1 限公司 微軟 體方案建議書 2 目錄 1 項目背景 司 經過多年的信息化建設，已經取得了較有成效的建設， 包括基本的 礎架構建設，包括基礎網絡、安全防病毒、 基本的補丁管理、數據備份等，以及一系列內部應用系統。 但是，隨著 司 的信息化建設成熟度提升，隨之而來的系統管理問題已經成為占用天河區信息中心相關的信息人員較大工作量以及花費了大量維護成 本的問題了。 系統管理的問題包括了，終端桌面的維護和管理以及服務器的維護管理。 對于終端管理，信息中心相關人員往往都忙于對于客戶端發生的故障進行故障處理，對于終端的安裝工作， 花費大量的時間，而且對于最終用戶的滿意度也無法做到最好。 對于客戶端的故障往往都是用戶對于終端的使用行為管理不當引起。此外，終端的安裝問題，也困擾著信息中心的工作。 對于服務器的維護，目前也基本依靠人為的方式來實現管理，由于目前的服務器數量還不是太多，所以維護人員的工作量還可以有所保障。 對于目前的問題，需要全面規劃一套系統管理平臺來統 一考慮解決困擾 司 日常的系統管理的問題。 本文檔的目標就是幫助 司 統一規劃系統管理平臺解決方案建議書。 2 司 目前終端管理現狀分析 司 目前在管轄范圍內的桌面終端數量在 3000 臺左右。包括了信息中心以及底下的 3 委辦局等。大多數的下屬機構的網絡帶寬和信息中心的網絡帶寬基本上都是 10寬。 除了有個別 居委會的帶寬為 512是在這些居委會的客戶端數量只有幾臺。 司 已經在全區建立了微軟活動目錄 的架構，全區基本上所有的客戶端都屬于司 的域管理范圍內，只有 2 個委辦局建立了各 自獨立的域。 目前， 司 對于終端管理上，只使用了 務來完成終端的補丁管理。其他對于終端沒有實現任何管理的功能。對于服務器管理上，沒有任何自動管理平臺，基本依靠 個人手工維護管理。 3 項目階段目標 鑒于目前 司 目前對于 系統管理 遇到的問題和挑戰，微軟認為應該通過整體的規劃進行全面考慮。 我們認為可以按照微軟基礎架構優化模型進行規劃。所謂基礎架構優化模型是指一個企業的 礎架構成熟度狀況的分析，分為：基本階段、標準化階段、合理化階段和動態化階段。 基本階段：主要的標志是在企業的 境中缺乏集中自 動化的基礎架構來實現身份和訪問管理，設備管理（網絡設備，桌面設備，服務器設備等），數據管理，安全和網絡管理以及系統管理流程規范。所有的管理都靠手工完成。 標準化階段：主要的標志是企業的 境中建立起一套標準化的基礎架構來實現基礎架構需要管理的方面。實現了初步的自動化管理的能力。 合理化階段：主要的標志是企業的 礎架構可以和企業的業務進行關聯，自動化程度更高。使 礎架構管理需要配合企業業務發展需要進行靈活調整，以及保障業務對于理的必要要求，實現基于服務級別的管理。 動態化階段：主要的標志是企業 的 礎架構可以完全自動化自我調整，靈活按照業務需求，靈活調整 統資源，所有的 理完全和業務關聯和掛鉤 。 根據分析，目前 司 的 礎架構大多屬于 基本階段， 只有身份管理和訪問管理屬于了標準化階段。 所以目前的項目階段，我們需要將 司 的 礎架構 除了身份管理部分，要 從基本階段上升為標準化階段。 具體需要實現的技術目標： 1 建立一套基于微軟 基礎的 礎架構平臺， 2 建立全面的桌面 端管理平臺， 3 建立全面的服務器運維管理平臺。 4 4 整體運維 平臺的 方案建議 終端管理平臺 目前 司 在終端管理上遇到的問題主要來源于終端用戶對于終端的配置更改的隨意性，以及對于一些強制性的軟件，例如：安全補丁、防病毒軟件等，沒有一些強制性的手段來保證。而引起的安全配置漏洞，從而產生一些異常的故障。信息人員對于此類問題的解決，只能到用戶現場，并且發現最終原因的時間較長，有時往往需要重新安裝系統等，浪費大量人力，財力。 