1管理策略研究

為滿足大型企業(yè)多級互聯(lián)域系統(tǒng)安全運行管理的需要，提高大型企業(yè)多級互聯(lián)域系統(tǒng)的安全性、可控性、可管理性、可靠性和可用性，建設(shè)堅強(qiáng)、安全的多級互聯(lián)域系統(tǒng)，本文采用了“分級管理，權(quán)限委派；分布部署，集中維護(hù)”的管理思想來構(gòu)建多級互聯(lián)域系統(tǒng)增強(qiáng)管理體系。在多級互聯(lián)域系統(tǒng)增強(qiáng)管理體系中，為提高多級互聯(lián)域系統(tǒng)管理的效率和安全性，將不同的域管理任務(wù)分配給不同的人員，為不同的人員分配不同的域操作權(quán)限。同時，將多級互聯(lián)域系統(tǒng)的管理活動細(xì)分為域系統(tǒng)管理和域應(yīng)用管理兩大類，其中系統(tǒng)維護(hù)管理包括域系統(tǒng)維護(hù)、域運行監(jiān)控、域備份與恢復(fù)，域應(yīng)用管理包括域日常管理、組策略管理、域變更審計，并部署不同的管理軟件來增強(qiáng)多級互聯(lián)域系統(tǒng)的可管理性。

（1）分級管理，權(quán)限委派

根據(jù)大型企業(yè)多級互聯(lián)域系統(tǒng)的運維方式和管理需求，可將大型企業(yè)AD域系統(tǒng)運維管理分解為兩大類任務(wù)：AD域系統(tǒng)管理和AD域應(yīng)用管理。其中，AD域系統(tǒng)管理主要是AD域系統(tǒng)及AD域增強(qiáng)管理系統(tǒng)的系統(tǒng)維護(hù)管理工作，而AD域應(yīng)用管理則包括了AD域日常使用管理、AD域組策略管理、AD域系統(tǒng)變更審計等工作。①AD域系統(tǒng)管理

AD域系統(tǒng)維護(hù)：包括域控服務(wù)器增加刪除、域控服務(wù)器遷移、域系統(tǒng)配置更改、域故障分析處理等方面的工作，該工作通常是由系統(tǒng)維護(hù)人員、廠家技術(shù)支持人員來完成。

AD域系統(tǒng)運行監(jiān)控：包括對AD域系統(tǒng)的運行狀態(tài)進(jìn)行監(jiān)控，對AD域系統(tǒng)的關(guān)鍵運行指標(biāo)進(jìn)行監(jiān)控等方面的工作，該工作通常是由系統(tǒng)管理員、系統(tǒng)監(jiān)控人員完成。

AD域系統(tǒng)備份恢復(fù)：包括AD域的備份、AD域系統(tǒng)或?qū)ο蠡謴?fù)等工作，該工作通常是由系統(tǒng)管理員、系統(tǒng)備份人員完成。②AD域應(yīng)用管理

AD域日常使用管理：包括用戶賬號管理、計算機(jī)賬號管理、組管理、組織單元管理、聯(lián)系人管理等工作，該工作很多時候會委派給非專業(yè)IT人員完成，例如IT客服人員、部門（或基層單位）兼職信息員等。

AD域組策略管理：包括組策略的創(chuàng)建、編輯、審核、應(yīng)用等工作，該工作一般是由組策略管理員、安全管理員、桌面終端維護(hù)人員進(jìn)行的。

AD域系統(tǒng)變更審計：包括對域系統(tǒng)變更審計、域系統(tǒng)使用審計等工作，該工作一般是由安全管理員或安全審計員進(jìn)行的。由于AD域的管理工作量很大，AD域的管理工作通常會委派給不同的人員完成，例如AD域系統(tǒng)管理工作通常是由專業(yè)IT人員完成，例如系統(tǒng)監(jiān)控人員、系統(tǒng)維護(hù)人員、廠家技術(shù)支持人員等。而在AD域應(yīng)用管理工作中，AD域日常使用管理工作由子域相關(guān)單位信息中心技術(shù)員、IT客服人員、基層單位信息員等人員通過AD域日常管理系統(tǒng)完成；組策略管理工作由子域相關(guān)單位信息中心安全管理員或組策略管理員通過組策略管理系統(tǒng)完成；AD域系統(tǒng)變更審計工作由子域相關(guān)單位信息中心安全審計員通過AD域變更審計系統(tǒng)完成。通過分級管理，權(quán)限委派，可以最大化地發(fā)揮多級互聯(lián)域系統(tǒng)的作用，并降低域系統(tǒng)管理員的工作量。

