支撐決策、實現(xiàn)多維度矩陣管控、實現(xiàn)無邊界的信息應用。操作系統(tǒng)選型參考和說明：類型操作系統(tǒng)選型參考選型說明域服務器/郵件服務器等企業(yè)IT管理系統(tǒng)WindowsServer系列操作系統(tǒng)建議選用最新版WindowsServer2008R2，Windows管理和使用方便，管理功能豐富中小型業(yè)務應用系統(tǒng)和數(shù)據(jù)庫系統(tǒng)RedHatLinux系列操作系統(tǒng)建議選用RedHatLinux企業(yè)高級平臺版，Linux操作系統(tǒng)可靠性和安全性相對較高大型業(yè)務應用系統(tǒng)和數(shù)據(jù)庫系統(tǒng)IBMUnix系列操作系統(tǒng)IBMUnix可靠性、安全性和性能是目前企業(yè)級服務器操作系統(tǒng)最高的。虛擬化規(guī)劃方案目前虛擬化技術主要包括服務器虛擬化、桌面虛擬化和應用虛擬化等技術。服務器虛擬化技術讓一臺物理服務器可以同時支持多個運行虛擬機的工作負載。管理員可利用虛擬機將工作負載（包括一個操作系統(tǒng)、應用組和配置）從物理計算平臺中分離出去，這樣就可以實現(xiàn)一些重要功能，如隔離（在一個計算平臺上安全地運行多個工作負載）和工作負載可移植性（在不同的物理計算平臺之間遷移工作負載）。采用更先進的服務器虛擬化平臺，就可跨物理服務器快速遷移正在運行的工作負載。這樣一來，就可在整個物理計算資源池中遷移工作負載，讓IT部門可以最大限度地使用可用的計算資源，降低成本，并將應用有效、可靠地交付給用戶。桌面虛擬化方案提供一種端到端的桌面管理解決方案。可動態(tài)按需產(chǎn)生虛擬桌面，該桌面所有的運行都發(fā)生在遠程數(shù)據(jù)中心的機房里不用再擔心數(shù)據(jù)駐留在客戶端導致的安全漏洞。用戶每次登錄時都能獲得一個干凈的、個性化的全新桌面——從而確保性能不會下降。虛擬桌面是一個桌面的操作系統(tǒng)，是運行在服務器上的虛擬操作系統(tǒng)。在虛擬桌面模式下，每個人獨享自己的操作系統(tǒng)。將桌面操作系統(tǒng)虛擬化帶來很多好處，包括：l信息保存在數(shù)據(jù)中心保證了數(shù)據(jù)的安全性；l桌面的性能能夠得到提升，因為它和應用后端的服務器都運行在數(shù)據(jù)中心；l桌面可以分享最新最強大的服務器硬件；l可以從任何地點遠程訪問桌面；l維護桌面的費用大大降低。應用虛擬化技術是一種可將應用與底層系統(tǒng)隔離的技術。采用應用虛擬化技術，應用可直接在用戶桌面系統(tǒng)上隔離運行或通過在用戶桌面上顯示應用界面而在服務器上遠程運行，而不管用戶采用的是哪種底層平臺或操作系統(tǒng)。目前主流的虛擬化解決方案廠商有IBM、VmWare、微軟、Citrix等，選型時主要考慮產(chǎn)品的可靠性、性能指標、功能性和兼容性等。IBM和VmWare在服務器虛擬化方面比較知名，而Citrix在桌面虛擬化和應用虛擬化（遠程接入）方面的解決方案相對其他廠商比較成熟。數(shù)據(jù)庫選型規(guī)劃方案數(shù)據(jù)庫作為企業(yè)IT集成架構(gòu)的重要組成部分，在數(shù)據(jù)庫的選擇上通過開放性、可伸縮懷和并行性、安全認證、性能、操作簡易程度以及使用風險來選擇數(shù)據(jù)庫。一、開放性SQLServer只能在windows上運行，沒有絲毫的開放性，操作系統(tǒng)的系統(tǒng)的穩(wěn)定對數(shù)據(jù)庫是十分重要的。