針對 司 目前的問題和挑戰，微軟認為最迫切需要實現的終端管理的方面： 1 實現全面的終端安全配置管理 2 實現自動化的終端遠程管理 3 實現自動化終端安裝部署管理 另外，對于 終端管理的其他方面，微軟也建議 司 采用，從而可以大大降低今后的終端維護工作量： 4 終端補丁管理 5 終端資產統計管理 6 終端內網安全接入管理 7 終端軟件分發管理 8 終端信息報表管理 所以，微軟建議建設一套基于微軟 007 為基礎的全面終端管理平臺。 007 (是微軟終端管理解決方案 007 的下一代解決方案。 一系列 微軟系統管理解決方案 ，旨在相互協作使復雜 礎結構的日常管理變得更加容易、更加經濟高效。 決方案基于從 和信息技術基礎結構庫 (派生的自動化和最佳實踐，并可用于組織的所有級別。 007 只 是 列的一部分。 供企業系統備份和恢復。 您提供前瞻性的系統監視和自動化。 用于容量規劃和基礎結構部署的假設性分析。此外還有很多相關信息（有關更多信息，請查看 安全 配置管理是 另一個非常顯著的功能。圖 1 描述了顯示兩個 安 全 配置基線符合性的 “所需配置管理 ”主頁 ： 5 通過 007， 微軟提供了終端安全配置漏洞的掃描的基準文件， 軟件安裝錯誤和錯誤的配置危及安全性和穩定性，導致支持成本不斷增多。用于 安全配置弱點評估的基準文件愛女有助于防止錯誤，從而增加了企業的正常運行時間，并幫助您構建更加安全的基礎架構。設想場景： 掃描企業因配置錯誤而產生的弱點。 檢測實例： 是否安裝 并運行沒必要的服務？ 文件共享是否需要適當的許可？ 是否啟動 火墻？ 是否啟動自動更新？ 是否強制要求強大的口令？ 是否啟動不安全的客戶賬戶？ 是否在單一計算機上安排了過多的本地管理員？ 安全 配置管理的關鍵 來自對 戶的大量研究，大部分服務停用是由關鍵任務服務器和桌面上的操作系統或應用程序配置錯誤導致。使用 安全 配置管理功能，管理員 可以通過對系統運行定期基線掃描快速捕獲配置偏差。這些基線使用配置項 (創建，并提供組織中計算機集合的符合性信息。 除了捕獲配置偏差， 安全 配置管理還可以幫助實現法規符合性報告和更改驗證。在大部分組織中，都有可能需要法規符合性報告，如薩班斯 奧克斯利法案 (支付卡行業數據安全標準 (和健康保險可攜性與責任法案 ( 007 可通過所需配置管理幫助您獲得所需的報告。 6 下面是 安全 配置管理的工作原理。管理員將定義配置項 可 以在計算機中檢測、應用和刪除的配置單位。定義這些配置項后，即可創建由一個或多個配置項組成的配置基線。隨后，這些基線將被分配到 合進行符合性監視和法規報告。 配置項可以查看計算機的幾個不同方面以收集信息，包括 文件元數據、腳本結果、存儲在 中的數據、軟件更新數據、 冊表值、 數據以及 示和配置。從不同位置收集的信息將存儲在 據庫中 ，并用于驗證系統是否符合要求。 有趣的是，現在 安全 配置管理過程和通過 007 發布新更新的過程已完全集成。與新的軟件更新引擎相同，所有 安全 配置管理數據將使用基于狀態 的高優先級通道。這兩種關鍵任務功能的集成使管理員可以定義新的 安全 配置管理基線或通過新更新來更新現有基線（作為更新部署過程的一部分）。 并且通過定制，可以實現對于終端用戶變動了相關設置后的自動還原，這樣可以大大降低由于終端用戶有意或無意修改了關鍵設置，例如： 覽器設置等，而造成的大量維護工作。 以啟用遠程控制工具，幫助管理員遠程登陸終端桌面進行管理配置工作。此外， 007 與遠程桌面 (遠程協助（ 縫整合，可以更加快捷，方便的實現遠程操作。而且 007 可以靈活設置遠程控制是否可以由客戶端授權或不需要授權等不同的遠程管理模式， 遠程控制功能可以實現： 1 遠程控制，通過在 理員控制臺上可以遠程控制終端用戶的桌面。 2 遠程重啟，幫助重新啟動遠程終端。 3 遠程 聊天，可以和遠程終端用戶進行聊天，幫助用戶解決問題。 4 可以實現遠程文件傳輸，可以實現在 務器和終端之間的文件傳送。 5 遠程執行，可以在遠程終端上執行命令，腳本等任務。