浅谈活动目录的商业价值与特性

 
 
 
     
随着信息化时代的到来,人类越来越感受到信息产业所带来的巨大的经济效益。对于在商业运作中保持竞争力而言,网络化计算变得比以往任何时候都更为重要。为此,就要求现代化的操作系统具有管理存在于构成网络环境所需分布式资源中的一致性和关联性的机制。目录服务提供一定空间,用于存储与基于网络的实体相关的信息,例如应用程序、文件、打印机和人员等。同时,该服务也提供用于命名、描述、定位、存取、管理、备份、以及保证独立资源信息安全性的一致性方法。
 
关键字: 活动目录,域,域控制器,对象,组织单位,站点
Abstract
 
Keywords: Active Directory, Domain, Domain Controller, Object, Organizational Unit, Site
 
 
1. 活动目录概述
 
1. 1 什么是活动目录
活动目录是Windows 2000网络体系结构中一个基本且不可分割的部分。它在Windows NT 4.0操作系统的域结构基础上改进而成,并提供了一套为分布式网络环境设计的目录服务。活动目录使得组织机构可以有效地对有关网络资源和用户的信息进行共享和管理。另外,目录服务在网络安全方面也扮演着中心授权机构的角色,从而使操作系统可以轻松地验证用户身份并控制其对网络资源的访问。同等重要的是,活动目录还担当着系统集成和巩固管理任务的集合点。
总的来说,活动目录的这些功能使组织机构可以将标准化的商业规则贯彻于分布式应用和网络资源当中,同时,无需管理员来维护各种不同的专用目录。如下图(1-1)所示:
clip_image002
图(1-1)
活动目录提供了对基于Windows的用户账号、客户、服务器和应用程序进行管理的唯一点。同时,它也帮助组织机构通过使用基于Windows的应用程序和与Windows相兼容的设备对非Windows系统进行集成,从而实现巩固目录服务并简化对整个网络操作系统的管理。公司也可以使用活动目录服务安全地将网络系统扩展到Internet上。活动目录因此使现有网络投资升值,同时,降低为使Windows网络操作系统更易于管理、更安全、更易于交互所需的全部费用。
 
1.2 为什么要提供目录服务
对更加强大、透明且高度集成的目录服务的不断需求是由爆炸性增长的网络计算所导致的。随着局域网(LAN)、广域网(WAN)规模与复杂性的不断提高和这些网络不断被连入Internet,以及应用程序对网络的依赖程度不断增强并不断被链接到协作企业网中的其它系统上,对目录服务的需求也日渐增多。基于下列原因,目录服务成为扩展的计算机系统中最重要的部件之一。
 
集中管理:活动目录集中组织和管理网络中的资源信息。活动目录好比一个图书馆的图书目录,图书目录存放了这个图书馆的图书信息,便于管理。Windows 2003的活动目录就是Windows网络这个“图书馆”的一个“目录”,通过它可以方便地管理各种网络资源。
便捷的网络资源访问:活动目录允许用户一次登陆网络就可以访问网络中的所有该用户有权限访问的资源。并且,用户访问网络资源时不必知道资源所在的物理位置。活动目录允许快速、方便地查询网络资源。网络资源主要包含用户帐户、组、共享文件夹、打印机等。
可扩展性:活动目录具有强大的可扩展性。目录可以随着公司或组织的增长而一同扩展,允许从一个网络对象较少的小型网络环境发展成大型网络环境。
目录服务兼任管理工具和用户工具。随着网络中对象数量的增加,目录服务变得必不可少。目录服务在一个庞大的分布式系统中发挥着网络集线器的作用。致力于这些需求,Windows 2000 服务器版引入了活动目录——即一套用于改进Windows网络操作系统管理、安全性和互操作性的完整的目录服务集。
 
1.3 安装活动目录所需要的软件和硬件平台。
创建域必须先安装一台域控制器(DC),DC上存储着域中的资源信息,如名称、位置和特性描述等信息。通过在一台服务器上安装活动目录,就会将这台计算机安装成DC。
一台计算机要安装成DC,必须具备以下几个条件:
* 安装者必须具有本地管理员权限
* 操作系统版本必须满足条件(Windows Server 2003 除Web版外都满足)
本地至少有一个分区是NTFS文件系统
* 有TCP/IP设置(IP地址、子网掩码等)
* 有相应的DNS服务器支持
* 有足够的可用空间
当满足以上几个条件后,就可以安装活动目录了。
 
