1管理策略研究

為滿足大型企業(yè)多級互聯(lián)域系統(tǒng)安全運行管理的需要，提高大型企業(yè)多級互聯(lián)域系統(tǒng)的安全性、可控性、可管理性、可靠性和可用性，建設堅強、安全的多級互聯(lián)域系統(tǒng)，本文采用了“分級管理，權限委派；分布部署，集中維護”的管理思想來構建多級互聯(lián)域系統(tǒng)增強管理體系。在多級互聯(lián)域系統(tǒng)增強管理體系中，為提高多級互聯(lián)域系統(tǒng)管理的效率和安全性，將不同的域管理任務分配給不同的人員，為不同的人員分配不同的域操作權限。同時，將多級互聯(lián)域系統(tǒng)的管理活動細分為域系統(tǒng)管理和域應用管理兩大類，其中系統(tǒng)維護管理包括域系統(tǒng)維護、域運行監(jiān)控、域備份與恢復，域應用管理包括域日常管理、組策略管理、域變更審計，并部署不同的管理軟件來增強多級互聯(lián)域系統(tǒng)的可管理性。

（1）分級管理，權限委派

根據(jù)大型企業(yè)多級互聯(lián)域系統(tǒng)的運維方式和管理需求，可將大型企業(yè)AD域系統(tǒng)運維管理分解為兩大類任務：AD域系統(tǒng)管理和AD域應用管理。其中，AD域系統(tǒng)管理主要是AD域系統(tǒng)及AD域增強管理系統(tǒng)的系統(tǒng)維護管理工作，而AD域應用管理則包括了AD域日常使用管理、AD域組策略管理、AD域系統(tǒng)變更審計等工作。①AD域系統(tǒng)管理

AD域系統(tǒng)維護：包括域控服務器增加刪除、域控服務器遷移、域系統(tǒng)配置更改、域故障分析處理等方面的工作，該工作通常是由系統(tǒng)維護人員、廠家技術支持人員來完成。

AD域系統(tǒng)運行監(jiān)控：包括對AD域系統(tǒng)的運行狀態(tài)進行監(jiān)控，對AD域系統(tǒng)的關鍵運行指標進行監(jiān)控等方面的工作，該工作通常是由系統(tǒng)管理員、系統(tǒng)監(jiān)控人員完成。

AD域系統(tǒng)備份恢復：包括AD域的備份、AD域系統(tǒng)或?qū)ο蠡謴偷裙ぷ鳎摴ぷ魍ǔＪ怯上到y(tǒng)管理員、系統(tǒng)備份人員完成。②AD域應用管理

AD域日常使用管理：包括用戶賬號管理、計算機賬號管理、組管理、組織單元管理、聯(lián)系人管理等工作，該工作很多時候會委派給非專業(yè)IT人員完成，例如IT客服人員、部門（或基層單位）兼職信息員等。

AD域組策略管理：包括組策略的創(chuàng)建、編輯、審核、應用等工作，該工作一般是由組策略管理員、安全管理員、桌面終端維護人員進行的。

AD域系統(tǒng)變更審計：包括對域系統(tǒng)變更審計、域系統(tǒng)使用審計等工作，該工作一般是由安全管理員或安全審計員進行的。由于AD域的管理工作量很大，AD域的管理工作通常會委派給不同的人員完成，例如AD域系統(tǒng)管理工作通常是由專業(yè)IT人員完成，例如系統(tǒng)監(jiān)控人員、系統(tǒng)維護人員、廠家技術支持人員等。而在AD域應用管理工作中，AD域日常使用管理工作由子域相關單位信息中心技術員、IT客服人員、基層單位信息員等人員通過AD域日常管理系統(tǒng)完成；組策略管理工作由子域相關單位信息中心安全管理員或組策略管理員通過組策略管理系統(tǒng)完成；AD域系統(tǒng)變更審計工作由子域相關單位信息中心安全審計員通過AD域變更審計系統(tǒng)完成。通過分級管理，權限委派，可以最大化地發(fā)揮多級互聯(lián)域系統(tǒng)的作用，并降低域系統(tǒng)管理員的工作量。

