核心基础结构优化实施者资源指南： 从基础到标准化

1、IO 指南 - 从基础到标准化摘要基础结构优化的目标在于按照逻辑顺序构建一种高效、安全且优化的信息技术 (IT) 基础结构和服务。优化的 IT 基础结构建立在 IT 标准的基础之上，并确保符合这些标准。借助各个优化级别，IT 基础结构还大大降低了成本、增强了安全性并且提高了可用性和可管理性。这是三个资源指南中的第一个指南，它解释了从定义的四个 IT 服务级别的其中一个级别转变为下一更有效且简化的服务级别所需的关键 IT 功能。本文档简单描述了四个级别并介绍了 Microsoft 核心基础结构优化模型中的各个功能。它随后介绍了关于规划、构建、部署和管理这些功能的高级概念，并且提供了相关资源的链接

2、，其中可以找到更详细且切实可行的内容。您可以使用本指南中包含的信息来帮助您从基础级别转变为标准化级别。核心基础结构优化实施者资源指南： 从基础到标准化IO 资源指南概述 - 从基础到标准化本页内容目标读者基础结构优化概念核心基础结构优化功能核心基础结构优化模型级别目标读者本文档是专门为负责计划、部署、操作 IT 系统和数据中心的 IT 专业人士以及那些想要实施核心基础结构优化模型的技术和过程概念的人员而设计的。页首基础结构优化概念Microsoft 基础结构优化 (IO) 是围绕三个信息技术模型构建的： 核心基础结构优化、应用程序平台基础结构优化和业务生产效率基础结构优化。其中每个 IO 模型

3、包含四个级别的过程成熟度，还包含与每个成熟度级别的要求逻辑分组相同的能力分类。核心 IO 侧重于 IT 服务及组件的基本要素；应用程序平台 IO 侧重于软件开发的最佳方案；业务效率 IO 侧重于最大限度地提高通信、协作和最终用户生产效率所需的基础结构。下表重点说明了每个 IO 模型的功能。模型功能核心基础结构优化模型（核心 IOM）身份和访问管理台式机、设备和服务器管理数据保护和恢复安全和网络IT 和安全过程应用程序平台基础结构优化模型(AP IOM)用户体验SOA 和业务流程数据管理开发商业智能业务效率基础结构优化模型(BP IOM)协作和沟通企业内容管理商业智能基础结构优化概念通过转向一个

4、安全、已定义且高度自动化的环境，帮助客户为其 IT 基础结构节省了大量成本。它按逻辑顺序规定功能，有助于组织以可测量且可实现的速度提高级别。当基本的 IT 基础结构成熟时，安全性会从易受攻击提高到极具前瞻性，并且管理过程从大多情况下需要手动响应转变为高度自动化且具有前瞻性。Microsoft 及其合作伙伴提供了技术、流程和过程来帮助客户迈向基础结构优化之路。流程从零碎或不存在状态转变为经过优化且可重复状态。当从基础级别转变为标准化级别、合理化级别直至最后转变为动态级别时，客户能够使用技术来改善其业务灵活性并增加业务价值。本指南后面部分将定义这些级别。基础结构优化模型是由麻省理工学院 (MIT)

5、 信息系统研究中心 (CISR) 的行业分析人员开发出来的，其中借助了 Microsoft 自身与其企业客户的经验。Microsoft 创建基础结构优化模型的关键目标在于开发一种简单的方式来使用灵活的并且可轻松用作技术能力和业务价值基准的成熟框架。使用此模型的第一步就是评估模型内 IT 基础结构的当前成熟度级别。这有助于确定您的组织需要哪些功能以及应按照什么顺序部署这些功能。本文档重点介绍从 IT 基础结构和过程的基础级别转变为核心基础结构优化模型中的标准化级别。此系列的其他资源指南重点介绍转变为核心基础结构优化模型中的其他级别所需的功能。页首核心基础结构优化功能核心基础结构优化模型定义了五个

6、功能，它们是构建更加灵活的 IT 基础结构的初始要求。这五个功能是每个成熟度级别的基础。身份和访问管理描述客户应如何管理人员和资产身份、管理和保护身份数据应实施的解决方案以及如何管理公司移动用户、客户和/或防火墙的外部客户访问资源。台式机、设备和服务器管理描述客户应如何管理台式机、移动设备和服务器以及如何跨网络部署修补程序、操作系统和应用程序。数据保护和恢复提供结构化且严格的备份、存储和还原管理。随着信息和数据存储日益增多，组织保护信息并在必要时提供经济且省时的恢复所面临的压力也在不断增大。安全和网络描述客户实施其 IT 基础结构以帮助确保防止未经授权访问信息和通信所应该考虑的问题。在维持对公