（2）分布部署，集中維護(hù)

目前，大型企業(yè)級互聯(lián)域系統(tǒng)的域控服務(wù)器主要是WindowsServer2003，各下屬單位的域控服務(wù)器都是部署于本單位IDC網(wǎng)絡(luò)，并由本單位自行管理維護(hù)。為提高域系統(tǒng)的安全性、可控性和可用性，最好的方法是采用集中運行、集中維護(hù)方式，即所有域控服務(wù)器都部署在總公司IDC，由總公司信息中心集中進(jìn)行維護(hù)，但由于受網(wǎng)絡(luò)帶寬限制，該方法具有較大的局限性。為此，可采用分布部署，集中維護(hù)的方式，即各下屬單位的域控服務(wù)器部署位置不變，仍放置于本單位IDC網(wǎng)絡(luò)，但AD域系統(tǒng)基礎(chǔ)運維工作則統(tǒng)一由總公司集中完成，各下屬單位則完成AD域日常使用管理、AD域組策略管理、AD域系統(tǒng)變更審計方面的工作。這樣，既提高了AD域系統(tǒng)的安全性、可控性和可靠性，又不影響AD域系統(tǒng)的性能和可用性。在以上運行模式中，位于總公司的系統(tǒng)管理員、廠家技術(shù)支持人員可通過遠(yuǎn)程桌面連接、KVM連接、服務(wù)器虛擬化平臺客戶端連接等方式對位于各局IDC網(wǎng)絡(luò)的域控服務(wù)器進(jìn)行管理維護(hù)。而下屬單位人員則可通過AD域增強(qiáng)管理軟件，無需連接登錄域控服務(wù)器，就可完成AD域日常使用管理、AD域組策略管理、AD域系統(tǒng)變更審計方面的工作。

2增強(qiáng)管理體系實現(xiàn)研究

（1）AD域增強(qiáng)管理系統(tǒng)

AD域系統(tǒng)功能強(qiáng)大，但自身管理功能較弱，特別是在多級互聯(lián)運行模式下，AD域系統(tǒng)的分級管理、組策略管理、操作審計、報告報表、備份恢復(fù)等功能方面存在較大欠缺，無法滿足大型企業(yè)多級互聯(lián)AD域系統(tǒng)安全運行管理的需要。因此，為實現(xiàn)“分級管理，權(quán)限委派”的目標(biāo)，需要使用一系列的AD域增強(qiáng)管理軟件來增強(qiáng)大型企業(yè)多級互聯(lián)域系統(tǒng)的管理功能，包括：

AD域運行監(jiān)控系統(tǒng)：系統(tǒng)可以提供圖形化視圖，通過SNMP協(xié)議、WMI協(xié)議或安裝在域控上的代理程序獲取各域控系統(tǒng)的運行狀態(tài)，使系統(tǒng)監(jiān)控人員可對整個多級互聯(lián)域的運行狀態(tài)進(jìn)行監(jiān)控，例如域的復(fù)制關(guān)系和狀態(tài)、域的信任關(guān)系和狀態(tài)、域控角色操作主機(jī)的運行狀態(tài)、域控關(guān)鍵服務(wù)的運行狀態(tài)、域控服務(wù)器關(guān)鍵性能指標(biāo)、域數(shù)據(jù)庫完整性、域可用性等，并在出現(xiàn)異常時產(chǎn)生告警。

AD域備份恢復(fù)系統(tǒng)：系統(tǒng)可集中對所有域控服務(wù)器進(jìn)行自動備份，在制定好備份策略后，AD域備份恢復(fù)系統(tǒng)可自動對AD域進(jìn)行備份，管理員可以使用備份數(shù)據(jù)進(jìn)行域控裸機(jī)系統(tǒng)恢復(fù)、域應(yīng)用全恢復(fù)或域?qū)ο蠡謴?fù)。

