活動目錄解決方案建議書-Final

1、XX企業(yè)活動目錄解決方案建議書XX年XX月摘要 目錄1概述11.1背景介紹11.2現(xiàn)狀描述11.3問題分析12總體功能需求22.1 集中的組織與管理網(wǎng)絡(luò)內(nèi)的服務(wù)器及客戶端22.2 統(tǒng)一的數(shù)據(jù)組織與資源管理22.3 單一登錄的網(wǎng)絡(luò)環(huán)境22.4 集中化的軟件部署與運(yùn)行限制32.5 功能強(qiáng)大并易于擴(kuò)展的IT基礎(chǔ)架構(gòu)33解決方案建議33.1概念描述33.2 建設(shè)內(nèi)容43.3建設(shè)策略44解決方案優(yōu)勢54.1為什么選擇微軟54.2Windows Server 2003 R2 活動目錄的優(yōu)點(diǎn)54.3典型成功案例7II1 概述1.1 背景介紹 本解決方案將從XX企業(yè)的IT環(huán)境現(xiàn)狀出發(fā)，分析現(xiàn)有環(huán)境， 提出XX

2、企業(yè)關(guān)心的關(guān)鍵問題及未來的挑戰(zhàn)，并根據(jù)相關(guān)問題詳細(xì)闡述對應(yīng)解決方案，幫助XX企業(yè)快速解決問題，以信息技術(shù)提升企業(yè)生產(chǎn)力。1.2 現(xiàn)狀描述當(dāng)前國內(nèi)企業(yè)內(nèi)部網(wǎng)絡(luò)環(huán)境多數(shù)仍為松散的管理狀態(tài)，IT環(huán)境中硬件設(shè)備伴隨著組織中人員數(shù)量的增加每年都在增長，大力的信息化建設(shè)使硬件和應(yīng)用軟件單純從技術(shù)層面上講都達(dá)到了較高的水平，但實(shí)際環(huán)境中無論是工作用桌面計(jì)算機(jī)還是服務(wù)器都是采用工作組模型，各自獨(dú)立。IT環(huán)境中的軟硬件資源都無法實(shí)現(xiàn)充分利用。經(jīng)歷了大規(guī)模網(wǎng)絡(luò)和硬件投資建設(shè)之后，多數(shù)企業(yè)的信息技術(shù)部門開始轉(zhuǎn)向關(guān)心信息化建設(shè)投資的“效益”，究竟過去投入建成的這些設(shè)備，能夠形成哪些應(yīng)用，帶來什么效益？這已經(jīng)成為信息技

3、術(shù)部門與企業(yè)管理人員最為關(guān)心的重點(diǎn)問題。 從信息技術(shù)部門人員來說，如何整合現(xiàn)有IT環(huán)境中的資源，將IT環(huán)境的管理由松散方式變?yōu)榧泄芾淼姆绞?，減輕日常管理維護(hù)負(fù)擔(dān)，提升IT生產(chǎn)力。從最終用戶來說，如何能夠?qū)崿F(xiàn)單一的身份驗(yàn)證，快速的訪問企業(yè)內(nèi)部的各種資源，較少的宕機(jī)時(shí)間也是最大的愿望。1.3 問題分析由于歷史和技術(shù)發(fā)展方面的原因，現(xiàn)有企業(yè)內(nèi)部的IT環(huán)境是逐步建立起來的，而且在早期建立時(shí)由于沒有整體架構(gòu)的科學(xué)指導(dǎo)，導(dǎo)致目前的松散型IT環(huán)境越來越“臃腫”，客戶端、服務(wù)器各自獨(dú)立，形成一個(gè)個(gè)信息“孤島”，無法統(tǒng)一管理。在松散型管理的系統(tǒng)網(wǎng)絡(luò)環(huán)境中，一旦某個(gè)節(jié)點(diǎn)出現(xiàn)問題需要定位出現(xiàn)問題的位置，并需要繁瑣