7、司资源访问的同时，还提供一种机制用于防止 IT 基础结构受到攻击和感染病毒。IT 和安全过程对如何在达到很高的可靠性、可用性和安全性的同时经济高效地设计、开发、操作和支持解决方案提供切实可行的最佳方案指导。虽然满足可靠、可用且安全性很高的 IT 服务的需求需要坚实的技术，但仅凭技术是不够的；还需要完善的过程和人员（技巧、角色和责任）。本文档在各个章节都介绍了安全过程和 IT 过程（基于 ITIL/COBIT 的管理过程）。页首核心基础结构优化模型级别除了功能之外，核心基础结构优化模型还为每个功能定义了四个优化级别（基础、标准化、合理化和动态）。这些优化级别的特点如下：优化级别 1： 基础基本的

8、 IT 基础结构的特点是具有手动、本地化的过程；中央控制程度最低；不存在或未强制实施 IT 策略和安全标准、备份、映像管理和部署、符合性以及其他常见 IT 实践。由于缺乏工具和资源，应用程序和服务的整体运行状况处于未知状态。通常，所有修补程序、软件部署和服务都是手动提供。优化级别 2： 标准化标准化基础结构引入了下列控制：使用标准和策略来管理台式机和服务器；控制计算机引入网络的方式；使用 Active Directory 目录服务来管理资源、安全策略和访问控制。处于标准化状态的客户已经意识到了基本标准和某些策略的价值，但还有待进一步提高。通常，所有修补程序、软件部署和桌面服务都是通过中等接触（

9、成本为中到高）提供的。这些组织都有一份合理的硬件和软件清单，并且开始管理许可证。通过锁定的外围改善安全措施，但是内部安全仍面临风险。优化级别 3： 合理化在合理化基础结构中，管理台式机和服务器所涉及的成本最低，并且过程和策略经过优化，开始对业务的支持和壮大发挥着很大作用。安全极具前瞻性，对威胁和挑战的响应也很快速且受到控制。使用零接触部署有助于最大限度地减少成本、缩短部署时间并降低技术难度。映像数量最小，用于管理台式机的过程几乎是完全自动的。这些客户拥有一份详细的硬件和软件清单，他们只购买他们所需的许可证和计算机。无论是台式机、服务器、防火墙还是 Extranet，均具有严格的策略和控制，可极

10、具前瞻性地预防安全问题。优化级别 4： 动态使用动态基础结构的客户已经充分意识到基础结构在帮助有效地开展业务并领先竞争对手方面所带来的战略价值。可以完全控制成本；用户和数据、台式机以及服务器之间具有集成；用户与部门之间的合作很普遍；移动用户不管身在何方，都几乎可以享受现场级别的服务和功能。过程已完全自动化，通常已融入技术本身，这样使得能够根据业务需求调整和管理 IT。技术方面的额外投资可以为企业带来特殊、迅速且可测量的收益。通过使用自行设置软件和类似于隔离的系统来确保修补程序管理以及与建立的安全策略的符合性，动态基础结构组织能够自动化过程，从而帮助改善可靠性、降低成本并提高服务级别。核心基础结

11、构优化功能概述下图列出了各个功能通过优化级别进行改进的基本要求。有关详细信息（包括客户案例研究和业务价值信息），请访问/technet/infrastructure/default.mspx。自我评估Microsoft 开发了一种自我评估工具，您可以用来确定您当前的优化级别。我们建议您在继续本指南之前先使用此工具。该工具是以本指南中提供的资料为基础。要访问自我评估工具，请访问：/business/peopleready/coreinfra/ac/default.mspx。以下章节提供了每个核心功能的相关

12、问题，可以引导您查看本规划指南的相关章节。您的问题的答案将指定哪些章节包含适用于您的组织的指南。以下章节中的许多要求都具有与其相关联的最小属性。如果您的企业满足本节所述的各个要求以及要求属性，即表明您已经实现标准化级别并且可以继续实现核心基础结构优化中的理想化级别。您可以打印本章节作为记分卡，用于确定在您所在组织中需要实施哪些要求和属性。功能： 身份和访问管理标准化优化级别要求您的企业中需要具有 Active Directory 目录服务并且可以用来对 80% 或更多的用户进行身份验证。要求： 身份和访问管理是否为 80% 或更多已连接的用户的身份验证实施 Active Directory 目

13、录有关详细信息，请参阅本文档中的用于用户身份验证的目录服务，或访问以下网站： Windows Server 2003 Active Directory 技术中心 Microsoft 身份和访问管理系列 Windows Server 2003 技术库 Microsoft 操作框架目录服务管理功能： 台式机、设备和服务器管理标准化优化级别要求您的组织具有可以自动分发修补程序、管理并合并标准桌面映像以及集中管理连接的移动设备的过程和工具。要求： 台式机、设备和服务器管理是否自动化修补程序分发，包括 80% 或更多的台式机属性： 实施过程和工具来列出硬件和软件资产的清单。 实施过程和工具来扫描客户端计