2. 活动目录的商业价值与特性
 
2.1 提高了企业用户的工作效率
 
2.1.1企业网络打印机的部署
 
一、企业所面临的问题:
* 普通用户不会安装。
* 安装过程中不知道打印机的IP,打印服务器等安装信息。
* 一台物理打印机坏了,不知道如果连接到另一台物理打印机上。
 
二、一般的解决方法:
* 管理员帮助安装。
* 远程运行脚本。(需要一定的技术)
* 借助昂贵的管理软件实现。(第三方软件)
 
三、AD环境下实现的方法:
(1)、管理员在打印服务器上安装多台打印机,网络拓扑图如下图(2-1)。(具体安装过程略)
clip_image004
图(2-1)
注意:
1、可设置多台打印机连接到一台打印设备上。
2、打印优先级的设置要合理。
3、打印机的共享名以及注释要表明打印机的物理位置,其次属于哪个部门。
4、打印机使用的权限要设置合理,比如说公司里各个部门主管对本部门的物理打印机具有管理权限,只需要将各部门主管加入到一个建立好的全局组,然后将全局组加入本地域组Print Operators中。注:对于DC上安装的打印机,Print Operators组里的组或用户默认具有管理的权限。如下图(2-2)所示:
clip_image006
图(2-2)
 
其次要对其它所有员工设置打印的权限。可以使用AGDLP规则。比如说将公司里各个部门里的员工加入各自对应的全局组,然后将各个部门的全局组加入到一个本地域组,然后给本地域组赋予打印的权限。如下图(2-3)所示:
clip_image008
图(2-3)
 
(2)、在活动目录中发布打印机。打印机发布到活动目录后,就可以进行统一组织和管理。其他域用户在加入域的客户机上可以通过“网上邻居”中的“搜索 Active Directory”来进行搜索,为了提高查找速度,可以在活动目录的对象中设置针对“打印机”进行搜索。(注:如果“网上邻居”中没有“搜索 Active Directory”,则需要设置资源管理器的“工具”→“文件夹选项”→“常规”→“任务”,勾选“在文件夹中显示常规任务”)
 
(3)、在成员客户机上添加网络打印机。域用户搜索到所有打印机之后,可以选中所需要的打印机,比如说,你是工程部里的员工,你只需要从搜索的选项中选择工程部里的打印机,然后单击鼠标右键,选择“连接”即可。不需要记忆打印服务器的IP地址了。办公效率显然得到提高。(注:为了查看是否已安装上了网络打印机,可以在“开始”→“设置”→“控制面板”→“打印机和传真”里进行查看。)如果你是一位售前人员,经常在公司里各个部门里走动。只要有一定的权限也可以通过搜索活动目录连接到其他打印机上。如下图(2-4)
clip_image010
图(2-4)
 
四、安装AD之后的优势:
* 域用户不需要太深的技术,就可以通过简单的方法快速部署网络打印机。
* Print Operators组里的组或管理者能够更加方便地管理本地打印机和网络打印机。
* 由于打印机的具体信息都储存在AD数据库中,提高了查询的速度。
 
2.1.2 用户信息方便、快速查询
 
一、企业所面临的问题:
2 主管或员工需要快速查询其他员工的电话号码或其它信息。
2 需要根据简单的关键字,比如“姓名”进行查找。
二、一般的解决方法:
2 使用excel、word或者其它的软件做电子表,查找方法不是很灵活。
2 使用内部网站发表电话表,不过要随时更新,带来不少麻烦。
2 将需要的资料打印出来分发到各个部门,查找起来更为不便。
三、AD环境下实现的方法:
(1)、安装Exchange邮件服务器,为所有域用户建立邮件账户,全部用户的邮件名称可以以姓名拼音填写。比如说域用户名叫郝俊峰,域名为benet.com,就可以命名为: [email]haojunfeng@benet.com[/email]
(2)、域中用户除了普通查找其它同事的信息外,还可以通过Outlook Express里的联系人进行查找。管理员查找工程部主管的信息,除了在活动目录里进行查找之外,还可以直接用鼠标通过双击联系人“工程部主管”进行查看。同时,工程部主管也可以随时更新自己的信息。如下图(2-5)所示:
clip_image012
图(2-5)
 
