四川汽车工业集团IT基础架构解决方案

四川汽车工业集团IT基础架构解决方案

IT基础架构解决方案

一、概述

1.1项目背景

四川汽车工业集团有限公司通过多年的IT建设，计算机系统在公司的生产活动中发挥

了越来越重要的作用。四川汽车工业集团有限公司通过搭建的计算机应用系统，将企业业务

活动中存在的大量、复杂的计算需求，与计算机自身所具有的高效、准确、全天候运转特性

充分的集合在一起，从而使得企业竞争能力得到了最大化的提升。

本解决方案将从四川汽车工业集团有限公司的n■环境现状出发，分析现有环境，提出

四川汽车工业集团有限公司关心的关键问题及未来的挑战，并根据有关问题全面阐述对应解

决方案，帮助四川汽车工业集团有限公司快速解决问题，以信息技术提升企业生产力。

1.2现状描述

当前四川汽车工'业集团有限公司内部网络环境多数仍为松散的管理状态，IT环境中硬件

设备伴随着组织中人员数量的增加每年都在增长，大力的信息化建设使硬件与应用软件单纯

从技术层面上讲都达到了较高的水平，但实际环境中不管是工作用桌面计算机还是服务器都

是使用工作组模型，各自独立。IT环境中的软硬件资源都无法实现充分利用.