4、費(fèi)時(shí)的恢復(fù)過程來實(shí)現(xiàn)修復(fù)。生產(chǎn)系統(tǒng)應(yīng)用軟件的大規(guī)模部署需要相關(guān)人員在各個(gè)計(jì)算機(jī)上逐一手工安裝，極大耗費(fèi)人力與時(shí)間。企業(yè)內(nèi)部的各種資源存在于員工的客戶端桌面計(jì)算機(jī)，服務(wù)器，以及其他各種設(shè)備之中，用戶需要獲取相關(guān)資源需要首先確定資源在哪一臺計(jì)算機(jī)中，并且要針對不同資源提供不同的登錄憑據(jù)（如用戶名/密碼等）來訪問。另外存在數(shù)據(jù)資源重復(fù)現(xiàn)象，造成硬件資源的不合理占用。信息技術(shù)部門制定的IT管理規(guī)范無法完全被最終用戶執(zhí)行，IT管理規(guī)范的制訂是為了防止信息系統(tǒng)出現(xiàn)如安全問題等不穩(wěn)定狀況，但松散型管理模式的IT環(huán)境中由于信息技術(shù)人員無法監(jiān)控與統(tǒng)一管理企業(yè)內(nèi)部的桌面計(jì)算機(jī)與服務(wù)器等，該規(guī)范變?yōu)橐患埧瘴?無法被

5、貫徹實(shí)施?，F(xiàn)階段，部分企業(yè)對IT環(huán)境的發(fā)展仍然缺乏整體和長遠(yuǎn)考慮，還是按照老思路，簡單考慮硬件及應(yīng)用軟件的采購與建設(shè)，照此建設(shè)思路走下去，將會使目前的IT環(huán)境更加“臃腫”，更難于管理，最終導(dǎo)致生產(chǎn)力的降低。2 總體功能需求隨著以上闡述的問題在企業(yè)內(nèi)部IT環(huán)境中越來越突出，企業(yè)存在以下需求：2.1集中的組織與管理網(wǎng)絡(luò)內(nèi)的服務(wù)器及客戶端通過對網(wǎng)絡(luò)內(nèi)的服務(wù)器與客戶端計(jì)算機(jī)進(jìn)行集中式的管理，有助于消除早期“松散型”管理帶來的安全漏洞及其他影響IT系統(tǒng)穩(wěn)健運(yùn)行問題，能夠保證企業(yè)制訂的IT管理規(guī)范可以通過計(jì)算機(jī)的邏輯方式派發(fā)給各個(gè)被管理的節(jié)點(diǎn)，并且通過集中管理的模式可以有效降低客戶端的維護(hù)工作量。2.2

6、統(tǒng)一的數(shù)據(jù)組織與資源管理實(shí)現(xiàn)統(tǒng)一的數(shù)據(jù)組織，如共享文件夾的發(fā)布，共享打印機(jī)的發(fā)布等等，并且能夠提供較為簡單的信息檢索方式，快速查詢并定為所需的各種資源，實(shí)現(xiàn)資源的高效利用。另外統(tǒng)一的數(shù)據(jù)組織與資源管理可以有效減少數(shù)據(jù)冗余與資源浪費(fèi)，減輕IT環(huán)境的維護(hù)難度，提升企業(yè)生產(chǎn)力。2.3 單一登錄的網(wǎng)絡(luò)環(huán)境企業(yè)內(nèi)的普通員工計(jì)算機(jī)應(yīng)用能力有限，如何使員工一次登錄計(jì)算機(jī)后就可以訪問其有權(quán)限訪問的各種資源是提升生產(chǎn)效率，對于普通員工來說更能感受到應(yīng)用信息技術(shù)能夠帶來更加快捷的工作效率，有助于提升信息系統(tǒng)的使用率。2.4 集中化的軟件部署與運(yùn)行限制企業(yè)希望在大規(guī)模部署某個(gè)應(yīng)用軟件時(shí)可以避免手工逐一安裝的低效率模

7、式，而采用服務(wù)器/客戶端的網(wǎng)絡(luò)分發(fā)模式，并能對軟件的版本更新做到一定控制，并且可以制定哪些軟件可以被安裝在哪些用戶的計(jì)算機(jī)上。通過對軟件的運(yùn)行限制，限制客戶端計(jì)算機(jī)上所運(yùn)行的應(yīng)用軟件，使工作用計(jì)算機(jī)僅可以運(yùn)行特定應(yīng)用程序，與工作無關(guān)的應(yīng)用程序?qū)唤惯\(yùn)行，提升系統(tǒng)安全性與最大化企業(yè)IT系統(tǒng)效能。2.5 功能強(qiáng)大并易于擴(kuò)展的IT基礎(chǔ)架構(gòu) 企業(yè)希望現(xiàn)有的IT基礎(chǔ)架構(gòu)能夠提供較強(qiáng)的功能，如安全的身份驗(yàn)證，資源整合，軟硬件集中監(jiān)控、管理等，并且希望該基礎(chǔ)架構(gòu)支持較多的上層應(yīng)用，具有較強(qiáng)的可擴(kuò)展性，在未來的幾年中可以在現(xiàn)有底層IT架構(gòu)上實(shí)現(xiàn)更多的價(jià)值。實(shí)現(xiàn)IT投資的保值。3 解決方案建議基于上述情況，