Windows9X系列產(chǎn)品是偏重于桌面應用，NTserver只適合中小型企業(yè)。而且windows平臺的可靠性，安全性和伸縮性是非常有限的。它不像Unix那樣久經(jīng)考驗，尤其是在處理大數(shù)據(jù)庫。Oracle能在所有主流平臺上運行（包括windows）。完全支持所有的工業(yè)標準。采用完全開放策略?？梢允箍蛻暨x擇最適合的解決方案。對開發(fā)商全力支持。SybaseASE能在所有主流平臺上運行（包括windows）。但由于早期Sybase與OS集成度不高，因此VERSION11.9.2以下版本需要較多OS和DB級補丁。在多平臺的混合環(huán)境中，會有一定問題。DB2能在所有主流平臺上運行（包括windows）。最適于海量數(shù)據(jù)。DB2在企業(yè)級的應用最為廣泛二、可伸縮性，并行性SQLserver并行實施和共存模型并不成熟，很難處理日益增多的用戶數(shù)和數(shù)據(jù)卷，伸縮性有限。Oracle并行服務器通過使一組結(jié)點共享同一簇中的工作來擴展window的能力，提供高可用性和高伸縮性的簇的解決方案。如果windows不能滿足需要，用戶可以把數(shù)據(jù)庫移植到Unix/Linux中。Oracle的并行服務器對各種Unix/Linux平臺的集群機制都有著相當高的集成度。SybaseASE雖然有DBSWITCH來支持其并行服務器，但DBSWITCH在技術層面還未成熟，且只支持版本12.5以上的ASESERVER。DBSWITCH技術需要一臺服務器充當SWITCH，從而在硬件上帶來一些麻煩。DB2具有很好的并行性。DB2把數(shù)據(jù)庫管理擴充到了并行的、多節(jié)點的環(huán)境。數(shù)據(jù)庫分區(qū)是數(shù)據(jù)庫的一部分，包含自己的數(shù)據(jù)、索引、配置文件、和事務日志。數(shù)據(jù)庫分區(qū)有時被稱為節(jié)點安全性。三、安全認證SQLserver沒有獲得任何安全證書。OracleServer獲得最高認證級別的ISO標準認證。SybaseASE獲得最高認證級別的ISO標準認證。DB2獲得最高認證級別的ISO標準認證。四、性能SQLServer多用戶時性能不佳Oracle性能最高，保持開放平臺下的TPC-D和TPC-C的世界記錄。SybaseASE性能接近于SQLServer,但在UNIX平臺下的并發(fā)性要優(yōu)與SQLServer。DB2性能較高適用于數(shù)據(jù)倉庫和在線事物處理。五、客戶端支持及應用模式SQLServerC/S結(jié)構(gòu)，只支持windows客戶，可以用ADO、DAO、OLEDB、ODBC連接。Oracle多層次網(wǎng)絡計算，支持多種工業(yè)標準，可以用ODBC、JDBC、OCI等網(wǎng)絡客戶連接。SybaseASEC/S結(jié)構(gòu)，可以用ODBC、Jconnect、Ct-library等網(wǎng)絡客戶連接。DB2跨平臺，多層結(jié)構(gòu)，支持ODBC、JDBC等客戶。六、操作簡便SQLServer操作簡單，但只有圖形界面。Oracle較復雜，同時提供GUI和命令行，在Windows和Unix/Linux下操作相同。SybaseASE較復雜，同時提供GUI和命令行。但GUI較差，常常無法及時狀態(tài)，建議使用命令行。DB2操作簡單，同時提供GUI和命令行，在windows和unix下操作相同。七、使用風險SQLserver完全重寫的代碼，經(jīng)歷了長期的測試，不斷延遲，許多功能需要時間來證明。