14、算机的软件更新。 建立一个过程来自动识别可用的修补程序 为每个修补程序建立标准测试。 实施修补程序分发软件。有关详细信息，请参阅本文档中的自动分发修补程序，或访问以下网站： Microsoft TechNet 更新管理中心 Microsoft Systems Management Server (SMS) “使用 SMS 2003 的修补程序管理”解决方案加速器 Microsoft Windows Server Update Services (WSUS)要求： 台式机、设备和服务器管理是否为 80% 或更多的台式机和便捷式计算机定义的一套标准、基础映像属性： 定义标准映像的策略。 使用工具来

15、捕获标准映像。 为所有硬件类型定义一套标准的磁盘映像（OS 和应用程序） 为基于网络或脱机的映像安装建立部署工具。有关详细信息，请参阅本文档中的标准化计算机映像，或访问以下网站： Business Desktop Deployment (BDD) 2007 的解决方案加速器 BDD 2007 计算机映像系统功能组指南要求： 台式机、设备和服务器管理是否跟踪、管理和升级您的移动设备的集中解决方案属性： 安装软件以发现和跟踪您组织中的移动设备。 实施密码控制的访问。 建立集中数据和软件同步。 确保停用的设备不含任何公司信息有关详细信息，请参阅本文档中的集中管理移动设备，或访问以下网站： Micro

16、soft TechNet Windows Mobile 中心 使用 Microsoft Exchange Server 2003 SP2 部署基于 Windows Mobile 的设备分步指南 Microsoft TechNet Exchange Server TechCenter Systems Management Server 2003 设备管理功能包 (DMFP)要求： 台式机、设备和服务器管理是否一种在移动设备丢失时进行用户身份验证和数据保护的解决方案属性： 建立了并且正在强制实施密码访问策略，或者对于用户标识使用公钥证书。 针对分发到移动设备的数据和从移动设备备份的数据加密所有传输

17、操作。 在移动设备上实施设备锁定。 确保在移动设备丢失或被盗时可以通过远程清除来删除公司信息有关详细信息，请参阅本文档中的移动设备的身份验证、数据保护和数据备份，或访问以下网站： Microsoft TechNet Windows Mobile 中心 使用 Microsoft Exchange Server 2003 SP2 部署基于 Windows Mobile 的设备分步指南 Microsoft TechNet Exchange Server TechCenter Systems Management Server 2003 设备管理功能包 (DMFP)要求： 台式机、设备和服务器管理是否

18、80% 的台式机上最多拥有两个操作系统版本属性： 实施映像合并策略。 减少生产操作系统的数量，不超过两个。有关详细信息，请参阅本文档中的将桌面映像合并为两个操作系统版本，或访问以下网站： Business Desktop Deployment (BDD) 2007 的解决方案加速器 BDD 2007 计算机映像系统功能组指南功能： 安全和网络标准化优化级别要求您的组织具有安装在客户端计算机上的标准防病毒软件、一个集中的外围防火墙、基础网络服务以及针对关键服务器的可用性监视。要求： 安全和网络是否在 80% 或更多的台式机上运行的防病毒软件（使用自动的签名更新）属性： 安装所有操作系统和软件应用

19、程序安全更新。 启用可用的基于主机的防火墙 在 80% 或更多的台式机上安装防病毒软件。有关详细信息，请参阅本文档中的台式机的防病毒软件，或访问以下网站：深层病毒防护指南要求： 安全和网络是否保护您的组织中 80% 或更多系统的防火墙（并非每一台台式机）有关详细信息，请参阅本文档中的集中防火墙服务，或访问以下网站： Windows Server System 参考体系结构防火墙服务实施指南 Microsoft TechNet Internet Security and Acceleration Server TechCenter要求： 安全和网络是否用于基础网络服务（DNS、DHCP、WINS

20、）的内部服务器属性： 在您所在组织内的服务器或其他设备上实施 DNS 服务。 在您所在组织内的服务器或其他设备上实施 DHCP 服务。 在您所在组织内的服务器或其他设备上为较旧操作系统实施 WINS 服务。有关详细信息，请参阅本文档中的内部管理的基础网络服务（DNS、DHCP 和 WINS），或访问以下网站 网络服务的 Windows Server System 参考体系结构简介 Windows Server 2003 部署指南 Microsoft TechNet Windows Server TechCenter要求： 安全和网络是否监视 80% 或更多关键服务器以确保拥有一致且可靠的用户体