包括執行程序或腳本，啟動 /停止服務，中斷非法進程，修改注冊表，修改文件等。 6 戶端診斷，可以在終端上進行故障診斷。 通用過遠程工具， 理和故障排除可以在網絡任何一個位置進行處理，集中管理的目標得到體現。并且，通過遠程處理終端故障和幫助用戶，有效降低了 持的成本。 通過遠程終端維護管理，可以讓信息中心的 相關維護人員降低維護的成本以及提升維護的效率，無需到現場進行故障恢復。 操作系統部署功能是 007 最大的重點領域。 將 計為部署服務器和工作站平臺操作系統的主要方式。從根本上更改管理操作系統部署的方法。 P, 操作系統部署引入了新的 像 (格式。使用此格式有不少好處，首要的一個好處是 007 本 機導入了 像格式，這樣管理員就可以直接從控制臺使用這些映像并對其進行部署。 另一個重要的新功能是集成的 部署 任務排序器。通過利用任務排 7 序器，操作系統部署過程完全不需要任何干預。 任務排序器可以幫助安排部署操作系統需要執行的所有步驟，包括進行部署前要在較舊的操作系統中執行的步驟（用戶狀態遷移和應用程序設置轉移），部署新操作系統的步驟（設置格式、磁盤分區、產品密鑰、用戶名、公司、許可證設置、驅動程序安裝），以及部署完新系統后要求執行的步驟（其他應用程序安裝、 更新安裝、用戶狀態遷移）。作為此功能的一個示例，圖 4 顯示了任務序列編輯器，突出顯示了在 P, 署中您可以利用的一些功能。 除了任務排序器， 007 中還有若干用于操作系統部署的其他增強功能，如 圖 5 所述。例如， 持通過設備驅動程序管理對 臺的預引導執行環境 (進行裸機部署。通過此設備驅動程序管理選項，您的組織可以顯著減少需要為各類硬件維護的映像數。通過與 像格式引入的單一映像支持結合，在執行操作系統部署時您無疑會節省時間和資金。 整個客戶端自動部署實現流程如下： 1. 按照企業終端的實際情況，安裝需要作鏡像的參考對象桌面系統，準備核心鏡像 2. 按照企業不同的業務需求，配置軟件分發包。（在系統部署時動態加載） 3. 使用桌面管理系統 007, 8 4. 通過 007 的鏡像打包向導，對參考對象桌面系統進行鏡像打包。 5. 通過 007 的軟件分發向導，對不同應用程序打包。 6. 配置自動部署策略，定制管理信息數據庫，將用戶名、工作部門（或者需要安裝的軟件包）、產品密鑰、域信息、硬件網卡 址信息進行配置。 7. 通過 007 的同步功能 ，將鏡像文件同步到在各分支機構的遠程安裝服務器上， 8. 客戶端計算機網卡啟動，進行網絡安裝；或者將鏡像文件通過制作分發光盤在每個桌面計算機上安裝。 如同 007 中 的其他功能，軟件更新管理已得到顯著改進。 軟件更新管理的基于狀態的方法還意味著修補程序和更新狀態不再與硬件清單掃描相關，因此不再需要當前的 和掃描目錄。相反， 使用運行 的新軟件更新點 (服務器角色在后端作為軟件更新引擎和數據庫。 通過為所有軟件更新和 安全 配置管理信息創建一個新的基于狀態的高優先級通道，向托管代理推出更新和定期程序包的方法分離出來。推出其他軟件包不會防礙推出軟件更新或從托管的工作站、筆記本電腦或服務器接收修補程序狀態。 在 ， 您能夠在一個集中位置進行所有 更新管理。這使 9 您可以下載 所有可用的內容，包括非關鍵更新、驅動程序和 臺的其他軟件包。此外， 會鼓勵其合作伙伴通過此方法發布軟件更新。很多公司當前為 007 的自定義更新清單工具 (發布了清單，并計劃對接下來的 采取同樣的行動， 是其中的兩家。 此新的軟件更新引擎還提供接近實時的更新狀態以啟用更好的報告和增強的主頁視圖。通過 這些自定義的視圖，您可以快速了解整個 礎結構或特定計算機集合的修補程序狀態。圖 6 顯示了通過為軟件更新管理自定義的某個新主頁視圖查看特定公告的修補程序符合性數據的過程有多簡單。 通過 007 的補丁管理的特性，大大增強了目前 司 僅僅利用 完成補丁管理的功能。 