AD域日常管理系統(tǒng)：系統(tǒng)可提供簡單易用的圖形化操作界面（瀏覽器或GUI），為非IT專業(yè)的操作員提供諸如用戶賬號管理、計算機(jī)賬號管理、組管理、組織單元管理、聯(lián)系人管理等AD域日常管理工作，從而可使得系統(tǒng)管理員可將大量繁瑣的AD域日常管理工作委派給不同的人員完成。

組策略管理系統(tǒng)：組策略管理系統(tǒng)擴(kuò)展了組策略管理控制臺（GPMC）的功能，為組策略對象（GPO）提供了全面的更改控制和改進(jìn)的管理方法。組策略管理系統(tǒng)可以將組策略的副本存儲在組策略管理系統(tǒng)中集中管理，提供完善的組策略管理功能，例如組策略的編輯、對比、審核、批準(zhǔn)、應(yīng)用、回退、備份、恢復(fù)等。

AD域變更審計系統(tǒng)：AD變更審計系統(tǒng)通過AD相關(guān)協(xié)議連接到域控服務(wù)器上收集AD域的相關(guān)變更數(shù)據(jù)，幫助審計和跟蹤AD域中的所有變更，詳細(xì)記錄變更歷史。審計諸如創(chuàng)建、刪除和編輯用戶、計算機(jī)、組和域策略等活動目錄變更，并生成便于普通用戶理解的報表。

（2）管理架構(gòu)與方式

基于“分級管理，權(quán)限委派；分布部署，集中維護(hù)”的思想，將不同工作任務(wù)委派給不同的人員、通過不同的系統(tǒng)和方式完成。系統(tǒng)管理結(jié)構(gòu)圖如圖1所示。①AD域系統(tǒng)管理在本架構(gòu)中，大型企業(yè)多級互聯(lián)AD域系統(tǒng)管理工作由總公司完成，并集中對域林中所有的域控服務(wù)器（包括根域和子域）和AD域增強(qiáng)管理系統(tǒng)進(jìn)行管理和維護(hù)。AD域系統(tǒng)管理工作主要包括域控服務(wù)器增加刪除、域控服務(wù)器遷移、域系統(tǒng)配置更改、域運行監(jiān)控、域備份恢復(fù)、域故障分析處理、域增強(qiáng)管理系統(tǒng)運維管理等方面，該工作通常是由系統(tǒng)監(jiān)控和維護(hù)人員完成。在AD域系統(tǒng)管理工作中，系統(tǒng)監(jiān)控人員通過AD域監(jiān)控系統(tǒng)對整個域林中的所有域控服務(wù)器的運行進(jìn)行集中監(jiān)控；系統(tǒng)維護(hù)人員通過AD域備份恢復(fù)系統(tǒng)對整個域林中的所有域控服務(wù)器進(jìn)行備份；系統(tǒng)維護(hù)人員及廠家技術(shù)支持人員通過遠(yuǎn)程桌面連接、KVM連接、服務(wù)器虛擬化平臺客戶端連接等方式對域控服務(wù)器進(jìn)行管理維護(hù)操作。②AD域應(yīng)用管理在本架構(gòu)中，大型企業(yè)多級互聯(lián)AD域應(yīng)用管理工作由子域相關(guān)單位人員完成。AD域應(yīng)用管理則包括了AD域日常使用管理、AD域組策略管理、AD域系統(tǒng)變更審計等工作。在AD域應(yīng)用管理工作中，AD域日常使用管理工作由子域相關(guān)單位信息中心技術(shù)員、IT客服人員、基層單位信息管理員等人員通過AD域日常管理系統(tǒng)完成；組策略管理工作由子域相關(guān)單位信息中心安全管理員或組策略管理員通過組策略管理系統(tǒng)完成；AD域系統(tǒng)變更審計工作由子域相關(guān)單位信息中心安全審計員通過AD域變更審計系統(tǒng)完成。AD域應(yīng)用管理的所有操作是通過相應(yīng)管理系統(tǒng)軟件完成的，管理人員無需直接訪問和登錄域控服務(wù)器。