并不十分兼容。Oracle長時間的開發(fā)經(jīng)驗，完全向下兼容。得到廣泛的應用。完全沒有風險。SybaseASE向下兼容，但是ct-library程序不益移植。DB2在巨型企業(yè)得到廣泛的應用，向下兼容性好。風險小。綜合以上分析，企業(yè)業(yè)務應用系統(tǒng)數(shù)據(jù)庫建議采用最新版Oracle11G數(shù)據(jù)庫。數(shù)據(jù)安全和備份規(guī)劃數(shù)據(jù)安全主要包含兩部分，一是數(shù)據(jù)本身的安全，主要是指采用現(xiàn)代密碼算法對數(shù)據(jù)進行主動保護，如數(shù)據(jù)保密、數(shù)據(jù)完整性、雙向強身份認證等，二是數(shù)據(jù)防護的安全，主要是采用現(xiàn)代信息存儲手段對數(shù)據(jù)進行主動防護，如通過磁盤陣列、數(shù)據(jù)備份、異地容災等手段保證數(shù)據(jù)的安全。1）數(shù)據(jù)安全認證規(guī)劃企業(yè)對應用系統(tǒng)數(shù)據(jù)安全認證需求主要有以下幾方面：0身份認證和訪問控制：身份認證分為兩個方面，一方面是對應用系統(tǒng)站點的認證，確保用戶訪問的是真實的應用服務器；另一方面是對應用系統(tǒng)客戶端的身份證，必須嚴格控制并識別應用系統(tǒng)用戶的身份，登錄到業(yè)務網(wǎng)絡系統(tǒng)的人必須是相關業(yè)務人員，凡非相關人員，系統(tǒng)拒絕其訪問；0機密性：在應用系統(tǒng)客戶端與服務器端交換的信息必須是經(jīng)過加密后才傳輸?shù)模荒鼙桓`?。?數(shù)據(jù)完整性：在應用系統(tǒng)傳輸?shù)臄?shù)據(jù)必須有必要的完整性校驗機制，不能被惡意竄改；比如不能將原本為10萬元的支付數(shù)據(jù)篡改成1萬元或100萬元再對外支付；0不可抵賴性：必須確保支付或其它在應用系統(tǒng)提交的請求是不允許抵賴的，同時必須有相應的技術保證數(shù)據(jù)的源發(fā)性，出現(xiàn)越軌操作，系統(tǒng)能提供事后追蹤、審核及統(tǒng)計的手段。針對以上的數(shù)據(jù)安全認證需求，推薦基于智能鑰匙認證（PKI技術）的解決方案，天威誠信的產(chǎn)品和服務都是基于PKI技術構(gòu)建，天威誠信安全認證及數(shù)字簽名綜合解決方案可以解決以下四個方面的安全問題：0數(shù)字簽名對關鍵業(yè)務數(shù)據(jù)進行簽名，保證機密性、完整性和不可抵賴性；0安全訪問用于登錄應用系統(tǒng)，替換掉原有安全級別較低的“用戶名/口令”方式，防止非授權用戶的惡意攻擊，同時不能破壞應用系統(tǒng)原有的權限管理機制。安全訪問就是讓企業(yè)的員工能方便的在任何地方通過互聯(lián)網(wǎng)安全地訪問企業(yè)的內(nèi)部網(wǎng)和內(nèi)部機密數(shù)據(jù)；0信息加密通過高強度的加密算法形成安全的SSL加密通道，使在網(wǎng)絡上傳輸?shù)拿舾行畔⒉荒鼙坏谌礁`??；0技術和法律層面的雙重保障抗抵賴性天威誠信數(shù)字證書實現(xiàn)的數(shù)字簽名技術可以通過目前最安全的PKI技術上實現(xiàn)抗抵賴的功能。但是，在現(xiàn)時生活中，真正能夠裁決是否發(fā)生了抵賴行為，只有法院的仲裁才能夠最終定性。在2005年中華人民共和國《電子簽名法》頒布以后，法律上規(guī)定：只有得到信息產(chǎn)業(yè)部頒發(fā)的《電子認證服務許可證》的數(shù)字認證機構(gòu)，其所頒發(fā)的數(shù)字證書在電子商務中的數(shù)字簽名才能夠得到法律的認可和保護。