经历了大规模网络与硬件投资建设之后，四川汽车工业集团有限公司的信息技术部门开

始转向关心信息化建设投资的“效益”，一一毕竟过去投入建成的这些设备，能够形成什么

应用，带来什么效益？这已经成为信息技术部门与企业管理人员最为关心的重点问题。

从信息技术部门人员来说，如何整合现有IT环境中的资源，将IT环境的管理由松散方

式变为集中管理的方式，减轻日常管理保护负担，提升IT生产力。从最终用户来说，如何

能够实现单一的身份验证，快速的访问企业内部的各类资源，较少的宕机时间也是最大的愿

望。

另外，用户通过Office等办公软件，完成自己日常办公作业，通过专业的设计软件来完

成产品的设计，用户的这些操作都会以文件的形式储存下来，随着企业的进展，用户不仅自

己需要使用与储存好这些文件，团队之间的协作需要这些文件的共享、交互。与厂商客户交

流等也需要这些文件的共享、交互。文件可能是一个Word格式的.doc文件或者者PowerPoint

格式的PPT文件，总之它是企业最重要的信息资源。

用户对IT建设的不断投入，使企业的IT环境得到了飞跃性的提高。企业的网络环境越

来越安全、高效、稳固；各类应用系统通过不断的规划、建设、完善、丰富，更加贴近业务

活动的需求。文件作为企业最重要的信息资源，越来越多，应用也越来越频繁。用户经常要

把自己的文件共享给团队的人员或者企业外部的合作伙伴，如何安全、高效管理好这些宝贵

的信息资源成为企业IT部门的重点。

同时，由于网络中安全事件的不断发生,企业内部的文件数据安全性己经成为网络安全

领域比较受关注的课题之一。网络中安全的威胁通常来自于Internet与局域网络内部，而

来自企业内部的网络攻击往往是最致命的。遭受攻击的结果通常会导致企业内部敏感数据的

大量泄漏，从而会对企业造成巨大的经济缺失。

1.3问题分析

由于历史与技术进展方面的原因，现有四川汽车工业集团有限公司企业内部的IT环境

是逐步建立起来的，而且在早期建立时由于没有整体架构的科学指导，导致目前的松散型IT

环境越来越“臃肿”，客户端、服务器各自独立，形成一个个信息“孤岛”，无法统一管理。

在松散型管理的系统网络环境中，一旦某个节点出现问题需要定位出现问题的位置，并需要

繁琐费时的恢复过程来实现修复。生产系统应用软件的大规模部署需要有关人员在各个计算

机上逐一手工安装，极大耗费人力与时间。

企业内部的各类资源存在于员工的客户端桌面计算机，服务器，与其他各类设备之中，

用户需要获取有关资源需要首先确定资源在哪一台计算机中，同时要针对不一致资源提供不

一致的登录凭据（如用户名/密码等）来访问。另外存在数据资源重复现象，造成硬件资源

的不合理占用。

信息技术部门制定的IT管理规范无法完全被最终用户执行，IT管理规范的制订是为了

防止信息系统出现如安全问题等不稳固状况，但松散型管理模式的IT环境中由于信息技术

人员无法监控与统一管理企业内部的桌面计算机与服务器等，该规范变为一纸空文，无法被

贯彻实施。

现阶段，部分企业对IT环境的进展仍然缺乏整体与长远考虑，还是按照老思路，简单

考虑硬件及应用软件的采购与建设，照此建设思路走下去，将会使H前的IT环境更加“臃

肿”，更难于管理，最终导致生产力的降低。

同时，目前四川汽车工业集团有限公司在文件管理方面要紧面临卜.列挑战：

1、大量的文件存放在用户客户端计算机中。

用户在编辑完文件之后，文件被储存在客户端计算机中。这样大量的企业信息资源被存

放在用户客户端计算机中，首先不利于文件的共享，另外假如客户端遭遇病毒、电脑丢失、

硬件损坏等情况，由于没有副本备份会导致企业信息资源丢失，带来不可估量的后果。

第三方数据统计，便携式电脑成为企业机要信息丢失的要紧杀手，假如便携式计算机存

有大量的客户资料，企业专利信息等，会给企业带来巨大的缺失。更有数据说明由于机密资

料丢失而导致企业破产率在70%以上。

2、用户自行备份文件。

在目前的企业环境中，部分用户对比较重要的文件使用移动存储介质或者者光盘等存储

设备备份，但是由于用户对计算机管理能力的不一致，如何更好的备份文件显然超出了用户

的操作技能范围，而且用户自行备份文件行为不受管理制度操纵，用户是否备份，用户备份

文件的周期等都不在管理员的可控范围内。

3、用户文件共享不便。

在目前的企业环境中，用户之间需要共享文件通常在自己的客户端电脑上开放共享文件

夹供其它用户访问，或者者使用移动存储设备复制共享文件。这种文件的交换方式显然有很

多弊端，用户的共享文件可能会被没有权限的用户查看到，另外在客户端上启用共享文件或

者者移动存储设备交换文件都容易受病毒的侵害。另外用户在访问文件时还要记住多个共享

路径，不方便使用。

4、文件版本不一致

由丁文件存放在多个客户端电脑上，导致某些文件在企业环境出现了不致的发行版

本，有些己经废止的文档格式还在使用，由于这些文档的版本不一致，已经给企业员工在文

件协作方面带来困扰。

5、文档安全性

由于四川汽车工业集团有限公司正处于进展阶段，企业内部研发部更是企业未来进展命

脉，如何安全，稳固的保护公司研发资料成果，防止泄密，已成为企业日益关注的重点难题。

任何规模的组织都需要保护重要的数字信息，以避免由于政忽引起误操作与被恶意利用。此

外，信息窃取行为的不断增多与对保护数据的立法呼声的高涨，使得如何更好地保护数字信

息这一需求变得更为强烈，现在，使用计算机来创建与处理以上类型的敏感信息的情况越来

越多，通过专用网络与公共网络（包含Internet）扩大连接也日益普及，而计算设备的功

能正愈来愈强大，这一切都使得保护组织数据成为必需的安全事项。

再者，四川汽车工业集团有限公司由于IT原有历史遗留问题，导致企业内部网络安全

危险H益严重，当今企业面临的最大挑战之一就是客户端设备越来越多地暴露给诸如病毒与

蠕虫等恶意软件。这些程序能够进入未受保护或者配置不当的主机系统，同时能够使用该系

统作为暂存点以传播到企业网络上的其他设备。

针对现有四川汽车工业集团有限公司初步研究发现，企业内部并未部署有效的实时监

控、互联网访问策略管理、上网行为管理的安全平台，随着内部用户网络应用的进一步深入,

原防火墙的处理能力力不从心。

二、总体功能需求

结合四川汽车工业集团有限公司的企业应用实际情况，随着以上阐述的问题在企业内部

IT环境中越来越突出，四川汽车工业集团有限公司存在下列需求：

2.1集中的组织与管理网络内的服务器及客户端

通过对网络内的服务器与客户端计算机进行集中式的管理，有助于消除早期“松散型”