首先， 補丁管理完全利用了原來的 基礎架構，節省了原來的投 資。 其次， 007 的補丁管理可以幫助企業加強對補丁管理的控制，例如：可以定制客戶端安裝補丁的策略，何時安裝，何時重啟，是否可以延遲重啟，是否設置強行重啟的最后期限等。 并且 007 的補丁管理和 緊密整合后，可以靈活地制定針對不同的對象計算機的補丁管理策略。 最后通過 007 的補丁管理可以及時查看補丁的最新狀況，而且 補丁管理，可以結合其他的功能，例如：安全配置管理， 007 可以把某一些關鍵補丁，作為終端安全配置的基準之一。另外 007 還有客戶端內網接入保護功能，可以制定關鍵補丁作為接入健康條件。 10 007 的資產管理是 基于標準的硬件清單 ，即 通過利用 007 提高了清單掃描過程中客戶端的性能并提供了一組更豐富的清單數據，其中包括 機架外殼數據。 目前可以支持超過 130 種 類型，可以獲取豐富和準確地信息。而且 007 可以提供 靈活細致的清單 。 盡管 007 使企業能跟蹤其系統上幾乎全部的軟 件資產，但通常企業會有特別重要或感興趣的一組核心應用程序和文件。通過使用通配符、環境變量和文件屬性之類的功能來提供實施智能清單搜索的功能，007 使企業可以專注于他們所需的信息。通過跳過壓縮和加密的文件，還可以減少系統資源的消耗。為確保豐富的清單和使用情況跟蹤信息易于訪問且與業務相關， 007 包括一款強大、高度靈活且可完全擴展的 告引擎，其中預置了 120 多種現成的報告。 其中包含了圖形類的報表和數據類型的報表。 也可以自定義或創建報告，還可以使用導入和導出功能將這些報告傳輸 到其他的 007 環境中。 當然，在沒有安裝 戶端軟件的終端設備，也可以通過 網絡進行發現，并且可以讓系統管理員能夠對其進行跟蹤和維護。 007 可以對內網的終端接入到企業內網進行全面的安全健康狀態檢查能力，例如：可以制定特定的補丁，特定的需要安裝的軟件等，作為終端接入企業內網的健康指標，如果不符合企業標準，將會把此客戶端接入到隔離網絡進行修補管理，然后直到客戶端符合企業健康要求，才讓客戶端接入內網。此解決方案叫做網絡接入保護 在 008 中以及在操作系統默認安裝中包含了健康策略客戶端， 007 就利用了此客戶端，在服務器端集中制定規則，通過和網絡控制設備（ 008 ）可以實現對客戶端的網絡接入進行控制。供了持續的對客戶端接入的策略制定，以及對不符合要求的客戶端進行修補管理。 11 微軟提供的 健康狀態 檢查 網絡接入保護系統是針對企業終端接入網絡而實施的保護系統。根據企業安全策略去限制非安全終端接入內部網，和其他終端安全方案結合將構成完整的終端安全系統。因此將企業網絡劃分為兩個互相隔離的區域： 安全區域，可以訪問企業內部資源； 控制區域，將不能訪問企業內部資源，可以訪問 以安裝補丁和最新的病毒庫； 終端接入安全策略 企業安全策略是根據企業安全需求而設定的，包括終端補丁安裝 情況，終端防病毒軟件安裝以及版本更新情況，病毒代碼庫的更新情況。例如和主流防病毒軟件 以對 其防病毒軟件版本和病毒庫進行監測。 個人防火墻的配置情況，屏幕保護的配置情況，特定服務的運行狀況，計算機或者用戶所屬的組，以及接入時間控制等等。這些安全策略由企業信息化建設的安全部門進行制定，系統支持在線更新策略，終端接入檢查開始之前刷新安全策略的機制。 終端 安全 檢查 和網絡控制 服務 終端實施接入時 進行 安全檢查，當終端檢查結果符合企業安全策略時，允許終端接入到企業網絡， 可以訪問內部資源：文件、應用、內部網站等。 否則終端一直處于與企業 內部 網絡隔離的控制區域，接受修補。 直到修補完成，具備健康接入的條件后，重 新接入。 12 非安全終端管理策略 可以與其他安全方案配合，在網絡控制區內部署補丁分發和病毒庫更新服務器，使得進入控制區的非安全終端可以在局域網就可以修補系統達到符合安全策略。