天威誠信率先從信息產(chǎn)業(yè)部獲得該資質(zhì)，因此，應用系統(tǒng)用戶使用天威誠信提供的數(shù)字證書實現(xiàn)的電子簽名是合乎法律要求的抗抵賴證據(jù)，從而使應用系統(tǒng)的電子化簽名和手寫簽名一樣得到法律的認可，可以作為法律上有效的證據(jù)，結(jié)束了電子化信息系統(tǒng)重要數(shù)據(jù)的“無據(jù)可依”，“無法可依”的現(xiàn)狀。因此，通過此方式，用戶能夠?qū)崿F(xiàn)技術和法律層面的雙重保障。2）數(shù)據(jù)存儲安全數(shù)據(jù)存儲的安全是指數(shù)據(jù)庫在系統(tǒng)運行之外的可讀性，企業(yè)對應用系統(tǒng)數(shù)據(jù)存儲安全的需求主要有以下幾方面：0諸如、格翰姆―布萊利法和巴塞爾協(xié)議II等法規(guī)要求企業(yè)內(nèi)部要有強健的內(nèi)部控制和職責分離；0針對當今非常關心的內(nèi)部威脅要求強制執(zhí)行操作安全策略——規(guī)范何人、何時、何地能夠處理數(shù)據(jù)；0數(shù)據(jù)庫整合策略要求防止數(shù)據(jù)庫管理員訪問應用程序的數(shù)據(jù)。針對以上的數(shù)據(jù)存儲安全需求，推薦OracleDatabaseVault解決方案，解決方案的要點如下：0對授權用戶的控制限制數(shù)據(jù)庫管理員訪問應用程序的數(shù)據(jù)提供職責分離的功能保證數(shù)據(jù)庫和信息整合的安全性0執(zhí)行數(shù)據(jù)訪問的安全策略控制何人、何時、何地以及如何訪問數(shù)據(jù)可根據(jù)IP地址、時間或授權等情況作出訪問決定0已通過針對PeopleSoft的認證通過SQi/Plus的訪問數(shù)據(jù)犀管理員授權的應用程序 應用程序用戶■所有者通過SQi/Plus的訪問數(shù)據(jù)犀管理員授權的應用程序 應用程序用戶■所有者> 「DataVault安全性保護數(shù)據(jù)庫和應用程序Oracle數(shù)據(jù)字典其他應用程序E-BusinessSuite3)數(shù)據(jù)備份規(guī)劃一個完整的數(shù)據(jù)備份和災難恢復方案，應包括備份硬件，備份軟件，備份計劃和災難恢復計劃四個部分。0備份硬件目前比較流行的解決方法包括硬盤介質(zhì)存儲，光學介質(zhì)和磁帶/磁帶機存儲技術。硬盤存儲費用比較高，光學介質(zhì)的訪問速度慢，且容量較小。通常情況下，大容量網(wǎng)絡備份用戶主要使用磁帶設備進行備份。磁帶備份具有如下優(yōu)勢：容量大并可靈活配置，速度適中，介質(zhì)保存周期長，成本低，數(shù)據(jù)安全性高，可實現(xiàn)無人操作的自動備份等。0備份軟件目前主流的備份軟件有，IBM的Tivoli(TSM),HP的OpenView,Veritas公司的NetBackup,Legato公司的NetWorker,CA的ARCserve等。客戶可以根據(jù)實際情況選擇合適的備份軟件。0備份計劃/策略從備份策略來講，現(xiàn)在的備份可分為三種：完全備份、增量備份、差異備份、累加備份策略。下面來討論以下這幾種備份方式：完全備份就是拷貝指定計算機或文件系統(tǒng)上的所有文件，而不管它是否被改變。增量備份就是只備份在上一次備份后增加、改動的部分數(shù)據(jù)。