管理带来的安全漏洞及其他影响IT系统稳健运行问题，能够保证企业制订的IT管理规范能

够通过计算机的逻辑方式派发给各个被管理的节点，同时通过集中管理的模式能够有效降低

客户端的保护工作量。

2.2统一的数据组织与资源管理

实现统一的数据组织，如共享文件夹的公布，共享打印机的公布等等，同时能够提供较

为简单的信息检索方式，快速查询并定为所需的各类资源，实现资源的高效利用。另外统一

的数据组织与资源管理能够有效减少数据冗余与资源浪费，减轻IT环境的保护难度，提升

企业生产力。

2.3单一登录的网络环境

企业内的普通员工计算机应用能力有限，如何使员工一次登录计算机后就能够访问其有

权限访问的各类资源是提升生产效率，关于普通员工来说更能感受到应用信息技术能够带来

更加快捷的工作效率，有助于提升信息系统的使用率。

2.4集中化的软件部署与运行限制

企业希望在大规模部署某个应用软件时能够避免手工逐一安装的低效率模式，而使用服

务器/客户端的网络分发模式，并能对软件的版本更新做到一定操纵，同时能够制定什么软

件能够被安装在什么用户的计算机上。通过对软件的运行限制，限制客户端计算机上所运行

的应用软件，使工作用计算机仅能够运行特定应用程序，与工作无关的应用程序将会被禁止

运行，提升系统安全性与最大化企业IT系统效能。

2.5功能强大并易于扩展的IT基础架构

企业希望现有的IT基础架构能够提供较强的功能，如安全的身份验证，资源整合，软

硬件集中监控、管理等，同时希望该基础架构支持较多的上层应用，具有较强的可扩展性，

在未来的几年中能够在现有底层IT架构上实现更多的价值。实现IT投资的保值。

2.6文件的集中管理

将企业中的文件分类，统一存放到一台或者多台文件服务器上。用户客户端不再同意存

放企业重要文件，同时所有文件共享操作都要在服务器上完成，禁止用户自行共享文件。

2.7文件服务器良好的管理特性

企业计划对文件服务器上的资源的有效利用进行管理，比如企业会根据用户工作性质的

不一致，分配容量不等的存储空间。另外为了保障企业投资，文件服务器解决方案务必支持

对文件类型的存储限制，不符合企业规定的文件不同意存放在文件服务器I-.O

2.8文件服务器的安全性

企业文件服务器上的资源能够划分用户的操作权限，根据用户权限的不一致展现不一致

的视图。另外需要确保文件在传输的过程中是安全的。

2.9文件服务器备份与还原特性

作为企业中最重要的信息资源，文件服务器解决方案务必具备良好、快速的备份恢复功

能，当出现文件丢失、损坏或者者物理设备损毁时能够快速恢复服务器。

2.10用户体验

文件服务器按照预期方案部署完毕后，用户能够#常便利的访问到自己的文件与团队

共享的文件，尽量减少用户培训的成本，尽量给用户以熟悉的界面。另外假如用户在多个办

公地点切换，也都能够方便的访问到自己的文件与团队共享文件。用户在无法连接到企业网

络时同意用户使用脱机形式访问文件服务器上的文件。

2.11提供报表、修改追踪功能

文件服务器解决方案能够针对文件存储区域提供数据报表，能够让管埋员熟悉文件存储

区的空间利用率、存储空间占用排行、存储空间占用文件类型等数据统计。另外在文件服务

器上能够追踪文件的修改记录，便于管理员对用户操作行为进行有效监控。

2.12有效的文档加密系统

企业务必对数字内容进行更好的保护。没有任何信息能够避免未经授权的使用，也没有

哪一种方法能够确保数据万无一失，最佳的防御战略是实施信息保护综合解决方案。

更好地保护信息的解决方案作为组织安全战略的基本构成部分，不应仅仅是访问操纵，

而是能提供操纵使用与分发内容的方法。能够更好地保护信息的解决方案应当有助于：

/保护公司Intranet中的组织记录与文档，不同意未授权用户访问这些记录与

文档。

/确保内容安全并防止篡改。

,假如需要，根据时间要求终止内容使用，即使是通过Extranet发送给其他组

织的内容。

/要求提供审计线索，以便跟踪曾访问与使用过该内容的用户。

2.13企业网络访问保护

当客户端计算机尝试连接网络或者在网络上通信时,通过监视与评估客户端计算机的健

康状况来强制实施健康要求。假如确定客户端计算机不符合健康要求，则能够将其置于包含

资源的受限网络上，以帮助更新客户端系统使其符合健康策略。比如，可能要求计算机安装

具有最新签名的防病毒软件，安装当前操作系统的更新同时启用基于主机的防火墙。通过强

制符合健康要求，能够帮助网络管理员降低因客户端计算机配置不当所导致的一些风险，这

些不当配置可使计算机暴露给病毒与其他恶意软件。

三、解决方案建议

根据上述四川汽车工业集团有限公司关于IT建设需求分析，我们全面的为四川汽车工

业集团有限公司提供活动目录及文件服务器解决方案，帮助四川汽车工业集团有限公司消除

现有IT问题，提高四川汽车工业集团有限公司企业成长效率。

3.1四川汽车工业集团有限公司活动目录解决方案建议

3.1.1概念描述

活动目录是WindowsServer网络体系结构中一个基础且不可分割的部分。它提供了一

套为分布式网络环境设计为目录服务，使得组织机构能够有效地对有关网络资源与用户的信

息进行共享与管理。另外，目录服务在网络安全方面也扮演着中心授权机构的角色，从而使

操作系统能够轻松地验证用户身份并操纵其对网络资源的访问。

活动目录提供了对基于Windows的用户账号、客户、服务器与应用程序进行管理的唯

一点。同时，它也帮助组织机构通过使用基于Windows的应用程序与与Windows相兼容的

设备对非Windows系统进行集成，从而实现巩固目录服务并简化对整个网络操作系统的管

理。公司也能够使用活动可录服务安全地将网络系统扩展到Internet上。活动F1录因此使现

有网络投资升值，同时，绛低为使Windows网络操作系统更易于管理、更安全、更易于交

互所需的全部费用。今天，关于在商业运作中保持竞争力而言，网络化计算变得比以往任何

时候都更为重要。为此，就要求现代化的操作系统具有管理存在于构成网络环境所需分布式

资源中的一致性与关联性的机制。

迪陛•

Window!

,Wind—用户Mind6Vs4户玷商「］曲务整

枭必玲自RIH一

.审理Profile通务

*•枚*•网络玲且-打印M

•共享文件

依有

其它口承曲务

・白皮书.

•电子商务余活动且承

B•管理能力

其它网络!》作系统•安全第咕

•安全性

•闻户在用j

•互推作隹

•安全

依有

防火■吸］

E-mail程务。-££

・股务春定义

•你的右且•安全第4

•单点矍聚

•地址为

•皮刖帝走的日承玲自

“基于活动目录的网络基础架构”建设方案中，不仅要建设一系列丰富的，互联的底层

基础架构，同时还将构建集中统一的软件基础设施、完整互通的基础数据库，无缝整合现有

信息应用系统，并建立“企业信息技术基础架构一一活动目录”与外部信息系统的互联互通

机制。

活动目录能够实现用户管理，提供对用户、应用程序与设备的单一、一致性的管理点;

加强终端安全性。同时向用户提供单一的网络资源登录，为管理员提供强大、一致性的工具

以使他们能够管理为内部计算机用户、远程拨号用户与外部客户提供的安全服务。活动域管

理是实施服务器管理、终端管理的基础，也为财务、人事、电子邮件、企业信息门户、办公

自动化、防病毒系统等各类应用系统提供支持，是安全体系建设的基础。

活动目录(ActiveDirectory)要紧提供卜.列功能：

•基础网络服务：包含DNS、WINS、DHCP、证书服务等。

•服务器及客户端计算机管理：管理服务器及客户端计算机帐户，所有服务器及客户端计

算机加入域管理并实施组策略。

・用户服务：管理用户域帐户、用户信息、企业通讯录（与电子邮件系统集成）、用户组

管理、用户身份认证、用户授权管理等，按省实施组管理策略。

•资源管理：管理打印机、文件共享服务等网络资源.

•桌面配置：系统管理员能够集中的配置各类桌面配置策略，如：界面功能的限制、应用

程序执行特征限制、网络连接限制、安全配置限制等。

・应用系统支撑：支持财务、人事、电子邮件、企业信息门户、办公自动化、补丁管理、

防病毒系统等各类应用系统。

3.1.2活动目录功能及优势

1.集中管理用户/密码，实现统一身份认证

活动目录是集成式、分布式的目录服务，能够将分布的资源集中管理，提高资源的利用

率与节约工作时间，提高工作效率。活动目录集中的管理所有客户端的用户/密码，增强网

络安全性的同时实现单点登录。企业管理员只需要为用户添加一个帐号，通过一次登录就能

够实现诸如：访问网络资源、Exchange邮箱应用、lync即时协作应用、Sharepoint门户协作

平台，数据库访问、客户关系管理与其它应用程序应用.