安装AD之后的优势:
2 管理人员或者员工不需要再花费大量的时间去查用户资料。
2 用户的资料可以得到随时更新,避免了及时联系不到同事所带来的不必要的麻烦。
2 避免了打印过多的资料,节约了成本。
2.2 增强了整个网络系统的安全性 2.2.1增强员工安全策略的设置
一、企业所面临的问题:
2 用户使用的帐号密码过于简单、不符合复杂性要求。
2 默认情况下,任何人均有完全访问权限。
2 用户经常忘记密码,给网络管理员带来了一定的负担。
 
二、一般的解决方法:
2 由网络管理员给用户指定密码,或是用户把密码集中起来告诉给网络管理员进行修改。
2 数千台计算机的密码修改会引来安全问题。
2 用户经常把一些复杂的密码写在小纸条上,然后贴在自己的电脑桌上或其他隐蔽的地方,造成了一些不安全的隐患。
 
三、AD环境下实现的方法:
(1)、普通域用户的域安全策略的设置。打开“开始”→“程序”→“管理工具”→“域安全策略”→“安全设置”→“帐户策略”,然后设置密码策略,帐户锁定策略以及Kerberos策略。如下图(2-6)
clip_image014
图(2-6)
比如说可以设置域用户密码必须符合复杂性要求,密码长度最小值为7位,帐户锁定阈值为5次(避免了一些***远程试探密码)等等。除此之外还有设置用户的一些权利分配,比如说不允许普通域用户更改系统时间,远程关机等等。
(2)、在默认域安全设置里更改加入域的所有计算机管理员用户名(针对客户机生效),如下图(2-7)所示,避免了一些***猜测用户名的手段。同时也可以取消在启动登陆时显示上一次登陆的用户名。如下图(2-8)所示。
clip_image016
图(2-7)
clip_image018
图(2-8)
 
四、安装AD之后的优势:
* 管理员只需要在域安全策略里进行设置就可以让所有加入域的成员计算机生效,减少了管理负担。
* 除此之外,还有更多的域安全设置,管理员可以针对企业的需求自行选择。
 
2.2.2防病毒服务器的部署
 
一、企业所面临的问题:
* 单机版的防病毒软件查杀病毒能力较差,得不到及时的更新。
* 企业中一台计算机感染就可能导致其它所有计算机感染。
* 管理员不能集中管理,只能逐一查杀病毒。
 
二、一般的解决方法:
* 管理员从网上下载更新的病毒库,然后分发给每台客户机进行病毒库的更新。
* 经常地还原系统,恢复到正常的状态。
 
三、AD环境下实现的方法:
当前的网络防病毒系统有好多,这里以一款主流的网络防病毒系统Symantec AntiVirus 9.0企业版为例进行介绍,更多的介绍它如何和活动目录结合在一起的。
(1)、首先安装Symantec AntiVirus服务器程序,其次安装Symantec系统中心,再次配置网络防病毒系统为一级服务器,最后安装Symantec AntiVirus 客户端。(具体详细过程略)图(2-9)是Symantec AntiVirus服务器组
clip_image020
图(2-9)
 
(2)、启动病毒历史记录和事件日志管理,可以集中查看网络上的病毒和其他威胁活动以及扫描情况。如下图(2-10)所示:
clip_image022
图(2-10)
 
(3)、Symantec AntiVirus 预设了使用于大多数用户的防病毒策略,用户可以根据个人需要调整设置,可以设置为自动防护、手动扫描、调动扫描等,如下图(2-11)、(2-12)、(2-13)所示:
clip_image024
图(2-11)
clip_image026
图(2-12)
clip_image028
图(2-13)
 
(4)、可针对服务器和客户端的防病毒策略进行设置,比如说启用客户端自动防护功能,并锁定该功能,不允许客户进行配置和更改等等。如下图(2-14)所示:
clip_image030
图(2-14)
 