21、验属性： 安装诸如 Microsoft Operations Manager (MOM) 之类的可用性监视软件。 监视 80% 的关键服务器的性能、事件和警报。有关详细信息，请参阅本文档中的关键服务器的可用性监视，或访问以下网站： Microsoft 操作框架服务监视和控制 Microsoft 操作框架可用性管理 Microsoft TechNet Operations Manager 2005 TechCenter功能： 数据保护和恢复标准化优化级别要求您的组织具有可以管理关键服务器上的数据备份和恢复的过程和工具。要求： 数据保护和恢复是否针对 80% 或更多业务关键型服务器的备份和还原解决

22、方案属性： 为 80% 或更多的关键服务器创建一项数据备份计划和恢复计划。 采用钻取方法来测试您的计划。有关详细信息，请参阅本文档中的为关键服务器定义备份和还原服务，或访问以下网站： Windows Server 系统参考体系结构备份和恢复服务 Microsoft 操作框架存储管理 Microsoft Data Protection Manager功能： 安全性和基于 ITIL/COBIT 的管理过程合理化优化级别要求您的企业具有已定义的针对风险管理的过程、事件管理与响应、应用程序测试、问题管理、用户支持、配置管理及变更管理。要求： 安全性和基于 ITIL/COBIT 的管理过程是否风险评估方

23、法与事件响应计划、一致的安全策略符合性以及所有已购买软件的评估与测试属性： 指定负责安全战略和策略的专业人员。 建立风险评估方法。 建立事件响应计划。 建立一个过程来管理用户、设备和服务身份。 建立一致的过程来识别安全问题（包括所有联网设备）。 在网络设备上建立一致的安全策略符合性。 建立计划来评估和测试所有购买的软件的安全符合性。 建立用于分类数据的一致策略。有关详细信息，请参阅本文档中的安全策略、风险评估、事件响应和数据安全性，或访问以下网站：Microsoft TechNet 安全中心要求： 安全性和基于 ITIL/COBIT 的管理过程是否针对问题、事件、服务、配置和更改管理的已定义的

24、过程属性： 实施问题管理技术。 实施事件管理技术。 改善最终用户支持服务。 实施变更管理最佳方案有关详细信息，请参阅本文档中的支持和变更管理过程，或访问以下网站：Microsoft TechNet 上的 Microsoft 操作框架 (MOF)准备实施核心 IO 要求核心基础结构优化实施者资源指南： 从基础到标准化指南中详细的功能和要求章节将向您展示帮助实施核心基础结构优化标准化级别的要求所需的过程和技术的高级上下文。这些章节提供了重点领域的上下文详细信息，介绍了过程和技术，也提供了整个相关实施指南的链接。Microsoft 核心 IO 要求目录服务以 Microsoft Windows Se

25、rver 产品中的 Active Directory 为基础。如果功能满足已定义的要求，Microsoft 合作伙伴和第三方解决方案就可以用来满足模型中的所有要求。分阶段方法Microsoft 推荐了一种分阶段方法，可以满足各个 IO 功能的要求。四个阶段如下图所示。在“评估”阶段，您可以确定您所在组织内的当前功能和资源。在“识别”阶段，您可以确定哪些必须完成以及您想并入什么功能。在“评估和计划”阶段，您可以确定要实施“识别”阶段所述的功能需要执行哪些操作。在“部署”阶段，您可以执行在前一阶段制定的计划。解决方案传播核心基础结构优化实施者资源指南： 从基础到标准化指南中详细的功能和要求章节将着

26、重介绍截至文档的发布日期 Microsoft 提供的指导和技术。我们期待这些技术及其相关指导不断发展。有关任何产品更新以及本文档中提及的功能，请定期访问Microsoft TechNet。实施服务本文档中所述的项目的实施服务均由 Microsoft 合作伙伴和 Microsoft 服务部门提供。要获得有关实施核心基础结构优化实施者资源指南中着重介绍的核心基础结构优化项目的帮助，请联系您附近的 Microsoft 合作伙伴或访问Microsoft 服务网站了解详细信息。功能： 身份和访问管理开启低带宽视图IO 功能： 身份和访问管理 - 从基础到标准化本页内容简介要求： 用于用户身份验证的目录服

27、务简介身份和访问管理是一种核心基础结构优化功能，也是基础结构优化模型中实施许多功能的基础。下表列出了在“身份和访问管理”中转变为标准化级别的高级别挑战、适用的解决方案和优点。挑战解决方案优点用户不断地收到身份验证提示，登录时遇到问题要管理的身份存储区过多访问资源时无法保持一致性存在未经授权访问机密信息的风险难以遵守政府法规（萨班斯-奥克斯利法案、HIPAA 等）新聘员工必须等待以访问关键系统，效率低下IT 挑战增加与密码重置和访问请求相关联的服务台成本缺少集中管理的身份，没有清晰的身份生命周期视图孤立帐户带来安全风险身份因系统而异，不存在身份的中央存储库项目实施主要目录服务用于客户身份验证实施