2.提高信息的安全性保障

应用活动目录后，信息的安全性完全域活动目录集成，用户授权管理与目录访问操纵已

经整合在活动目录中。活动目录能够集中操纵用户授权，限制对特定域资源的访问权限。通

过向网络资源提供单一的集成、高性能且对终端用户透明的安全服务。通过根据终端用户角

色锁定桌面系统配置来防止对特定客9主机操作进行访问，比如软件安装或者注册表编辑。

通过提供对安全的Internet标准协议与身份验证机制的内建支持，如Kerberos,公开密钥基

础设施（PKI）与安全套接字协议层（SSL）之上的轻便目录访问协议（LDAP）。通过对目录

对象与构成他们的单独数据元素设置访问操纵特权。

WindowsServer2008R2活动目录当中一共有4600多条策略，通过策略我们能够对系统

的各个组件进行精确操纵，我们将在前期的IT环境细节调研确认阶段结束后，针对四川汽

车工业集团有限公司不一致保密级别的部门规划并配置相应级别的组策略。

3.基于策略的管理

组策略设置能够决定指定的对象集合的资源访问权限，什么样的资源能够被用户使用与

如何使用。比如，限制用户在客户端能够使用的应用程序是什么，不能使用的应用程序是什

么等。

4.信息复制能力

信息复制能力为目录提供了信息可用性、容错、负载平衡与性能优势，活动目录使用多

主机复制，使得域中所有域操纵器上的信息达到同步。活动目录强大的信息复制能力使得网

络可用性、容错性大大提升。

5.与其它目录服务的互操作性

由于活动目录是基于标准的目录访问协议的，因此许多应用程序界面（API）都同意开

发者进入这些协议，比如活动目录服务界面（ADSI）,轻型目录访问协议（LDAP）等，便于

后期的开发应用。活动FI录能够应对复杂的网络环境，同时能够与基于标准开发的业务系统

做集成应用。

6.灵活、便利的查询功能

任何用户能够使用“开始”菜单、“网上邻居”、“活动目录用户与计算机”上的“搜索”

