精品实例分享一课件

實例分享一從各自為政到集中管控 紀乃元宏碁商軟技術顧問 案例背景簡介 公司簡介 順X3C量販 國內資訊末端通路商的領導者 屹立在3C產業中 默默耕耘 穩定成長 服務據點遍佈台灣42個分處 經過24年來的努力 2005年資本額達新台幣6 8億長期以來 已經成為全國最大直營資訊專業賣場其資訊產品與價格亦在市場上極獲好評 背景資料 員工人數600人以上總公司位於高雄 分公司遍佈台灣42個地點門市使用之電腦佔60 以上IT部門近20人實際維運作業人員 2人資訊環境 Server 50 Client 500 Intranet 100MbpsEthernet 原有的IT架構 2006 8 42個網域各自獨立互不隸屬也沒有任何信任關係各管理員自行管理用戶端各用戶端自行上網更新修補檔安裝部署軟體均由人工作業為存取不同網域中的資訊 必須在不同網域中重覆建立使用者帳號 DomainHQ Domain1 Domain2 Domain41 CoreIO分析 身份識別目錄服務 因為要使用ExchangeServer而導入AD 卻未善用AD的好處 CoreIO分析 Desktop生命週期管理 面臨的問題 單一帳號存在於多個網域本地端資源無法開放給其他網域使用各網域時間不同步 造成系統時間不一致用戶端IE暫存檔未定時清理 不僅造成空間浪費 亦潛藏威脅風險用戶端自行上網更新 消耗公司對外頻寬需逐台安裝軟體及驅動程式 耗損人力資產盤點工作曠日費時 建議的解決方案 單一帳號存在於多個網域本地端資源無法開放給其他網域使用各網域時間不同步 造成系統時間不一致用戶端IE暫存檔未定時清理 不僅造成空間浪費 亦潛藏威脅風險用戶端自行上網更新 消耗公司對外頻寬需逐台安裝軟體及驅動程式 耗損人力資產盤點工作曠日費時 網域合併 設定一致的時間伺服器 統一管控帳號權限 並使用群組原則調校用戶端適當設定 導入WSUS 集中管理更新檔派送機制 導入SMS 節省人力成本 精確掌握IT資源 何謂ActiveDirectory 網路與使用者管理的中心點網路與應用程式安全的中央授權系統結合的整合點 AccountInformationPrivilegesProfilesPoliciesSingleSign On WindowsUsers NetworkResourcesFileSharesPrintersPolicies WindowsServers ConfigurationSecurityQuarantinePolicies WindowsClients DirectoriesDatabasesMainframesUNIX OtherSystems ProductInformationPrivilegesProfilesPoliciesAutomateddeployment MicrosoftProducts ConfigurationQualityofServiceSecurityPoliciesSingleSign On NetworkDevices ConfigurationSecurityPolicyVPN RemoteAccessQuarantineSingleSign On FirewallServices SingleSign OnAutomateddeploymentConfigurationApp specificdirectorydata 3rdPartyApplications OperationalEfficiencyImprovedSecurityImprovedProductivityInteroperability ActiveDirectory 身份識別與存取管理的基礎 利用ActiveDirectory佈署安全性設定 群組原則GroupPolicy 以原則的方式進行管理大幅減化管理工作降低營運成本增加使用者生產力快速落實IT政策 管理人員採取一項行動 新的原則 對許多使用者產生影響 對許多電腦產生影響 一對多的管理方式 日後規劃 第二期 中期 標準基礎KerberosX509LDAPBindPEAP network 802 1x network RADIUS network 整合PKIMulti FactorauthenticationAuto enrollment renewal單一登入SingleSign onKerberosApplicationsWindowsIntegratedApps ActiveDirectory Multi Factor User Password Wireless Internet Remote 驗證服務AuthenticationServices 企業目錄 Enterprisedirectory 身份識別資訊的單一儲存庫許多應用程式都可重覆使用集中的管理 供應與資料結構描述 HRSystem InfraApplication ExchangeApplication In HouseApplication COTSApplication ContractorSystem In HouseApplication IdentityPlatform 日後規劃 第三期 長期 Administratorsubscribestoupdatecategories ServerdownloadsupdatesfromMicrosoftUpdate Clientsregisterthemselveswiththeserver Administratorputsclientsindifferenttargetgroups Administratorapprovesupdates Agentsinstalladministratorapprovedupdates MicrosoftUpdate WSUSServer DesktopClientsTargetGroup1 ServerClientsTargetGroup2 WSUSAdministrator WSUS運作架構 WSUS功能 免費的軟體更新機制提供易於使用 且能符合各種軟體更新情境的完整軟體更新機制解決方案軟體更新程序自動化支援微軟更多產品支援targetgroups用戶端加入適當的targetgroupsIT人員最佳化更新管理建立微軟平台上的基本更新管理架構可彈性的與SMS或其它廠商的產品搭配 防火牆 SMS站台伺服器 SMS軟體派送點 SMS用戶端 SMS用戶端 SMS軟體派送點 SMS2003派送Scan元件到SMS用戶端 用戶端將Scan結果回報至硬體資產中 並產生Web報表 SMS用戶端 Microsoft下載中心 SMS2003運作原理 防火牆 SMS軟體派送點 SMS用戶端 SMS用戶端 SMS軟體派送點 管理者運用更新部署精靈下載安全補充程式 並自動產生Packages Programs及Advertisement用戶端的 軟體更新代理程式 進行安裝 SMS用戶端 Microsoft下載中心 SMS站台伺服器 SMS2003運作原理 軟體部署 資產管理 補充程式更新管理 整合Windows管理架構 支援行動工作者 SMS2003功能 詳盡的應用程式部署規劃豐富的散佈目標鎖定站台伺服器和散佈點之間的差異散佈提高權限的WindowsInstaller服務新增或移除程式支援 應用程式使用狀況監控細微的軟體清查檔案層級搜尋詳盡的硬體清查Web報告 弱點識別修補程式部署精靈弱點評估和遷移報告 頻寬感知用戶端檢查點 重新啟動下載及執行位置感知 ActiveDirectory探索ActiveDirectory架構站台界限進階安全性模式改進的狀態工具WindowsXP遠端協助支援 預期的成效 網域合併 設定一致的時間伺服器 統一管控帳號權限 並使用群組政策調校用戶端適當設定分散與可延展的架構 可做為日後單一登入的基礎網域內資源皆可共享 並且權限設定更為嚴謹依政策管控設定 可簡化身份識別生命週期的管理密碼強度的驗證 可降低威脅滲入的風險導入WSUS 集中管理更新檔派送機制可大幅降低作業系統因漏洞 Bug 未補而造成病毒事件導入SMS 節省人力成本 精確掌握IT資源專案軟體派送 減少28人力 天 效率提升89 6 軟硬體資產資料蒐集 減少10 41人力 天 99 9 導入的方法與步驟 架構討論與規劃群組原則討論HQAD重整HQWSUS建置HQSMS建置site1proces