增量備份可分為多級，每一次增量都源自上一次備份后的改動部分。差異備份就是只備份在上一次完全備份后有變化的部分數(shù)據(jù)。如果只存在兩次備份，則增量備份和差異備份內(nèi)容一樣。累加備份采用數(shù)據(jù)庫的管理方式，記錄累積每個時間點的變化，并把變化后的值備份到相應的數(shù)組中，這種備份方式可恢復到指定的時間點。一般在使用過程中，這幾種策略常結(jié)合使用，常用的方法有：完全備份、完全備份加增量備份、完全備份加差異備份、完全備份加累加備份。用戶根據(jù)自身業(yè)務和災難恢復的要求，選擇備份策略。原則上建議至少每周對關鍵數(shù)據(jù)做一次完全備份，一周其它時間每天做增量備份或差異備份，備份每天數(shù)據(jù)。如果數(shù)據(jù)丟失，可以恢復到前一天的數(shù)據(jù)狀態(tài)，否則有丟失數(shù)據(jù)的危險。0災難恢復災難恢復在整個備份中占有重要地位。因為它關系到系統(tǒng)、軟件與數(shù)據(jù)在經(jīng)歷災難后能否快速、準確地恢復。全盤恢復一般應用在服務器發(fā)生意外災難，導致數(shù)據(jù)全部丟失，也稱為系統(tǒng)恢復。有些廠商還推出了擁有單鍵恢復功能的磁帶機，只需用系統(tǒng)盤引導機器啟動，將磁帶插入磁帶機，按動一個鍵即可恢復整個系統(tǒng)。為了應用系統(tǒng)的數(shù)據(jù)安全，建議購買專業(yè)的備份軟件和硬件，并要求客戶必須對每天的應用系統(tǒng)數(shù)據(jù)進行備份。統(tǒng)一身份安全認證規(guī)劃隨著企業(yè)的迅速發(fā)展，各種應用系統(tǒng)和用戶數(shù)量的不斷增加，信息安全問題愈見突出，原有分散在各應用系統(tǒng)中的賬號、權限、認證、審計方面的安全措施已不能滿足企業(yè)目前及未來業(yè)務系統(tǒng)發(fā)展的要求。如下圖所示，主要問題表現(xiàn)在以下方面：最終用戶：需要記憶各系統(tǒng)的訪問賬號和口令；在各系統(tǒng)間切換時需要再次輸入用戶名和口令。給用戶的工作帶來不便，影響了工作效率；管理員：各系統(tǒng)的賬號需要單獨維護，工作量大，維護麻煩，工作效率不高，而且容易出錯，導致用戶無法正常訪問或出現(xiàn)后門賬號導致安全問題；不便于統(tǒng)一安全策略的實施；審計員：各系統(tǒng)獨立維護，不便于做關聯(lián)分析，不便于及時發(fā)現(xiàn)安全問題；最終用戶管理員審計員管理員畝計員系統(tǒng)加系統(tǒng)C-最終用戶管理員畝計員系統(tǒng)加系統(tǒng)C-最終用戶系統(tǒng)AI根據(jù)現(xiàn)狀分析，一方面增加了各個應用系統(tǒng)的維護和管理人員的工作負擔，工作效率不高；另一方面無法對各業(yè)務系統(tǒng)實施統(tǒng)一的安全策略，增大了安全漏洞存在的幾率，降低了業(yè)務系統(tǒng)的安全性。統(tǒng)一身份安全認證平臺通過對賬號、授權、認證和審計的集中管理，達到對安全運維過程進行集中統(tǒng)一的控制，使操作行為和維護行為可以審計。如下圖所示，主要達成了如下目標：（1）將各應用系統(tǒng)中的賬號進行統(tǒng)一管理和控制；（2）提供統(tǒng)一的安全訪問人口，實現(xiàn)系統(tǒng)間單點登陸；（3）實施統(tǒng)一的安全策略，進行集中控制和管理，可對接第三方認證組件；（4）對關鍵數(shù)據(jù)和操作行為進行統(tǒng)一管理和審計，及時發(fā)現(xiàn)安全隱患。