8、結(jié)合國內(nèi)外企業(yè)信息化的發(fā)展趨勢和經(jīng)驗(yàn)，同時(shí)參考IT技術(shù)的現(xiàn)有能力和發(fā)展走向，建議企業(yè)統(tǒng)籌安排、統(tǒng)一規(guī)劃，通過分步實(shí)施、集中建設(shè)的方式，構(gòu)建一個(gè)集中、統(tǒng)一、互聯(lián)互通高可管理性的基于活動目錄的企業(yè)核心IT基礎(chǔ)架構(gòu)。3.1 概念描述 活動目錄是 Windows Server網(wǎng)絡(luò)體系結(jié)構(gòu)中一個(gè)基礎(chǔ)且不可分割的部分。它提供了一套為分布式網(wǎng)絡(luò)環(huán)境設(shè)計(jì)的目錄服務(wù)，使得組織機(jī)構(gòu)可以有效地對有關(guān)網(wǎng)絡(luò)資源和用戶的信息進(jìn)行共享和管理。另外，目錄服務(wù)在網(wǎng)絡(luò)安全方面也扮演著中心授權(quán)機(jī)構(gòu)的角色，從而使操作系統(tǒng)可以輕松地驗(yàn)證用戶身份并控制其對網(wǎng)絡(luò)資源的訪問?！盎诨顒幽夸浀木W(wǎng)絡(luò)基礎(chǔ)架構(gòu)”建設(shè)方案中，不僅要建設(shè)一系列豐富的，

9、互聯(lián)的底層基礎(chǔ)架構(gòu)，同時(shí)還將構(gòu)建集中統(tǒng)一的軟件基礎(chǔ)設(shè)施、完整互通的基礎(chǔ)數(shù)據(jù)庫，無縫整合現(xiàn)有信息應(yīng)用系統(tǒng)，并建立“企業(yè)信息技術(shù)基礎(chǔ)架構(gòu)活動目錄”與外部信息系統(tǒng)的互聯(lián)互通機(jī)制。3.2 建設(shè)內(nèi)容根據(jù)“基于活動目錄的網(wǎng)絡(luò)基礎(chǔ)架構(gòu)”的建設(shè)定位，我們設(shè)計(jì)了“基于活動目錄的網(wǎng)絡(luò)基礎(chǔ)架構(gòu)”的整體功能框架，為實(shí)現(xiàn)“基于活動目錄的網(wǎng)絡(luò)基礎(chǔ)架構(gòu)”的建設(shè)目標(biāo)提供應(yīng)用功能基礎(chǔ)。3.1.1 建立基礎(chǔ)平臺 選擇合適的硬件及軟件來準(zhǔn)備用于目錄服務(wù)的服務(wù)器，硬件性能要盡量強(qiáng)勁，以滿足日后日益增加的客戶端連接處理數(shù)量；軟件要盡量選擇較新版本，以獲取最新的技術(shù)支持及更多新特性。3.1.2 整合現(xiàn)有信息技術(shù)環(huán)境 整合現(xiàn)有信息技術(shù)環(huán)境

10、，就是將客戶端與服務(wù)器由現(xiàn)有的工作組模式的環(huán)境平滑遷移至基于活動目錄的域模式，統(tǒng)一管理及身份驗(yàn)證信息，將信息統(tǒng)一由服務(wù)器發(fā)布，減少信息孤島，增強(qiáng)信息技術(shù)易用性和安全性。3.3 建設(shè)策略“企業(yè)信息技術(shù)基礎(chǔ)架構(gòu)活動目錄”的建設(shè)，是一項(xiàng)建設(shè)完成后需要長期穩(wěn)定使用的工程，需要依靠一個(gè)可持續(xù)發(fā)展的戰(zhàn)略合作伙伴的支持。因此，建議聯(lián)合國內(nèi)外有實(shí)力的，重視，專注企業(yè)信息技術(shù)基礎(chǔ)架構(gòu)的IT企業(yè)，形成戰(zhàn)略合作關(guān)系，借助企業(yè)的經(jīng)驗(yàn)和實(shí)力，為平臺建設(shè)提供規(guī)劃建議和實(shí)施方案，保證項(xiàng)目的可持續(xù)發(fā)展。具體實(shí)施方式為，首先對本公司信息化建設(shè)的基本現(xiàn)狀進(jìn)行調(diào)研，然后在調(diào)研分析的基礎(chǔ)上，再提出“企業(yè)信息技術(shù)基礎(chǔ)架構(gòu)”的具體建設(shè)規(guī)