28、可识别目录服务的客户端业务好处通过简化的登录过程提高用户效率因管理较少身份存储区而降低管理成本在遵守法规方面取得进展降低管理用户帐户的成本IT 好处减少服务台工作量减少数字身份对身份进行集中管理提高安全性持续的身份和访问管理侧重于 Microsoft 身份和访问管理系列中所述的以下功能： 身份和访问管理的基础 基本概念 平台和基础结构 身份生命周期管理 身份聚合和同步 Intranet 和 Extranet 的密码管理 设置和工作流 访问管理和单一登录 Intranet 访问管理 Extranet 访问管理注意，在任何组织中，上述功能都是身份和访问管理服务的重要部分。有关详细信息，请参阅Mic

29、rosoft 身份和访问管理系列。在基础结构优化模型中，身份和访问管理的标准化级别可满足目录服务对用户进行身份验证的需求，并要求使用统一的目录服务对至少 80% 的用户进行身份验证。反言之，此要求意味着所有客户端都可以识别目录服务。页首要求： 用于用户身份验证的目录服务目标读者标准化优化级别要求您的组织中具有 Active Directory 目录服务，并且用于对 80% 或更多的用户进行身份验证。如果您没有使用 Active Directory 对 80% 或更多的用户进行身份验证，则应阅读本章节。概述在用户工作时间内要求进行用户身份验证的原因有许多。典型示例有网络访问、应用程序访问、数据访

30、问和电子邮件访问。当您为用户身份验证启动目录服务时，您将集中并统一所有独立的身份验证要求。单一登录使用户可以访问已授权访问的所有资源、应用程序和数据。阶段 1： 评估评估阶段主要对组织内使用的服务目录（如果有）进行清单统计。您将定义每个目录服务的原因和使用方式。如果您的组织尚未使用目录服务，您将需要检查当前如何管理身份，以及有哪些过程保护对数据资源的访问；这些可以是正式的/记录成档的过程，也可以是非正式的/未记录成档的过程。阶段 2： 识别目录服务设计过程从识别可用于提供服务的技术以及您的组织在实施目录服务方面存在哪些需求着手。Active Directory 基础结构是核心基础结构优化模型所

31、必需的，它为组织需要的许多服务提供基础支持，包括消息传递与协作、系统管理和安全服务。Active Directory 是 Microsoft Windows 2000 和 Windows Server 2003 中包括的以网络为中心的目录服务。阶段 3： 评估和计划评估和计划阶段将指导您完成计划和设计过程以满足组织需求。管理与员工及其通过单一、一致的身份验证系统使用计算资源相关的信息非常必要，该系统具有最有效地管理此信息所需的特性。 应该以目录形式组织和呈现该信息。 无论请求的数据类型如何，都应支持常见的查询方法。 具有类似特性的信息应该以类似方式进行管理。信息分组和管理的方式应由组织按照补充

32、组织现有系统的方式确定。设计目录服务设计服务时，将用到以下五类目录： 特定用途目录 应用程序目录 以网络为中心的目录 一般用途目录 元目录Active Directory 管理员可完全控制信息在目录中的呈现方式。信息可组合到称为组织单元 (OU) 的容器中，该容器有助于数据的分层存储。目录中存储的数据类型使用指定数据类（称为对象）的架构进行定义。例如，用户对象是指在架构中定义的“用户”类。用户对象的属性存储信息；例如用户名、密码和电话号码。管理员可以根据需要更新架构以包括新的属性或类。有关定义 Active Directory 目录服务的详细信息，请转到http:/www.microsoft.

33、com/technet/itsolutions/wssra/raguide/DirectoryServices/igdrbp_2.mspx#E4F。设计 Active Directory 结构Active Directory 的逻辑结构可视为许多称为“域”的逻辑目录。域的集合称为“林”，因为每个域中的目录数据通常以树状结构进行组织来反映组织。设计逻辑结构的过程包括以下步骤：1. 逻辑结构设计要求。用于管理委派的 Active Directory 功能是逻辑结构设计的核心。可委派对特定 OU 的管理以实现服务或数据的自治或隔离。执行管理委派以满足法律、操作和组织结构要求。2. 林设计。在服务设计