(4)、利用Symantec 系统中心为服务器以及客户端实施病毒升级,防病毒服务器可以连接到Symantec系统中心的LiveUpdate 服务器下载新的病毒定义,服务器在网络非繁忙阶段将其推送到它们管理的防病毒客户端。
 
四、安装AD之后的优势:
* 防病毒服务器与活动目录结合可以部署多台防病毒服务器然后连接到多台防病毒客户端,更加有利于病毒库更新以及客户端的病毒的查杀工作的进行。
* 扫描策略的设置不需要管理员的干预就可以在规定的时间给客户端查杀病毒,增加了一定的灵活性。
* 服务器和客户端的防病毒策略的设置可以禁用普通用户一些功能的设置,更加有利于客户端的管理。
 
2.3 更容易访问文件的方法;更可靠,更少的宕机时间 2.3.1 DFS文件服务器的部署
 
一、企业所面临的问题:
* 在大多数环境中,共享资源在多台服务器上的各个共享文件夹中。要访问资源,用户必须记住多条共享文件夹的路径,很不方便。
* 由于多台服务器上共享资源过多,缺乏集中的管理,管理上带来太多的不便。
二、一般的解决方法:
* 用户访问多台服务器上的共享资源时,必须输入每台服务器的IP地址或者计算机名,比如说 \\172.16.3.5\或\\benet-pc1\
* 网络管理员管理共享资源时,需连接到每台服务器进行管理,带来了不便,同时也为服务器的安全造成了一定的隐患。
三、AD环境下实现的方法:
(1)、在任何一台域成员服务器上创建基于域的DFS根目录。具体创建方法为:“开始”→“程序”→“分布式文件系统”→“操作”→“新建根目录”→然后按照新建根目录向导进行创建。
注意:
1、选择根目录类型为域根目录。(域根目录支持自动复制并使用Active Directory 存储DFS配置。)
2、创建完根目录之后,然后新建连接,将所有共享的目录全部挂载上去就可以了。
3、用户可以通过访问DFS根目录就可以访问其他所有挂载上
的共享文件。如下图(2-15)所示。每个部门的资料在每个部门的服务器上。只是逻辑上连接到了一起。
clip_image032
图(2-15)
 
4、注意各部门文件夹权限的设置。比如说你时财务部的员工,想访问经理部内部资料,就会出现下面图(2-16)所示的结果。
clip_image034
图(2-16)
 
(2)、管理员可在AD中发布DFS根目录,然后通过管理DFS根目录来管理其他服务器上共享的文件。
注意:如果企业规模比较大,每个部门员工比较多,可以为每个部门创建一个基于域的DFS根目录。
四、安装AD之后的优势:
* 用户不需要再记忆过多的服务器路径就可以通过根目录进行访问,给工作上带来了许多便利。
* 管理员只需要管理域DFS根目录就可以管理所有服务器上的共享文件夹,管理上更加得心应手。
 
2.3.2 使用基于域的DFS负载均衡
一、企业所面临的问题:
* 网络中的文件服务器在有的时候不小心宕机了,管理员往往需要很长的时候才能恢复文件服务器的正常运作。
* 企业员工在文件服务器宕机之后不能及时访问共享的文件,给工作带来不便。
二、一般的解决方法:
* 管理员从备份中恢复服务器,恢复中资源不可用。
* 普通用户花时间到处找资料,耽误工作时间。
三、AD环境下实现的方法:
(1)、在搭建好的域DFS根目录上选择“新建根目录目标”然后按向导选择另外一台服务器作为根目录目标。(也可以选择多台服务器)
(2)、建立好之后,根目录里共享的文件就可以在根目录目标所选择的服务器里进行自动文件复制。如下图(2-17)所示:
clip_image035
图(2-17)
 
(3)、从下图(2-18)可以看出所有文件服务器上存放的共享目录都存在于两台DFS服务器根目录里。
clip_image038
图(2-18)
 
四、安装AD之后的优势:
* 基于域的DFS根目录在多个服务器之间具有自动复制文件的功能,给数据备份带来了方便。
* DFS根主服务器宕机了,其他的DFS根副服务器可以接替DFS根主服务器的工作,不会影响员工的正常访问。管理员也有足够的时间去维护。
* 用户可以通过网上邻居搜索活动目录,找到自己所需要的共享目录。
* 当用户需要在文件服务器上下载文件时,活动目录站点和DFS可以自动帮用户选择最近的服务器下载。
 