11、劃方案。在具體項(xiàng)目建設(shè)過程中，遵循“總體規(guī)劃、分步實(shí)施、關(guān)注重點(diǎn)、解決問題”的思路，從“總體規(guī)劃”做起，規(guī)劃綜合企業(yè)信息技術(shù)基礎(chǔ)架構(gòu)的未來發(fā)展遠(yuǎn)景和功能應(yīng)用；對“總體規(guī)劃”所描繪的藍(lán)圖，采取“分步實(shí)施”的策略，按照“關(guān)注重點(diǎn)、解決問題”的原則，不僅要建設(shè)穩(wěn)定而強(qiáng)大的企業(yè)信息技術(shù)基礎(chǔ)架構(gòu)，同時(shí)還要充分重視夯實(shí)綜合應(yīng)用服務(wù)平臺的“軟件公共基礎(chǔ)平臺”，為未來的建設(shè)奠定一個(gè)可持續(xù)發(fā)展的基礎(chǔ)。4 解決方案優(yōu)勢4.1 為什么選擇微軟活動目錄核心基礎(chǔ)架構(gòu)建設(shè)屬于大型基礎(chǔ)的信息系統(tǒng)建設(shè)，需要有覆蓋整個(gè)信息系統(tǒng)建設(shè)生命周期的方法論、建設(shè)和管理經(jīng)驗(yàn)的支撐。國內(nèi)外信息化建設(shè)的成功經(jīng)驗(yàn)表明，建設(shè)大型核心基礎(chǔ)信息化系統(tǒng)

12、需要引入高質(zhì)量的戰(zhàn)略合作伙伴、系統(tǒng)集成商和產(chǎn)品供應(yīng)商，形成信息化建設(shè)的良性生態(tài)環(huán)境。微軟公司是全球公認(rèn)的最優(yōu)秀的信息技術(shù)公司之一，微軟公司在全球許多國家和地區(qū)，擁有豐富的信息化核心基礎(chǔ)架構(gòu)建設(shè)經(jīng)驗(yàn)，特別是建設(shè)“活動目錄核心基礎(chǔ)架構(gòu)”的項(xiàng)目經(jīng)驗(yàn)。通過與微軟公司合作、形成長期戰(zhàn)略合作伙伴關(guān)系，可以借助微軟公司在信息化建設(shè)的整體規(guī)劃、系統(tǒng)設(shè)計(jì)、開發(fā)建設(shè)、安全部署、運(yùn)行維護(hù)及項(xiàng)目管理等過程的經(jīng)驗(yàn)和方法，有效減小建設(shè)“活動目錄核心基礎(chǔ)架構(gòu)”的技術(shù)風(fēng)險(xiǎn)、提高成功把握。事半功倍的完成公司所需，快速提升IT生產(chǎn)力。4.2 Windows Server 2003 R2 活動目錄的優(yōu)點(diǎn) 我們選擇的 Windows

13、 Server 2003 R2活動目錄產(chǎn)品融合了一些新的技術(shù)特點(diǎn)，使我們有理由相信我們推薦的企業(yè)網(wǎng)目錄管理服務(wù)方案最能適合企業(yè)的應(yīng)用，這些特點(diǎn)包括： DNS 集成 活動目錄使用域名系統(tǒng)（ Domain Name System ，簡稱 DNS ）。這使得運(yùn)行在 TCP/IP 網(wǎng)絡(luò)上的計(jì)算機(jī)可以識別和連接另一臺計(jì)算機(jī)。 DNS 域和 Windows Server 2003 R2的域自然而有機(jī)的結(jié)合在一起，使得整個(gè)目錄結(jié)構(gòu)成樹型分布，具有了 DNS 的層次感覺，也使得 Windows Serever 2003 R2 系統(tǒng)能夠支撐龐大的目錄結(jié)構(gòu)，是的目錄對象涵蓋了整個(gè)網(wǎng)絡(luò)元素：用戶，計(jì)算機(jī)，打印機(jī)，共

14、享文件夾，應(yīng)用程序，管理策略等。 目錄定位服務(wù) 通過 DNS 服務(wù)中的 Service Resource Record （ SRV RR ）記錄公布提供目錄服務(wù)的服務(wù)器地址， SRV RR 中的附加信息指出了服務(wù)器的優(yōu)先權(quán)及重要度，使得客戶可以選擇他們所需要的最好的服務(wù)器。 DNS 記錄也可以集成到目錄中，隨著目錄復(fù)制而達(dá)到 DNS 復(fù)制的目的。 全局唯一的用戶名 在域內(nèi)一個(gè)用戶對象只能有一個(gè)用戶主名，而這個(gè)用戶名是可以用usernamedomainname 表示的，就好比一個(gè)用戶的 mail 地址一樣。正是具有了這個(gè)特性，才能夠?qū)崿F(xiàn)在企業(yè)內(nèi)只要一套用戶認(rèn)證系統(tǒng)就可以實(shí)現(xiàn)所有應(yīng)用系統(tǒng)的單一認(rèn)證