34、过程中确定合适的林数目之后选择林设计模型；例如，当需要多个目录或对象定义因组织而异时。很少有例外，我们建议您维护单个林以便能够标准化目录服务。3. 域设计。然后为每个林选择域模型。4. 林根设计。林根决策基于域设计。如果选择了单域模型，则单域可充当林根域。如果选择了地区性域模型，则林所有者需要确定林根。5. Active Directory 名称空间计划。为每个林确定域模型之后，应定义林和域的命名空间。6. 支持 Active Directory 的 DNS 基础结构。设计了 Active Directory 林和域结构之后，便可以完成 Active Directory 的动态名称系统 (DN

35、S) 基础结构设计。7. 创建组织单元设计。OU 结构对域（而不是对林）是唯一的，因此每个域所有者都负责设计其域的 OU 结构。呈现逻辑设计完成服务设计步骤之后，您可以创建一个逻辑设计，其可用于与他人进行设计交流，并验证建议的设计的完整性。此逻辑设计应提供要求的详细信息级别，使设计人员和 IT 专业人士能够了解建议的设计，并在整个企业设计中确保其满足他们负责的服务要求。下图是逻辑设计的一个示例。在以下示例中，公司林使用选择的地区性域模型，以便可严格控制 WAN 间的复制。有关设计 Active Directory 逻辑结构的详细信息，请转到/tec

36、hnet/itsolutions/wssra/raguide/DirectoryServices/igdrbp_2.mspx#EELAE。阶段 4： 部署对当前环境执行高级别评估并确定 Active Directory 部署目标之后，您可以确定最适合您的环境的部署策略。下图显示了定义 Active Directory 部署过程的步骤。您应用的 Active Directory 部署策略因现有的网络配置而异。例如，如果您的组织当前运行 Windows 2000，您可以轻松地将操作系统升级到 Windows Server 2003。但是，如果您的组织当前运行 Microsoft Windows N

37、T 4.0 或非 Windows 网络操作系统，您必须在升级为 Windows Server 2003 之前设计 Active Directory 基础结构。您的部署过程可能包括在 Active Directory 林内或之间调整现有域的结构。在部署 Windows Server 2003 Active Directory 之后或者进行组织变革或公司收购之后，您可能需要调整现有域的结构。有关部署 Active Directory 基础结构的先决条件的详细信息，请转到/WindowsServer/en/library/e-1185-4b41

38、-a259-b1033.mspx。操作目录服务管理的目标是确保任何获得授权的请求者都可以执行简单而有条理的过程通过网络访问信息。以下资源提供有关实施 Active Directory 并定义所有对象之后在组织内操作 Active Directory 的信息。操作 Active Directory 基础结构要求正确地管理域和林信任、Windows 时间服务、SYSVOL、全局编录、Active Directory 备份和还原、站点间复制、Active Directory 数据库以及域控制器。有关详细信息，请访问： Microsoft 操作框架目录服务管理 Windows Server 2003

39、技术库： 管理域和林信任 管理 Windows 时间服务 管理 SYSVOL 管理全局编录 管理操作主机角色 管理 Active Directory 备份和还原 管理站点间复制 管理 Active Directory 数据库 管理域控制器 Windows Server 2003 Active Directory 的技术中心包括有关在 Windows Server 2003 中实施 Active Directory 的信息：/windowsserver2003/technologies/activedirectory/default.mspx Act

40、ive Directory 和 Kerberos 的产品和技术安全中心是一个合并的资源列表，这些资源可供参考用于安全更新和操作指导：/technet/prodtechnol/windowsserver2003/technologies/featured/ad/default.mspx 有关 Microsoft 支持网站 Active Directory 的详细信息，请访问/default.aspx?scid=fh;EN-US;winsvr2003ad。更多信息有关目录服务和身份验证的详细信息，请

41、访问Microsoft TechNet并搜索“Active Directory 身份验证”。有关其他 Active Directory 产品指导，请参阅 计划 Active Directory 部署项目 设计 Active Directory 逻辑结构要了解 Microsoft 如何利用 Active Directory，请转到/technet/itshowcase/content/managead.mspx。检查点： 用于用户身份验证的目录服务要求为 80% 或更多已连接的用户的身份验证实施 Active Directory 目录。如果完成了以上

42、列出的步骤，您的组织即已满足标准化级别关于基于基础结构优化模型的这一功能的最低要求。我们建议您在部署 Active Directory 基础结构之后按照其他最佳方案资源操作您的 Active Directory 基础结构。IO 功能： 台式机、设备和服务器管理 - 从基础到标准化本页内容简介要求： 向台式机和便携式计算机自动分发修补程序检查点： 向台式机和便携式计算机自动分发修补程序要求： 为台式机和便携式计算机定义标准映像检查点： 为台式机和便携式计算机定义标准映像要求： 集中管理移动设备检查点： 集中管理移动设备要求： 移动设备的身份验证、数据保护和数据备份检查点： 移动设备的身份验证、数