（3）系統(tǒng)部署方式

由于大型企業(yè)多級互聯(lián)域系統(tǒng)的用戶遍及各下屬單位，若采用大集中的方式將所有子域域控服務(wù)器集中部署在總公司，則用戶的域訪問數(shù)據(jù)可能會影響到大型企業(yè)廣域網(wǎng)的性能，以及在網(wǎng)絡(luò)繁忙時AD域用戶的訪問速度會很低。為此，可采用“分布部署，集中維護(hù)”的設(shè)計思想，將跨廣域網(wǎng)的各子域服務(wù)器部署在子域所在網(wǎng)絡(luò)中，以提升AD域用戶的訪問速度，避免域訪問數(shù)據(jù)對大型企業(yè)廣域網(wǎng)性能造成影響。同樣，對于AD域增強(qiáng)管理系統(tǒng)，可將用戶訪問數(shù)據(jù)量較小的系統(tǒng)集中部署在總公司，而將訪問數(shù)據(jù)量比較大的系統(tǒng)分布部署在子域所在網(wǎng)絡(luò)，但由總公司進(jìn)行集中維護(hù)。其中，AD域集中監(jiān)控系統(tǒng)、AD域日常管理系統(tǒng)和組策略管理系統(tǒng)可采用集中部署、集中維護(hù)方式，而AD域備份恢復(fù)系統(tǒng)和AD域變更審計系統(tǒng)則由于系統(tǒng)和域控間交互數(shù)據(jù)量很大，可采用分布部署、集中維護(hù)方式。

（4）系統(tǒng)權(quán)限分配

在上述運維管理工作中，除系統(tǒng)管理員在進(jìn)行系統(tǒng)管理維護(hù)時需要具有域管理員權(quán)限及域增強(qiáng)管理系統(tǒng)管理員權(quán)限外，其他管理人員在域中只需分配給其普通用戶權(quán)限即可，其所需的域管理及操作權(quán)限在相應(yīng)的域增強(qiáng)管理系統(tǒng)上進(jìn)行分配，例如：在AD域運行監(jiān)控系統(tǒng)中給系統(tǒng)監(jiān)控人員分配監(jiān)控相關(guān)操作的權(quán)限。在AD域備份恢復(fù)系統(tǒng)中給系統(tǒng)備份人員分配制定備份任務(wù)和查看備份任務(wù)完成情況的權(quán)限。在AD域日常管理系統(tǒng)中給操作員分配用戶管理、計算機(jī)管理、組管理、OU管理等方面的權(quán)限。在組策略管理系統(tǒng)中給安全管理員或組策略管理員分配組策略創(chuàng)建、編輯、審核、應(yīng)用等方面的權(quán)限。在AD域變更審計系統(tǒng)中給安全審計員分配查詢變更操作，生成審計報告等方面的權(quán)限。

3增強(qiáng)管理體系實現(xiàn)研究

在實踐中，我們根據(jù)前述研究為企業(yè)設(shè)計了一個多級互聯(lián)域系統(tǒng)增強(qiáng)管理體系，采用了幾款A(yù)D域增強(qiáng)管理產(chǎn)品來實現(xiàn)多級互聯(lián)域系統(tǒng)增強(qiáng)管理體系中的不同功能，并在小范圍（包括根域和四個子域）內(nèi)進(jìn)行了試點應(yīng)用，取得了良好的應(yīng)用效果。

4結(jié)語

采用“分級管理，權(quán)限委派；分布部署，集中維護(hù)”的管理思想來構(gòu)建多級互聯(lián)域系統(tǒng)增強(qiáng)管理體系，并部署不同的域管理軟件來實現(xiàn)多級互聯(lián)域系統(tǒng)增強(qiáng)管理體系的不同功能，是提高大型企業(yè)多級互聯(lián)域系統(tǒng)的安全性、可控性、可管理性和可用性的一種有效方式。

作者：吳石松 劉曄 黃鳴川 單位：廣東電網(wǎng)公司信息中心 廣州粵能信息技術(shù)有限公司