（2）分布部署，集中維護

目前，大型企業(yè)級互聯(lián)域系統(tǒng)的域控服務器主要是WindowsServer2003，各下屬單位的域控服務器都是部署于本單位IDC網(wǎng)絡，并由本單位自行管理維護。為提高域系統(tǒng)的安全性、可控性和可用性，最好的方法是采用集中運行、集中維護方式，即所有域控服務器都部署在總公司IDC，由總公司信息中心集中進行維護，但由于受網(wǎng)絡帶寬限制，該方法具有較大的局限性。為此，可采用分布部署，集中維護的方式，即各下屬單位的域控服務器部署位置不變，仍放置于本單位IDC網(wǎng)絡，但AD域系統(tǒng)基礎運維工作則統(tǒng)一由總公司集中完成，各下屬單位則完成AD域日常使用管理、AD域組策略管理、AD域系統(tǒng)變更審計方面的工作。這樣，既提高了AD域系統(tǒng)的安全性、可控性和可靠性，又不影響AD域系統(tǒng)的性能和可用性。在以上運行模式中，位于總公司的系統(tǒng)管理員、廠家技術支持人員可通過遠程桌面連接、KVM連接、服務器虛擬化平臺客戶端連接等方式對位于各局IDC網(wǎng)絡的域控服務器進行管理維護。而下屬單位人員則可通過AD域增強管理軟件，無需連接登錄域控服務器，就可完成AD域日常使用管理、AD域組策略管理、AD域系統(tǒng)變更審計方面的工作。

2增強管理體系實現(xiàn)研究

（1）AD域增強管理系統(tǒng)

AD域系統(tǒng)功能強大，但自身管理功能較弱，特別是在多級互聯(lián)運行模式下，AD域系統(tǒng)的分級管理、組策略管理、操作審計、報告報表、備份恢復等功能方面存在較大欠缺，無法滿足大型企業(yè)多級互聯(lián)AD域系統(tǒng)安全運行管理的需要。因此，為實現(xiàn)“分級管理，權限委派”的目標，需要使用一系列的AD域增強管理軟件來增強大型企業(yè)多級互聯(lián)域系統(tǒng)的管理功能，包括：

AD域運行監(jiān)控系統(tǒng)：系統(tǒng)可以提供圖形化視圖，通過SNMP協(xié)議、WMI協(xié)議或安裝在域控上的代理程序獲取各域控系統(tǒng)的運行狀態(tài)，使系統(tǒng)監(jiān)控人員可對整個多級互聯(lián)域的運行狀態(tài)進行監(jiān)控，例如域的復制關系和狀態(tài)、域的信任關系和狀態(tài)、域控角色操作主機的運行狀態(tài)、域控關鍵服務的運行狀態(tài)、域控服務器關鍵性能指標、域數(shù)據(jù)庫完整性、域可用性等，并在出現(xiàn)異常時產(chǎn)生告警。

AD域備份恢復系統(tǒng)：系統(tǒng)可集中對所有域控服務器進行自動備份，在制定好備份策略后，AD域備份恢復系統(tǒng)可自動對AD域進行備份，管理員可以使用備份數(shù)據(jù)進行域控裸機系統(tǒng)恢復、域應用全恢復或域?qū)ο蠡謴汀?

AD域日常管理系統(tǒng)：系統(tǒng)可提供簡單易用的圖形化操作界面（瀏覽器或GUI），為非IT專業(yè)的操作員提供諸如用戶賬號管理、計算機賬號管理、組管理、組織單元管理、聯(lián)系人管理等AD域日常管理工作，從而可使得系統(tǒng)管理員可將大量繁瑣的AD域日常管理工作委派給不同的人員完成。

組策略管理系統(tǒng)：組策略管理系統(tǒng)擴展了組策略管理控制臺（GPMC）的功能，為組策略對象（GPO）提供了全面的更改控制和改進的管理方法。組策略管理系統(tǒng)可以將組策略的副本存儲在組策略管理系統(tǒng)中集中管理，提供完善的組策略管理功能，例如組策略的編輯、對比、審核、批準、應用、回退、備份、恢復等。

AD域變更審計系統(tǒng)：AD變更審計系統(tǒng)通過AD相關協(xié)議連接到域控服務器上收集AD域的相關變更數(shù)據(jù)，幫助審計和跟蹤AD域中的所有變更，詳細記錄變更歷史。審計諸如創(chuàng)建、刪除和編輯用戶、計算機、組和域策略等活動目錄變更，并生成便于普通用戶理解的報表。