43、据保护和数据备份要求： 将桌面映像合并为两个操作系统版本检查点： 将桌面映像合并为两个操作系统版本简介台式机、设备和服务器管理是第二个核心基础结构优化功能。下表描述了在“台式机、设备和服务器管理”内转变为标准化级别的高级别挑战、适用的解决方案和优点。挑战解决方案优点业务挑战未经授权访问移动设备上敏感数据的风险组织或单位无法定义移动策略设备设置的策略会发生变化缺乏集中的管理或实施设备策略的公司标准IT 挑战没有针对硬件、操作系统和应用程序的标准如果不集中管理台式机，就会导致操作和软件分发成本增加修补程序管理不一致导致产生更多安全漏洞IT 具有高度响应性，花费大量资源来应对无法预测的问题无法远程删

44、除丢失或被盗设备上的数据项目部署自动且集中的修补程序管理解决方案实施标准化零接触且基于映像的部署解决方案实施监视关键服务器的管理解决方案实施移动设备设置解决方案，其中包括安全策略设置、远程擦除和策略实施业务好处移动工作人员在公司网络和设备之间保持直接连接使用系统管理工具降低每台 PC 的管理成本IT 好处监视服务有助于简化身份验证问题、快速确定问题的起因以及有效地还原服务以防止可能出现的 IT 问题快速且低成本进行部署的 PC降低了帮助台和操作成本管理员可确保数据保护和符合公司安全策略，包括能够设置密码策略和远程删除设备中的数据基础结构优化模型中的标准化级别涵盖管理的关键领域，其中包括： 向台

45、式机和便携式计算机自动分发修补程序 为台式机和便携式计算机定义标准映像 将桌面映像合并为两个操作系统版本 集中管理移动设备 移动设备的身份验证、数据保护和数据备份标准化优化级别要求您的组织具有可以自动分发修补程序、管理并合并标准桌面映像以及集中管理连接的移动设备的过程和工具。页首要求： 向台式机和便携式计算机自动分发修补程序目标读者如果 80% 或更多台式机或便捷式计算机没有修补程序自动分发过程，则应阅读本章节。概述IT 专业人员目前正面临实施有效的软件更新管理战略的严峻挑战： 更多的设备和移动用户正在访问公司网络；具有软件和硬件供应商提供的一致的安全更新流；系统脚本和应用程序的范围不断扩展；

46、几乎每天都识别出新的安全威胁；现在的黑客社区更加高明。阶段 1： 评估“评估”阶段是修补程序管理过程中的第一个主要步骤。过程以评估开始，因为您需要确定您的生产环境中具有什么、您可能面临的安全威胁和漏洞以及您的组织是否准备响应新的操作系统或应用程序软件更新。理想情况下，评估是一个持续性过程，只有遵循此过程才能确保您始终知道您拥有哪些计算资产、如何保护这些资产以及如何确保软件分发体系结构能够支持修补程序管理。持续评估的关键领域包括： 列出现有计算资产的清单并发现现有计算资产。 评估安全威胁和漏洞。 确定软件更新信息的最佳来源。 维护标准应用程序版本的软件版本控制。 评估现有软件分发基础结构。 评估

47、操作效率。在修补程序管理的评估阶段，Microsoft 提供了许多有用的工具、实用程序和产品来提供帮助。其中包括： Microsoft Systems Management Server (SMS) “使用 SMS 2003 的修补程序管理”解决方案加速器 Microsoft Windows Server Update Services (WSUS) Microsoft 基准安全分析器 (MBSA) Microsoft 应用程序兼容工具包 (ACT) Microsoft Update (MU) SMS 2003 Desired Configuration Monitoring (DCM)本节末

48、尾对这些工具进行了比较。Microsoft 合作伙伴和其他第三方了提供可以在评估阶段使用的其他产品和工具。阶段 2： 识别识别阶段的目标： 以可靠的方式发现新的软件更新。 确定软件更新是否适用于您的生产环境。 获得软件更新源文件，并且确认这些源文件是否安全以及是否能够成功安装。 确定软件更新是否应被视为紧急更新。发现新的软件更新从通知开始，要获得通知，应当向提供扫描和报告活动的可靠来源订阅通知，或者通过其他可靠的通知机制获得通知。以下是最常使用的通知机制： 电子邮件通知：/technet/security/bulletin/notify.mspx。

49、 查看 Windows Server Update Service (WSUS) 控制台工具栏中的更新。 SMS 2003 Microsoft 更新清单工具 (ITMU)：/technet/downloads/sms/2003/tools/msupdates.mspx。 漏洞扫描工具（如 MBSA）可以扫描缺少的更新。您可以使用以下检查方法确定适用于您的 IT 基础结构的软件更新： 阅读安全公告和知识库文章。 查看各个软件更新。您获得更新之后，应通过以下活动验证它： 识别和验证软件更新所有者。 查看所有随附的文档。 确保软件更新不受病毒的干扰。阶段