最終用戶管理員審計員針對企業(yè)對各信息系統(tǒng)實現(xiàn)統(tǒng)一身份安全認證的需求，統(tǒng)一身份安全認證解決方案。1）實現(xiàn)企業(yè)各信息系統(tǒng)用戶的安全認證。安全認證是指信息系統(tǒng)的用戶在進入系統(tǒng)或訪問系統(tǒng)資源時，系統(tǒng)確認該用戶的身份是否真實、合法和唯一的過程。目前，安全認證的方法和形式多種多樣，通常在實際應用中常用的安全認證的方式主要有口令密碼、動態(tài)密碼卡、智能鑰匙、指紋、數(shù)字證書、條碼卡等。而且，很多系統(tǒng)為了提高安全性，其采用的安全認證方式是上述多種方法的組合，以下主要推薦動態(tài)密碼卡安全認證解決方案。日常的工作中越來越依靠各種軟件系統(tǒng)，內(nèi)部系統(tǒng)的登錄主要依靠靜態(tài)密碼，由于靜態(tài)密碼基本上固定不變，存在著如下的安全隱患：（1）用戶在輸入密碼時容易被人偷看或者攝像機記錄；（2）用戶的密碼容易在傳輸?shù)倪^程中被軟件截??；（3）用戶的密碼一般有一定的規(guī)律性，容易被猜測；（4）用戶的密碼長期不變，容易泄漏；（5）病毒，木馬程序的惡意盜?。唬?）內(nèi)部的防范意識不強，內(nèi)部員工的惡意操作；（7）因為工作需要，告訴同事密碼，事后忘記修改。雖然在一個單位內(nèi)部的系統(tǒng)相對比較安全，但一旦密碼被盜，特別是一些重要的用戶密碼被盜，如單位的領導，財務等，那么造成的損失將是巨大的，這樣的情況并不少見。使用動態(tài)密碼的投入不大，可以有效的防范因為靜態(tài)密碼泄漏造成的風險，保證系統(tǒng)的安全。認證流程如下圖所示。認證流程圖數(shù)據(jù)酣第器動態(tài)密碣卡4口器數(shù)據(jù)酣第器動態(tài)密碣卡4口器3.米硼t用2)實現(xiàn)移動門戶。隨著手機等移動終端設備的普及應用，越來越多的日常事務要求直接通過手機等移動終端完成，在這種應用趨勢下，移動門戶誕生。用戶可以通過移動終端設備登錄Portal，處理待處理審批流程。企業(yè)計算機和用戶管理方案企業(yè)計算機和用戶管理，采用WindowsServer2008的ActiveDirectory活動目錄方案是最佳選擇，ActiveDirectory提供了一種方式，用于管理組成組織網(wǎng)絡的標識和關系。ActiveDirectory與WindowsServer2008R2的集成，為我們帶來了開箱即用的功能，通過這些功能我們可以集中配置和管理系統(tǒng)、用戶和應用程序設置。ActiveDirectory域服務(ADDS,ActiveDirectoryDomainServices)存儲目錄數(shù)據(jù)，管理用戶和域之間的通信，包括用戶登錄過程、身份驗證，以及目錄搜索。此外還集成其它角色，為我們帶來了標識和訪問控制特性和技術，這些特性提供了一種集中管理身份信息的方式，以及只允許合法用戶訪問設備、程序和數(shù)據(jù)的技術。活動目錄是Windows網(wǎng)絡體系結(jié)構(gòu)中一個基本且不可分割的部分，它為網(wǎng)絡的用戶、管理員和應用程序提供了一套分布式網(wǎng)絡環(huán)境設計的目錄服務?；顒幽夸浭沟媒M織機構(gòu)可以有效地對有關網(wǎng)絡資源和用戶的信息進行共享和管理。另外，目錄服務在網(wǎng)絡安全方面也扮演著中心授權機構(gòu)的角色，從而使操作系統(tǒng)可以輕松地驗證用戶身份并控制其對網(wǎng)絡資源的訪問。