命令，通过名字、姓氏、电子邮件名、办公室位置等属性来查找网络上的对象。诸如：应用

程序、文件、打印机与人员等。

7.简化管理

提供对Windows用户账号、客户、服务器与应用程序与现存目录同步能力进行单一点

管理。降低桌面系统的行程针对用户在公司中所担当的角色自动向其分发软件，以减少或者

消除系统管理员为软件安装与配置而安排的多次行程。更好的实现IT资源的最大化安全地

将管理功能分派到组织机构的所有层次上。降低总体拥有成本（TCO）通过使网络资源容

易被定位、配置与使用来简化对文件与打印服务的管理与使用。

8.安全、标准化管理客户端

活动目录的一大功能就是更加安全、标准化的管理客户端，活动目录通过组策略能够严

格操纵客户端应用程序的安装与使用，明确什么程序是能够安装、使用的，什么是被禁止的。

另外，管理员还能够通过组策略的设置.，统一密码策略、IE设置.、桌面设置等，起到标准化

管理的效果。

9.集中管理网络资源

活动目录所提供的目录服务能够统一、集中的管理网络上的所有资源。相当于把网络上

所有资源放在一张目录表中，用户通过目录表的检索能够很轻松的找到所需资源。

10.集中管理帐户密码

用户的帐户、密码将被集中存放在域操纵器的活动目录数据库中。这样做的好处就在于

帐户、密码这些敏感信息得到更好的保护，实现统一身份认证。

11.微软产品的基础平台

活动目录作为WindowsServer2008R2标准版本、WindowsServer2008R2企业版与

WindowsServer2008R2Datacenter版上应用的目录服务，更重要的一点，它是微软其它产品

应用的基础平台。微软所研发的OCS、MOSS、EXCHANGE等产品应用的前提就是要具有活动

目录架构。

3.1.3四川汽车工业集团有限公司活动目录总体框架设计

我们在规划四川汽车工业集团有限公司目录林模式时，综合统一身份认证实现、方便管

理集中系统方面考虑，最后与四川汽车T业集团进行确认后决定使用单森模式的活动目录框

架设计。

建立单一森林环境

单一目录林环境易于建立与保护。所有的用户都通过全局编录看到单一的目录，而无需

明白任何目录结构。当将目标域添加到目录林时，不要求其它的信任配置。只需应用一次配

置更换即可影响所有域。

四川汽车工业集团有限公司森林环境选型

根据四川汽车工业集团有限公司网络状况、业务系统应用、与集中化、高安全的管理需

求，所有客户端与服务器均由中心域服务器统一集中管理，因此这里我们最终确定使用单一

森林。

所有加入域的计算机都能够在“AD用户与计算机”操纵面版中查看到，我们可能通过

“AD用户与计算机”面版对域中所有计算机进行统一管理，大大简化了IT管理的工作更杂

程序，提高管理的工作效率。

四川汽车工业集团有限公司活动目录域设计

由于四川汽车工业集团有限公司地理位置相对集中，客户端几乎都同属于一个办公园

区，因此，与客户沟通确认后，决定使用单域多ou结构。

四川汽车工业集团有限公司组织单元设计

1）组织单元的概念

一个组织单元（ou）是一个容器对象，用于管理域中的对象，比如：用户账号、组、

计算机、打印机与其他的组织单位。能够使用组织单位在一个逻辑层次中组织各类对象，这

样能够表达企业基于部门的或者基于地理分界的结构，网络管理模式是基于行政的管理架

构。

活动目录能够根据员工所在部门，针对员工的不一致工作岗位或者工作职贡对员工进行分

组，以“组织单元”的形式分级进行管理。在我们的方案中，针对整个部门分部环境对不一

致部门分组也进行了细致规划。

组织单位可包含用户、组、计算机、打印机、共享文件夹与其他组织单位。组织单位是

目录容器对象。它们表现为“活动目录用户与计算机”中的文件夹。组织单位简化了域中目

录对象的视图与这些对象的管理。可将每个组织单位的管理操纵权委派给特定的人。这样，

就能够在管理员中分配域的管理工作，以更接近指派的单位职责的方式来管理这些管理性职

责工作。

0U命名方式：城市蔺称，部门简（全）称。为了提高对将来系统集成的兼容性，建议

所有名称中只使用英文字母与数字。

2）四川汽车工业集团有限公司组织单元的设计

四川汽车工业集团有限公司组织单元

我们将在组建的域操纵器上为四川汽车，业集团有限公司多个业务部门以部门名称创

建相应的0U,并将部门所属的所有客户机PC都加入到圻属部门的0U。

3）0U管理权利委派

在Windows2000之前的WindowsNT版本中,域的管理委派仅限于使用内建的本地

组，比如帐户管理组。这些组有预先定义的功能，在某些情况下这些功能并不符合特殊情况

的要求。结果，在某些情况下，单位中的管理员需要高级的管理访问（比如域管理员）权限。

在现在的Windowsserver中，管理委派功能更强并更具灵活性。这种灵活性是通过

部门、每个属性访问操纵与访问操纵继承的组合来实现的。管理能够任意委派，其方法是通

过授予一组用户创建特定类别的对象、或者修改特定类别的对象的特定属性的能力来实现。

比如，能够授权人力资源部门在特定的0U中创建用户对象，而不在其他地方。能够

授权帮助中心技术人员重新设置该0U中的用户的密码，但不能创建用户。能够授权其他的

目录管理员修改用户对象的通讯簿属性，但不同意创建用户或者重新设置密码。

在单位中委派管理有一些好处。委派特定的权限使您能够将务必有高级访问权限的用

户的数量降到最少。权限受到限制的管理员所发生的事故或者错误所产生的影响只限于他们

负责的范围。往常，在单位中除了IT之外的组可能务必将更换请求提交到高级管理员，高

级管理员代表他们进行更换。通过管理委派，能够将责任分散到单位中的各个组，这样能够

节约将请求发送到高级管理组的开销。

•可控性权利委派能够部分的、选择性的将某一个0U的权利委派给管理员；将权

利委派给管理员后是能够收回的。

•权利委派作用域被委派权利的管理员只会作用于所指定的0U,对其它0U是无效

的。

根据四川汽车工业集团有限公司的情况，将每个部门的0U完全操纵的权限委派给部门

中管。从安华的角度考虑，0U与域的最大操纵权限应该由信息中心操纵。

四川汽车工业集团有限公司DNS设计

由于活动目录中许多功能对DNS的依靠性，DNS服务器的可用性直接影响活动目录的

可用性。客户端依靠DNS来查找域操纵器，而域操纵器依靠DNS查找其他的域操纵器来进

行复制。即使目前您的网络上已部署了DNS服务器，仍可能需要调整服务器的数量与布置，

以满足活动目录客户端与域操纵器对DNS的需求。

活动目录使用域名系统（DomainNameSystem,简称DNS）。这使得运行在TCP/IP网

络上的计算机能够识别与连接另一台计算机。DMS域与WindowsServer2003R2的域自

然而有机的结合在一起，使得整个目录结构成树型分布，具有了DNS的层次感受，也使得

WindowsSerever2008R2系统能够支撑庞大的目录结构，是的目录对象涵盖了整个网络元

素：用户，计算机，打印机，共享文件夹，应用程序，管理策略等。

1）DNS与活动目录

任意两个域操纵器要想能够彼此复制（包含同一域的两个域操纵器），务必能够查找目

录林范围的定位器记录。刚创建的域操纵器要想参与女制，务必能够在DNS中注册其目录

林范围的记录，而其他域操纵器务必能够查找这些记录。因此，目录林范围的定位器记录务

必对每个站点的每个DNS服务器可用。

客户端使用站点特定的域操纵器定位器记录，来搜索邻近的域操纵器。只有在客户端站