50、 3： 评估和计划评估和计划阶段的目标是作出是否部署软件更新的决策，确定部署软件更新所需的资源，并在模拟生产环境中测试软件更新，以确保它不会危及关键业务系统和应用程序。评估和计划的主要要求包括： 确定合适的响应。 计划软件更新的发布。 生成发布。 执行发布的验收测试。要确定可用更新的合适响应，您应该： 区分请求的优先次序，并对请求进行分类。 获取部署软件更新的授权。发布计划过程是确定如何将软件更新发布到生产环境中的过程。计划发布新软件更新的主要考虑事项如下： 确定需要修补的对象。 识别关键问题和约束条件。 制定发布计划。要制定发布计划，您必须开发管理员将用于将软件更新部署到生产环境中的脚本、工

51、具和过程。无论软件更新是正常还是对业务很重要，都应执行测试，结果如下： 软件更新安装完成后，计算机应重新启动并安全地操作。 如果目标计算机是通过慢速或不可靠的网络连接进行连接的，则可以跨这些链接下载软件更新；下载完成之后即可成功安装软件更新。 软件更新会附带提供一个卸载例程，它可用于成功删除软件更新。 安装软件更新之后，业务关键型系统和服务继续运行，并且计算机已重新启动（如有必要）。最佳方案就是在软件更新投入生产之前有一个测试它们的测试与验证基础结构。Windows Server System 参考体系结构开发和测试虚拟环境中提供了构建测试和模拟环境的指导。Microsoft Virtual

52、Server 2005 R2和Microsoft Virtual PC 2004 SP1都是可以免费下载的产品并且还可以用作测试与验证基础结构的一部分。阶段 4： 部署部署阶段的目标是将批准的软件更新成功部署到生产环境中，以满足任何现有的部署服务级别协议 (SLA) 的所有要求。软件更新的部署应包括以下活动： 准备部署。 将软件更新部署到客户端计算机上。 部署后审查。对于每个新发布，生产环境都需要做好准备。为部署准备软件更新所需的步骤应包括： 向组织传达部署计划。 将更新暂存在分发点上。在生产环境中部署软件更新时所需的步骤应包括： 向客户端计算机播发软件更新。 监视和报告部署进度。 处理失败的

53、部署。通常在发行版部署的一至四个星期内应该执行实施后复查，以确定对修补程序管理过程应该做出的改进。通常的审查日程包括： 确保已将漏洞添加到您的漏洞扫描报告和安全策略标准中，以便攻击没有机会再次发生。 确保您的内部版本映像已更新，以包括部署后推出的最新软件更新。 讨论与实际结果相比的预期结果。 讨论与发布相关联的风险。 查看整个事件中您的组织的性能。借此机会改进您的响应计划，包括应吸取的教训。 讨论对您的服务时段所做的更改。操作修补程序管理过程是一种持续且循环的周期性过程。而操作不是基础结构优化模型中的修补程序管理阶段，IT 操作必须定义修补的频率以更好地符合您的组织的需求和安全目标。您的组织应

54、定义确定已发布的修补程序关键性质的系统并为各个修补程序发布级别定义服务级别。可用的工具许多工具和产品都可以自动提供并安装软件更新。按照最佳方案修补程序中的定义，要求对安装在托管计算机上的修补程序执行手动控制。允许自动更新或 Microsoft Update 运行未经检查的修补程序不符合组织的最佳方案修补程序管理；但是，在专业 IT 人员有限或者用户不在本地且未受管理的情况下，就可以使用这些技术。用于管理软件更新的建议选项为 Systems Management Server 2003 (SMS 2003) 和 Windows Server Update Services (WSUS)。除了这些

55、选项之外，许多 Microsoft 合作伙伴和其他第三方还提供协助修补程序管理的选项。下表列出了 Microsoft 提供的用于执行软件更新安装的软件工具。功能Microsoft Update(MU)Windows Server Update Services(WSUS)Systems Management Server 2003(SMS 2003)支持的内容类型所有软件更新、驱动程序更新、Service Pack (SP) 以及功能包 (FP)与 MU 一样只具有关键驱动程序更新任何基于 Windows 的软件的更新、SP 和 FP、支持更新和应用程序安装适用性个人用户中小型企业企业客户修补过程所用的工具下表列出了修补过程中主要的相关工具的功能：产品或工具硬件和软件清单扫描目标查找更新识别新更新管理控制安装自动部署具有 ITMU 的