另外，在特殊情況下，管理員可以手動配置網絡端口臨時性進入網絡安全區域。 007 的軟件分發功能有了較為增強的功能： 靈活性 基于不同對象，例如：在活動目錄中定義的組織單位，站點等進行分發可以靈活地根據不同需求給不同的對象群組分發軟件。 準確性 基于 分發，即使計算機改名也能準確發布。 自動性 新增的機器，只要滿足集合的條件，就能自動安裝指定的軟件，而無需二次分發。 可追蹤性 詳盡的狀態報表可以跟蹤應用程序部署的進展 節省帶寬 軟件分發具有智能后臺傳輸技術，可以自動調整軟件分發傳輸的帶寬，并且可以設定閥值上限。對于分支機構的軟件分發傳輸，可以利用本地的文件服務器作為本地的代表進行本地對等分發，同時在 ，還可以讓客戶端擔任本地分發對等下載得角色，大大降低了分支機構的硬件投資。 軟件包本身的更新是增量式的復制。只有更改部分在網絡上傳輸。并且， 有智能帶 寬傳輸技術，它可以自動根據業務網絡的帶寬占用情況作出自動的帶寬使用調整，在不影響正常業務在網絡的運行下，實現對應用程序的部署。 可靠性 對慢速及不穩定網絡的支持，以及斷點續傳的功能，保證了應用程序部署可以可靠的完成。 007 還可以設定軟件分發的窗口期，可以控制客戶端在某個具體時間點才能完成相關的軟件分發，補丁分發的維護工作。降低對一些關鍵客戶端，因為日常維護而帶來的影響正常工作業務的開展。 007 中的報表能夠有效準確地將 理的結果直觀地體現出來， 如資產信息，補丁管理信息， 應用程序部署 狀態，整個 健康狀況。在 裝完后，就已經可以直接使用內置的 120 以上的報表 模版 。已有的報表分為以下幾類： 硬件信息 軟件信息 軟件更新信息（補丁管理） 13 應用程序部署 信息 息 具體客戶端的報表 除了以上的基本報表，為了便于領導查詢所需的信息， 新增了儀表盤 (它的好處是：將常用的幾個報表匯總一處并給予權限設置。這樣，只需一個統一的界面，可以同時查看多個報表而無需同時打開多個頁面。 的報表的查詢是基于 視圖的。用戶無需了解整個數據庫的詳細架構就可以方便地進行二次開發。 此外， 報表是基于 式的，只要有瀏覽器和連接，就可以隨時隨地查看。也易于與其他 務整合在一起。 所有收集到的數據和信息都集中保存在站點服務器的數據庫里，也包括一定時期的歷史紀錄。一個優秀的操作小組能夠根據需要制作報表來幫助管理層進行現狀分析，提出改善建議。 目前 司 沒有對服務器實現全面的監控管理，微軟建議建立基于 007 (007)為基礎平臺的服務器運維平臺。 對于服務器的本身的運行狀況，性能狀況，應用程序運行狀況的監控，是服務器管理方面非常重要的管理項目。 需要實現從硬件底層的監控，操作系統平臺的監控，一直到應用程序監控的多層面監控要求。 監控包括健康狀態提示，故障自動告警，故障告警后自動的知識庫提示，操作人員操作的安全審計管理，運維整體報表管理等多角度。 基于微軟 臺另外一個重要解決方案 007 可以方便實現以上所有服務器運維監控管理的要求。 務器狀態監控 007 面向各種規模的企業單位實現了 務器事件與性能監控的集中化目標。為應對這種合并趨勢可能引發的潛在的信息“洪流”， 先內建了大量“知識”儲備，可供應用程序對信息含義進行評估，并就所應做出的響應提供決策。上述知識主要以管理軟件包形式出現，不僅有助于在故障發生的第一時間盡快診斷出問題根源并做出適當反應，而且，還可通過就問題隱患向管理人員 發出警告，并在其發生前提供解決方案建議的方式來預防故障事件的實際發生。 14 007 主要具備以下特性和優勢： 具備可擴展內建知識儲備的管理軟件包。 集中化服務器事件與性能監控特性。 具備高度可伸縮性的分布式體系結構。 針對基于 作系統的服務器性能實施監控的能力。 針對基于 作系統的服務器事件實施監控的能力。 根據警告提示執行專項操作的能力。 和第三方管理產品實現事件集成的能力和通過第三方廠商提供的管理軟件包實現對包括路由器