点没有域操纵器项时，客户端才会查询并同意其他的域操纵器。默认情况下，每个域操纵器

都会公布其站点特定的SRV记录与通用SRV记录。

2)DNS名称解析方案

为了确保每个域操纵器都能成功注册其两组定位器记录，并确保每个域操纵器与客户端

能通过DNS得到其所需的定位器记录，我们要在域操纵器与客户端上配置使得其首选与备用

的DNS服务器都指向域内的DNS服务器。

通过DNS服务中的ServiceResourceRecord(SRVRR)记录公布提供目录服务的服

务器地址，SRVRR中的附加信息指出了服务器的优先权及重要度，使得客户能够选择他们

所需要的最好的服务器。DNS记录也能够集成到目录口，随着目录复制而达到DNS复制

的目的。

3)活动目录集成的DNS正向搜索区域

DNS正向搜索区域分为主搜索区域，副搜索区域与活动目录集成的搜索区域。为了实

现多台DNS服务器间搜索区域内的同步，我们能够通过一台拥有主搜索区域，与多台挑有副

搜索区域DNS服务器实现，或者通过多台拥有活动目录集成的搜索区域的DNS服务器实现。

而后者有下列优点：

•活动目录集成的搜索区域的DNS服务器能够实现多更新主机协同工作，避免一台服

务器由于大量的DNS注册负载过重。

•活动目录集成的搜索区域的DNS服务器能够使用安全的注册方式，从而能够避免服

务器的定位器记录被非授权主机更换。

3.1.3.6四川汽车工业集团有限公司DNS设计规划

•活动目录DNS正向搜索区域设置

在操纵器上创建一个活动目录集成，在所有域内的DNS服务器上复制的正向搜索区域,

并同意安全的动态更新。

在操纵器上创建•个活动目录集成，在的所有森林内的DNS服务器上复制正向搜索区

域，并同意安全的动态更新。

•DNS客户端配置规划

域中的客户机决定使用固定IP地址，则主指向本站点的10.10.150.4DNS服务器,

辅助DNS指向10.10.150.5DNS服务器。

活动目录方案成效

成都时代加华软件技术有限公司的活动目录技术服务，提供统•用户身份管理与认证，

统一网络资源实体的管理，同时也为后续的各类应用的统一认证与授权管理奠定了坚实的基

础。其应用成效要紧表现在下列几点：

1）实现身份统一认证服务

B2B/B2CXO6〜枇*82

用户能够通过多种方式在目录结构中查询自己所需要的网络资源。特别是对个人而言，

用户能够实现单点登陆，用户每次只需要登陆到域中，当访问后台应用时，就不再需要重复

输入用户名与密码。这样一方面可减轻用户记住多套用户名与密码的负担，同时也可避免每

次访问应用时都要再重复输入i遍用户名与密码。寻找打印机也更加方便。用户甚至不必记

住打印机服务器的名字，利用“寻找打印机”就能够迅速找到离自己位置最近的打印机，极

大的方便工作。

其次，每次不再需要重复输入用户名与密码即可进入系统；寻找文件更加方便，用户不

必记住文件服务器的IP地址，只需要记住服务器名称即可，利用分布式文件系统，统一到

一个地方去存取文件，而不用担心文件物理放在哪台文件服务器上；设立文件共享不再需要

特别设定共享密码。缺省只有域用户才能够访问，文件共享者也能够通过设定特定的域用户

组与特定用户，只同意他们才能够访问改文件。当用户去访问文件服务器，不再需要输入用

户名与密码。Windows会利用域帐户自动去验证。

另外，关于远程操作系统的安装、委托管理、远程桌面协助等各类功能也能在统一的管

理下轻松实现。同时，活动目录充当管理用户身份与网络资源操纵访问骚讦的统一认讦机构，

支持业界标准协议Kerberos认证协议，并可集成证书服务，CA与智能卡(SmartCard)认

证。用户的访问便能够根据企业的统一认证服务被准许或者拒绝。同时，从用户使用来看，

一套用户认证系统建立了Single-SignOnSSO(单点登录)的基础，增加用户的便利性与安

全性。

2）设备的管理一一加强终端管理，降低运维费用

客户端和獴务器

建立企业目录管理系统，通过活动目录组策略推送的方式，将终端使用策略主动的推送

到各个终端.只要用户登录进入域，域管理服务器就会自动推送该用户所需要的终端设置..

这样就能够实现约束业务人员终端使用，加强企业终端管理、保护手段的主动性，降低终端

人为导致软件故隙的发生率，从而降低运维费用。

而且在这种统一管理下，用户还能实现多种远程管理。比如用户能够不必在Windows客

户机上安装打印机驱动程序就能够使用打印机，能够很容易地进行网络打印与管理打印机服

务器了。再比如委托管理，各事业部可自行管理，包含创建本部门用户，计算机，打印机，

文件服务器等。组策略设置能够让管理员以逻辑单元（匕如部门或者办公地点）的形式组织

用户与对象，然后给这些逻辑单元分配相同的设置.，包含安全、外观与管理选项，这个过程

能够简化相应的管理任务。另外，在活动目录的支持下，当用户需要重新安装操作系统，能

够利用“远程OS安装”的特性在不到半小时里自行安装一个新的操作系，而且关于使用

WindowsXPProfessional的机器而言，当软件出现问题时，能够不必等待IT保护人员亲

自跑到机器面前保护，用户能够发出远程邀请桌面协助，这样用户与IT人员能够立即共享

Windows桌面诊断问题，加快问题的响应速度，提高用户的满意度。

3）提升系统安全管理水平

有DefaultDomainPolicy[pvpc-ws03ent.sr^策略/I策略设置

0曲讨苴机配置巡密码必须符合复杂性要求已启用

+LJ软件设置选密码长度最小值8个字符

HOWindows设置

毂］密码最长使用期限42天

脚本（启动，关机）

白®安全设置幽密心星短使用期限1天

函强制交码历史24个记住的交同

-户第格

旗用可还原的加交来储存密码巳禁用

•1+等交码策略

〔+寻I帐户锁定策略

__••_3^_•/I・AI*±J.—1

作为安全管理中心，活动目录服务利用安全组策略技术进行服务器与桌面机器的安全操

纵。通过有效的企业级或者者部门级安全策略设定，在企业内部桌面系统加强安全约束，提

供整体安全性，从而提升系统安全管理水平。

4）后续增值效益

owsServerSystem

Application

InfQsbucture

,wAttrvoune

Sevres

GroupRafcy

^•nalSerwcw

Sendees

活动目录技术作为企业目录建设的基石，其本身的作用要紧有三：

,它能够成为一个管理中心。通过对网络中的元素，如用户账户、计算机账户等

信息进行收集、钻存，作为其管理的对象。通过其本身提供的组策略等技术作为管

理的手段，从而实现管理中心的功能；

/它能够成为一个安全中心。通过域环境的搭建，使其成为域中资源的安全边界。

同时，能够扮演身份认证与授权中心的角色；

/它是一个开放的平台。活动目录是可扩展的，就是说管理员能够向模式

中添加新的对象类，也能够向已经存在的对象类添加新的属性。模式包

含每一个对象类与对象类属性的定义，它们能够存储在目录中。比如，

能够向用户对象添加购买机构属性，然后能够将用户的购买机构范围做

为用户帐号的一部分进行存储。通过对目录服务标准的支持，使得在其基础架

构上，进行应用的开发、与其它应用与服务进行整合成为可能，从而不断扩展其功

能。

3.2四川汽车工业集团有限公司文件服务器解决方案

3.2.1解决方案的设计原则

我们在设计系统的同时重点突出下列设计原则：

1、总体规划、分阶段实施。

系统要在长远规划、逐步完善的思想指导下，统一规划、统一管理，有序实施.