同等重要的是，活動目錄還擔當著系統(tǒng)集成和鞏固管理任務的集合點?？偟膩碚f，活動目錄的這些功能使組織機構(gòu)可以將標準化的商業(yè)規(guī)則貫徹于分布式應用和網(wǎng)絡資源當中，同時，無需管理員來維護各種不同的專用目錄?；顒幽夸浱峁┝藢赪indows的用戶賬號、客戶、服務器和應用程序進行管理的唯一點。同時，它也幫助組織機構(gòu)通過使用基于Windows的應用程序和與Windows相兼容的設備對非Windows系統(tǒng)進行集成，從而實現(xiàn)鞏固目錄服務并簡化對整個網(wǎng)絡操作系統(tǒng)的管理。公司也可以使用活動目錄服務安全地將網(wǎng)絡系統(tǒng)擴展到Internet上。活動目錄因此使現(xiàn)有網(wǎng)絡投資升值，同時，降低為使Windows網(wǎng)絡操作系統(tǒng)更易于管理、更安全、更易于交互所需的全部費用?；顒幽夸浭俏④浉鞣N應用軟件運行的必要和基礎的條件。下圖表示出活動目錄成為各種應用軟件的中心。

▼Accountinfo■Privileges■Prafifes的Mows.Client■Mgmtprofile■Netv/urkinfo尬力rtdDWS匕屯「，◎「￡■$eryiws▼printer?■Fileshares▼Accountinfo■Privileges■Prafifes的Mows.Client■Mgmtprofile■Netv/urkinfo尬力rtdDWS匕屯「，◎「￡■$eryiws▼printer?■Fileshares克81匕atiME*Vjhitepmgew■E-Canmerc#Other□i馀也Cf誦言■ServerconFig、$ineleSign-On■Rppdp亡占iH占directoryinfo■Pdicy■Mailboxinfo-AddressbookiveDirectoryAFocalPointfor:■Manageability■Security>interoperability0135。苣■Userri9rttry“Security■Policy,ConfigLM'3tiQn■Qo$poticy■SecuritypolicyFi「電wHISwvicef■Configuration■SecurityPolicy*VPNpolicy通過上圖，可見Windows2008Server的核心是一組基于ActiveDirectory（目錄服務，簡稱“AD”）的基礎結(jié)構(gòu)服務。Windows2008AD簡化了管理，加強了安全性，擴展了互操作性。它為用戶、組、安全服務及網(wǎng)絡資源的管理提供了一種集中化的方法。應用Windows2008AD之后，企業(yè)信息化建設者和網(wǎng)絡管理員可以從中獲得如下好處：0系統(tǒng)平臺基礎架構(gòu)基于Windows2008AD規(guī)劃網(wǎng)絡基礎架構(gòu)，使企業(yè)獲得一個穩(wěn)定、可擴充的網(wǎng)絡基礎平臺。不單單是滿足當前的網(wǎng)絡需要，更關鍵的是預計了今后3-5年內(nèi)可能的發(fā)展需要，使得將來的網(wǎng)絡規(guī)劃建設無需再次重復投資。0單一登錄可以統(tǒng)一用戶帳戶設置和用戶身份驗證，實現(xiàn)用戶單一登錄，用戶訪問網(wǎng)絡中的資源不再需要反復輸入用戶名稱和口令。同時，它還是企業(yè)應用集成的基礎?；贏D的單一登錄功能，便于實現(xiàn)在不同程序之間的協(xié)作和集成應用。0網(wǎng)絡安全可以基于AD,集中設置和統(tǒng)一管理用戶、組、資源的操作權限，方便維護管理。