（2）管理架構與方式

基于“分級管理，權限委派；分布部署，集中維護”的思想，將不同工作任務委派給不同的人員、通過不同的系統(tǒng)和方式完成。系統(tǒng)管理結構圖如圖1所示。①AD域系統(tǒng)管理在本架構中，大型企業(yè)多級互聯(lián)AD域系統(tǒng)管理工作由總公司完成，并集中對域林中所有的域控服務器（包括根域和子域）和AD域增強管理系統(tǒng)進行管理和維護。AD域系統(tǒng)管理工作主要包括域控服務器增加刪除、域控服務器遷移、域系統(tǒng)配置更改、域運行監(jiān)控、域備份恢復、域故障分析處理、域增強管理系統(tǒng)運維管理等方面，該工作通常是由系統(tǒng)監(jiān)控和維護人員完成。在AD域系統(tǒng)管理工作中，系統(tǒng)監(jiān)控人員通過AD域監(jiān)控系統(tǒng)對整個域林中的所有域控服務器的運行進行集中監(jiān)控；系統(tǒng)維護人員通過AD域備份恢復系統(tǒng)對整個域林中的所有域控服務器進行備份；系統(tǒng)維護人員及廠家技術支持人員通過遠程桌面連接、KVM連接、服務器虛擬化平臺客戶端連接等方式對域控服務器進行管理維護操作。②AD域應用管理在本架構中，大型企業(yè)多級互聯(lián)AD域應用管理工作由子域相關單位人員完成。AD域應用管理則包括了AD域日常使用管理、AD域組策略管理、AD域系統(tǒng)變更審計等工作。在AD域應用管理工作中，AD域日常使用管理工作由子域相關單位信息中心技術員、IT客服人員、基層單位信息管理員等人員通過AD域日常管理系統(tǒng)完成；組策略管理工作由子域相關單位信息中心安全管理員或組策略管理員通過組策略管理系統(tǒng)完成；AD域系統(tǒng)變更審計工作由子域相關單位信息中心安全審計員通過AD域變更審計系統(tǒng)完成。AD域應用管理的所有操作是通過相應管理系統(tǒng)軟件完成的，管理人員無需直接訪問和登錄域控服務器。

（3）系統(tǒng)部署方式

由于大型企業(yè)多級互聯(lián)域系統(tǒng)的用戶遍及各下屬單位，若采用大集中的方式將所有子域域控服務器集中部署在總公司，則用戶的域訪問數(shù)據(jù)可能會影響到大型企業(yè)廣域網(wǎng)的性能，以及在網(wǎng)絡繁忙時AD域用戶的訪問速度會很低。為此，可采用“分布部署，集中維護”的設計思想，將跨廣域網(wǎng)的各子域服務器部署在子域所在網(wǎng)絡中，以提升AD域用戶的訪問速度，避免域訪問數(shù)據(jù)對大型企業(yè)廣域網(wǎng)性能造成影響。同樣，對于AD域增強管理系統(tǒng)，可將用戶訪問數(shù)據(jù)量較小的系統(tǒng)集中部署在總公司，而將訪問數(shù)據(jù)量比較大的系統(tǒng)分布部署在子域所在網(wǎng)絡，但由總公司進行集中維護。其中，AD域集中監(jiān)控系統(tǒng)、AD域日常管理系統(tǒng)和組策略管理系統(tǒng)可采用集中部署、集中維護方式，而AD域備份恢復系統(tǒng)和AD域變更審計系統(tǒng)則由于系統(tǒng)和域控間交互數(shù)據(jù)量很大，可采用分布部署、集中維護方式。

（4）系統(tǒng)權限分配

在上述運維管理工作中，除系統(tǒng)管理員在進行系統(tǒng)管理維護時需要具有域管理員權限及域增強管理系統(tǒng)管理員權限外，其他管理人員在域中只需分配給其普通用戶權限即可，其所需的域管理及操作權限在相應的域增強管理系統(tǒng)上進行分配，例如：在AD域運行監(jiān)控系統(tǒng)中給系統(tǒng)監(jiān)控人員分配監(jiān)控相關操作的權限。在AD域備份恢復系統(tǒng)中給系統(tǒng)備份人員分配制定備份任務和查看備份任務完成情況的權限。在AD域日常管理系統(tǒng)中給操作員分配用戶管理、計算機管理、組管理、OU管理等方面的權限。在組策略管理系統(tǒng)中給安全管理員或組策略管理員分配組策略創(chuàng)建、編輯、審核、應用等方面的權限。在AD域變更審計系統(tǒng)中給安全審計員分配查詢變更操作，生成審計報告等方面的權限。

3增強管理體系實現(xiàn)研究

在實踐中，我們根據(jù)前述研究為企業(yè)設計了一個多級互聯(lián)域系統(tǒng)增強管理體系，采用了幾款AD域增強管理產(chǎn)品來實現(xiàn)多級互聯(lián)域系統(tǒng)增強管理體系中的不同功能，并在小范圍（包括根域和四個子域）內(nèi)進行了試點應用，取得了良好的應用效果。

4結語

采用“分級管理，權限委派；分布部署，集中維護”的管理思想來構建多級互聯(lián)域系統(tǒng)增強管理體系，并部署不同的域管理軟件來實現(xiàn)多級互聯(lián)域系統(tǒng)增強管理體系的不同功能，是提高大型企業(yè)多級互聯(lián)域系統(tǒng)的安全性、可控性、可管理性和可用性的一種有效方式。

作者：吳石松 劉曄 黃鳴川 單位：廣東電網(wǎng)公司信息中心 廣州粵能信息技術有限公司