2、先进性与适用性原则。

在系统的设计中，首先要考虑的是有用性与易于操作性、易于管理与保护，易于掌握与

学习使用。

3、开放性与标准化原则。

在总体设计中应用开放式、模块化设计体系，使系统有习惯外界环境变化的能力，易于

调整、扩充与组合，最大限度满足业务要求。

4、可靠性与安全性原则。

安全可靠的运行是整个系统建设的基础。信息的重要性，要求网络系统要有较高的安全

性。系统要具备容错•、备份及自诊断模块，便于快速推断故障点并排除。要配置严密的数据

安全体系，避免非法入侵，确保系统数据的准确性、数据传输的正确性，防止特殊情况的发

生。

5、经济性与可扩允性原则。

系统的建设，要从经济性着眼，在完成系统目标的基础上，尽量使用技术成熟的网络技

术及通信技术，充分考虑对现有信息平台及资源的充分利用，保护原有投资，减少重复建设。

6、接入广泛性及接口标准化原则。

在总体设计中，应使用开放式的体系结构，使系统易于扩充，使相对•独立的分系统易于

进行组合调整。有习惯外界环境变化的能力，即在外界环境改变时，系统能够不作修改或者

仅作小量修改就能在新环境下运行。网络选用的通信协议与设备符合国际标准，将不一致应

用环境与不一致结构优势有机地结合起来。同时，要保证网络的互联，为信息的互通与应用

制造有利的条件，从而满足不一致的需求。

3.2.2文件服务器解决方案

文件服务器建议使用WindowsServer2008R2操作系统，WindowsServer2008R2在文件

服务器管理方面具有卜.列更新与特性:

功能说明

卷影副本（往常版本）恢复为网络文件夹提供了时间点副本。用户通过

卷影副本（往常

右键单击Windows资源管理器中的文件或者文件夹，能够非常方便地

版本）恢复访问其往常版本的文件。基于WindowsServer2008R2的文件服务器会

使用卷影副本功能为该文件服务器上的所有文件保护一组它们的往常版

本。

有助于商业机构以较低的总拥有成本提供高度可用的文件服务。借

增强的分布式文DFS

助DFS,您能够从多个物理系统创建一个逻辑文件系统，从而使您的环

件系统（DFS）境更易于为用户所使用同时在设备利用方面更为有效。通过DFS,您能

够创建一个包含部门、分支机构或者企业中的多个文件服务器与文件共

享的目录树，从而同意用户方便地查我分布在网络中的文件或者文件夹。

这个目录树（逻辑命名空间）能够容纳5000多个位于企业内不一致服

务器上的共享文件夹。

另外，还能够使用ActiveDirectory®服务将DFS共享作为卷对象进行公

布，同时能够委派管埋任务。

在WindowsServer2008R2中，DFS现在提供了最近站点选择功能。该功

能中，DFS会使用ActiveDirectory站点信息将客户端路由到对指定路径

而言最近的可用文件服务器上。另外，一个WindowsServer2008R2系统

还能够容纳多个DFS根。

就如同DFS一样，FRS也同意商业机构实现较低的TCO,方法是确保

DFS文件复制服

数据的始终同步。FRS与DFS配合起工作，它能够复制文件共享中的数

务（FRS）据，并自动保持分布在多个服务器上的副本的同步性。

功能说明

通过WindowsServer2008R2的一个新功能即DFSMicrosoft管理操

纵台iMMC）用户界面，用户能够对复制拓扑结构进行配置。FRS服务

自身也具有新功能一一它能够压缩亚制流量与减少不必要的复制流量。

通过增强的加强了文件服务的安全性,

增强的加密文件WindowsServer2008R2EFSEFS

是其它访问操纵方法的补充，它为您的数据提供了附加保护。由于EFS

系统(EFS)作为一种集成的系统服务运行，因此它方便了您的管理、增加了攻击难

度，而且对用户而言是透明的。

存储卷的卷影副本是原始文件在某个具体时间点的副本。备份应用程序

卷影复制服务

通常使用卷影副本来备份那些使之看起来呈静态（实际上是不断变化的）

的文件。假如在存储区域网络（SAN）中创建了卷影副本，可将该卷影

副本传输到另外的服务器进行备份、测试或者数据挖掘。

使用•个标准接口进行磁盘管理。每个硬件供应商都会编写

虚拟磁盘服务VDSVDS

提供程序，以便将通用的VDSAPI解释成用于各自硬件的特定指令。借

(VDS)助VDS提供的这种抽象层,WindowsServer2008R2能够为用户提供更

为强大的解决方案组合，以便在您在作出有关SAN与其它存储方法的

长期投资决定时具有更大的灵活性。

管理员在中能够获得新提供的强大新命令行有

命令行接口WindowsServer2008R2

用程序来执行多种磁盘管理任务，包含：扩充基本磁盘、执行各类磁盘

配置与RAID配置、管理卷影副本与调整文件系统。

由于NTFS文件系统完全是一种真正日志化的文件系统，因此很少会要

提高了CHKDSK

求CHKDSK操作。

操作的性能即使确实需要检查磁盘（基本上不存在这种可能，由于在意外停机中，

要求这种检查的低于1%）,CHKDSK的执行速度也会比在Windows

2008中快20%至IJ38%。

磁盘碎片整理工具可优化卷中的文件，从而提高磁盘的可用性

性能更高的碎片Windows

与性能。WindowsServer2008R2中的磁盘碎片整理比在Windows2008

整理工具中更快，而且更为有效。另外，它还支持以联机方式对主控文件表（Master

FileTaole,MFT）进行碎片整理，同时可整理任何簇大小的NTFS卷。

内容索引内容索引为用户搜索本地或者网络上的信息提供了一个方便快捷而且安

全的方法。用户能够通过“开始〃菜单中的"搜索〃命令或者通过在浏览器

中查看的网页来搜索使用了不一致格式与语言的文件。

它使得在灾难恢复情况下通过一个步骤即可恢复操作系统、系统状态与

自动系统恢复

硬件配置，从而提高了效率。

(ASR)

作为的一个新功能，远程文档共享提高了通过

远程文档共享WindowsServer2008R2

WebDAV重定向程序连接业务的能力。借助WebDAV重定向程序，客

功能说明

(WebDAV)户端能够通过文件系统调用来访问Web资源库中的文件。

WindowsXP、vista、7的64位版本与64位版本的WindowsServer

GUID分区表

2008R2企业版与Datacenter版都支持GPT这种新的磁盘分区格式。

(GPT)与通过主引导记录(MBR)分区的磁盘不一致，如今的关键性平台操作

数据都位于分区中，而不是位于未分区的扇区或者隐藏的扇区中。另外，

通过GPT分区的磁盘都具有冗余的主分区表与备用分区表，这提高了

分区数据结构的完整性。

保护资源免遭病毒产生的恶意代码的侵袭，是提供安全可靠的文件服务

为防病毒产品提

的关链一环。WindowsServer2008R2新提供了川”为第三方防病毒产品提

供了新支持供更高性能与可靠性的内核API,增强了当前对防病毒产品的不懈支持。

此外，我们当前还为防病毒文件系统的过滤驱动程序提供了Windows

硬件质量实验室(WHQL)测试套件与驱动程序认证过程。

分布式文件系统

WindowsServer2008R2中的分布式文件系统(DFS)技术为广域网(WAN)的复制提供

了方便，并对位置分散的文件提供了简化与容错的访问。DFS中的两项技术分别为：

1.DFS复制。全新的基于状态的，多宿主的复制引擎在针对广域网环境方面进行了优化。

DFS复制支持复制的计划安排，降低带宽占用，与全新的比特级压缩运算规则，即众所周知

的远程差异压缩(RDC)o

用户存储在分布文件系统上的数据能够被同步到多个DFS复制点，但是用户在访问的时

候不可能觉察到有什么异样，DFS会根据用户连接速度自动连接到最近的文件服务器供用户

访问。这样即便企业组织内部有多个办公地点，也能够保障用户能够在任意一处都能够访问

到自己存储在服务器上的资源。

非常重要的一点，DFS的复制只对差异部分进行复制，当用户在某台DFS站点上修改

了义件之后，D卜S会自动将修改后的义件更新到各个站点上，但是在这个过程中D卜5只复

制用户修改的差异部分，而不是整个文件都进行复制,这样就能够节约站点之间文件复制

的成本。

2.DFS命名空间。这项技术有助于管理员将分布在不一致服务器上的共享文件夹进行分

和,同时将这些文件夹以虚拟的树型机构提供给用户，艮」众所周知的命名空间.DFS的命名

空间往常在Windows2000Server与WindowsServer2003中称之分布式文件系统。

在分布式文件系统中，共享资源能够是一台计算机上或者者多台计算机上，用户只需要

访问DFS路径，就能够定位到文件的物理存放位置。当文件存放物理服务器变更时，管理员

只需要将DFS路径指到新的物理服务器即可，而不需要通知用户更换访问方式。如下图所示，

用户Mary不必访问处于各地的服务器，她只需要在客户端访问DFS路径的共享资源，就会

被定位到物理文件物理存放位置“

命名空间

HRDoci

N.EcpeceiZ)

.加goME服务器1

.RecniKMCOkogo

HReMMxesStUNM

Recnirtlng

服务器2

HResources

服务器3

文件服务器的管理特性

WindowsServer2008R2新增的文件服务器管理能够帮助企业对用户的存储行为进行有

效的操纵。

1.文件存放类型操纵

WindowsServer2008R2的文件服务器管理中，我们能够将文件的类型归类，设置共享

文件夹中是否同意存放某些类型的文件，保障共享文件夹被合理利用。

WindowsServer2OOWR2的文件服务器管理工具预设了5个管理模板，供用户使用，您

能够通过自定义设置来修改或者者新建模板，如下图所示，能够将“阻止图像文件”这个模

板使用在仅同意存放Office档的共享文件夹中。不仅是阻止的策略，你能够设置某个文件夹

只同意存放某种类型文件的策略，同时这些文件类型也都是能够自定义。

J文件服务器首理W地)文件屏蔽模板屏蔽类型文件组

三▲文件服务器货源管理器

:监视可执行文件和系统文件！被动警告可执行文件，系统文件

-J潞配额管理3

配额阻止电子邮件文件活动阴止电子邮件文件

♦J配额模板回阴止可执行文件沿动阴止可执行文件

盛支件屏蔽管理

a国阻止图像文件

B文件屏蔽活动阴止图像文件

文件屏蔽模棱目阴止音频文件和视频文件活动阴止音频文件和视频文件

口文^^

B存储报告管理

保障文件的安全

WindowsServer2008R2文件服务器使用NTFS权限来划