0集中管理和委派授權基于Windows2008活動目錄OU實施委派授權管理，未來向下屬企業(yè)推廣時，分級維護，集團各部門、下屬公司可以對所轄范圍內(nèi)的部分參數(shù)進行維護，如增加用戶、設置權限、增加欄目、自定義流程等。0用戶桌面管理通過規(guī)劃部署Windows2008OU和組策略，可以統(tǒng)一規(guī)劃用戶桌面和用戶操作環(huán)境，實現(xiàn)對客戶計算機的集中控制管理，加強信息管理的安全可靠性。0軟件自動分發(fā)通過規(guī)劃部署Windows2008OU和組策略，還可以實現(xiàn)應用程序的自動分發(fā)、升級和刪除，不但可以實現(xiàn)客戶機軟件的統(tǒng)一安裝管理，而且大大減輕了軟件安裝配置的工作量。根據(jù)一般集團公司的管理結(jié)構(gòu)。本方案采用Windows系統(tǒng)提供的域模式來組織和管理全部系統(tǒng)資源，采用域的模式，不僅可以集中存儲網(wǎng)絡對象，并且管理簡單，即實現(xiàn)了集中管理，又可以滿足不同公司自身的安全需求。方案中將集團按公司單位劃分不同的模塊，集團總部作為域林的根，每個子公司為一個獨立的域或者域樹，形成一個完整的樹狀結(jié)構(gòu)。采用這種結(jié)構(gòu)，可以將網(wǎng)絡中的全部資源，分散到每個域的域控制器中存儲，減少了每臺域控制器的信息存儲，從而減少復制流量和網(wǎng)絡對象的查詢時間。具體的實現(xiàn)如下圖：在此構(gòu)架設計中，集團需要自己的獨立的域名，所以在設計林中樹，子公司作為總部的子域，分公司可以考慮作為一單獨的域樹，由于所有的資源都位于局域網(wǎng)內(nèi)，具有高速的網(wǎng)絡連接，因此所有的域均在一個站點內(nèi)。即使域中的一臺域控制器發(fā)生故障，仍然能保障系統(tǒng)的正常運行。并且提高了用戶身份驗證的速度。操作主機分配：操作主機域中扮演著重要的角色，直接影響到域是否能夠正常工作，在Windows2008的域中，一共有五種操作主機，分別是構(gòu)架主機，域名主機，RID主機，PDC仿真器，結(jié)構(gòu)主機。其中前面2種在林范圍內(nèi)起作用，后面3種在域范圍內(nèi)起作用，為了使用所有的操作主機更好的工作，保障正常的工作并且不產(chǎn)生大的復制流量，方案采用了Windows系統(tǒng)默認的設置，根域中第兩臺DC承擔了五種操作主機的角色，每個子域中的第一臺DC承擔了域范圍內(nèi)的三種操作主機角色。系統(tǒng)管理設計：在系統(tǒng)設計時包括三個部分，分別是OU,用戶及組的設計，為了更好的滿足集團的需要，便于系統(tǒng)管理員方便管理企業(yè)中的所有用戶，系統(tǒng)管理結(jié)構(gòu)與集團的管理結(jié)構(gòu)相匹配，方案中采用了如下所述的設計。OU的設計：集團的OU設計目的是為了使用用戶管理更有效率，結(jié)構(gòu)更加清晰，并能夠使系統(tǒng)的管理結(jié)構(gòu)與集團的商業(yè)模型相匹配。在本方案中按部門劃分OU的方法，將每個公司中以部門為單位創(chuàng)建OU,并在部門OU中保存該部門的用戶帳戶，計算機帳戶及組采用這種設計的方法，可以在系統(tǒng)管理中清楚的體現(xiàn)公司的管理結(jié)構(gòu)，一般情況下，一個部門內(nèi)部中的用戶常常有相似的安全需求，利用這樣的設計方法，也可以方便的將安全策略應用到某個部門。用戶管理：為了規(guī)范用戶帳戶的管理，系統(tǒng)中所有的用戶采用統(tǒng)