15、問題。 可擴(kuò)展性 活動目錄是可擴(kuò)展的，就是說管理員可以向模式中添加新的對象類，也可以向已經(jīng)存在的對象類添加新的屬性。模式包括每一個(gè)對象類和對象類屬性的定義，它們可以存儲在目錄中。例如，可以向用戶對象添加購買機(jī)構(gòu)屬性，然后可以將用戶的購買機(jī)構(gòu)范圍做為用戶帳號的一部分進(jìn)行存儲。 靈活的查詢 用戶和管理員可以使用 " 開始 " 菜單上的 " 查詢 " 命令、桌面上的 " 我的網(wǎng)絡(luò) " 圖標(biāo)或者 " 活動目錄用戶和計(jì)算機(jī)連接 " 插件來根據(jù)對象的屬性快速的查找網(wǎng)絡(luò)上的對象。 身份聯(lián)合ADFS （活動目錄身份聯(lián)合）提供了基于

16、 Web 的 extranet 驗(yàn)證/授權(quán)、單一簽名登陸 (SSO) 和針對 Windows Server 環(huán)境的聯(lián)合的身份服務(wù)，從而提高了在涉及 B2C extranet、intracompany (多森林的) 聯(lián)盟和 B2B internet 聯(lián)盟的場景中、現(xiàn)有活動目錄部署的價(jià)值?；诓呗缘墓芾斫M策略是在初始化時(shí)對計(jì)算機(jī)或者用戶進(jìn)行的配置。所有的小組策略設(shè)置都包含在組策略對象（ Group Policy Object ，簡稱 GPO ）中，它可以應(yīng)用于活動目錄站點(diǎn)、域或組織單元中。 GPO 設(shè)置確定對目錄對象和域資源的訪問、哪些資源域是用戶可以訪問的以及這些資源域應(yīng)該如何使用。 在利用企業(yè)

17、網(wǎng)的目錄管理服務(wù)提供單一的用戶身份驗(yàn)證方面，總的來說，存在兩方面的應(yīng)用連接方式： C/S 應(yīng)用的連接方式Web 應(yīng)用的連接方式 其中，Web應(yīng)用的連接方式 比較統(tǒng)一，解決方法也比較成熟，而 C/S 應(yīng)用的連接方式就比較復(fù)雜，需要根據(jù)特定的應(yīng)用具體分析，舉例來說， Domino/Notes 系統(tǒng)就是典型的 C/S 應(yīng)用。 在綜合了所有解決方案之后，通過對安全性，用戶使用的方便性，管理要求，實(shí)現(xiàn)技術(shù)的成熟性幾方面的比較，最后推薦使用登錄信息代理方式解決單一用戶登錄，統(tǒng)一認(rèn)證(SSO)的問題。 這種方式的實(shí)現(xiàn)原理是：應(yīng)用的登錄信息存儲在目錄數(shù)據(jù)庫（ AD ）中，通過 AD 的用戶認(rèn)證得到保護(hù)。在應(yīng)用

18、系統(tǒng)登錄時(shí)從 AD 中獲得相關(guān)信息進(jìn)行登錄。這個(gè)過程通過 SSO 插件透明進(jìn)行，從而實(shí)現(xiàn) SSO 。UNIX 身份管理通過將 AD 域控制器作為主 NIS 服務(wù)器，并同步 Unix 和 Windows 環(huán)境中的用戶密碼，UNIX 集成有助于在操作系統(tǒng)間建立不間斷的用戶訪問和有效的網(wǎng)絡(luò)資源管理?；顒幽夸浗M成結(jié)構(gòu) 企業(yè)網(wǎng)目錄管理服務(wù)的產(chǎn)品構(gòu)成比較簡單：Windows Server 2003 R2 +Active Directory ( 活動目錄 )+ 符合活動目錄要求的客戶端系統(tǒng)。4.3 典型成功案例JR東日本信息系統(tǒng)公司通過將自己的企業(yè)內(nèi)部網(wǎng)升級到Windows Server 2003以及活動目錄目錄服務(wù)，JR東日本信息公司(JR