2.4 减少了IT管理负担与成本 2.4.1利用GPO实现软件分发策略
 
一、企业所面临的问题:
* 网络管理员在布置域中的软件时,常常会遇到要在多台计算机上对软件进行安装、修复、卸载和升级操作。如果在每台计算机上重复这些操作,工作量大,还容易出错。
* 普通用户在使用软件时往往误操作造成软件不能正常使用。
* 一些普通用户不会安装软件,也不知道需要的软件在哪?
二、一般的解决方法:
* 管理员对每台机子进行安装、修复、卸载和升级操作。
* 管理员写安装步骤或是给用户进行培训。
* 电话支持。
三、AD环境下实现的方法:
(1)、管理员将员工必需安装的软件包(必须时.msi文件,以及必要的相关安装文件,安装其他格式的文件必需通过第三方软件实现)通过GPO指派出去。
(2)、其它域用户只要登陆到域上,指派的软件包就会自动安装,并出现在“开始”菜单里。如下图(2-19)所示:
clip_image040
图(2-19)
(2)、也可以选择“发布”软件包。当用户登陆到计算机时,发布的程序显示在“控制面板”→“添加或删除程序”中。用户根据自己的需要选择安装那个软件。不过指派比发布更具有强制性。
四、安装AD之后的优势:
* 管理员只需要指派所需要的软件,便可强制安装到指定的成员计算机或OU上。
* 对于发布的软件包,用户在控制面板里可以自行选择安装所需要的软件,给用户带来更多的使用空间。
 
2.4.2 用户端管理
一、企业所面临的问题:
* 用户端的管理可以说是网络管理中成本相当高的一部分,给企业经济上带来一定的负担。
* 各种用户的需求,占用管理员大量的时间。
* 效率低,不易维护。
二、一般的解决方法:
* 给每台客户机进行设置安全策略。
* 公司严格制定一些规章制度进行管理。
三、AD环境下实现的方法:
(1)、针对每个部门建立属于他们自己的OU,然后为每个OU建立一个全局组,将部门里的所有域用户加入到全局组里,最后将所有全局组加入到本地域组里,然后给本地域组赋予权限将影响到所有的域成员。(AGDLP规则)。如下图(2-20)所示:
clip_image042
图(2-20)
(2)、组策略的设置。比如说要禁用用户修改公司的主页,使用“控制面板”,“运行“窗口,“安全设置”,“修改桌面背景”……比如说针对发展部门设置的组策略:阻止更改桌面墙纸。组策略生效之后,所有发展部门里的员工用自己的域帐户登陆到域控制器时,都不能更改桌面墙纸。如下图(2-21)所示:
clip_image044
图(2-21)
也可以针对发展部计算机进行策略的设置。(注意:所有策略的设置遵循LSDOU原则)
四、安装AD之后的优势:
* 管理员只需要在活动目录上设置相应的组策略,便会影响到一定范围内的用户或计算机。
* 策略设置之后,普通用户在每台计算机上也只是有仅需的权限,只有这样,才能将更多的时间用在工作上。
2.4.3 任务的委派
一、企业所面临的问题:
* 部门主管希望对本部门的员工信息进行管理。
* 分公司管理员需要管理分公司的IT信息。
二、一般的解决方法:
* 管理员会建立一些额外的管理用户对员工信息进行管理。(权限不易控制,将会引起不少的麻烦)
* 普通员工经常会打电话寻求帮助。
三、AD环境下实现的方法:
(1)、利用活动目录的委派功能为每一个部门主管委派一定的权限。比如说:创建、删除以及管理用户帐户……如下图(2-22)、(2-23)所示:
clip_image046
图(2-22)
clip_image048
图(2-23)
(2)、管理员如果想取消某个主管的权限,可以先启用“Active Directory用户和计算机”→“查看”→“高级功能”,右击制定的OU“属性”→“安全”→“高级”→“权限”,选择委派了任务的帐户条目,单击“删除”按钮即可。
四、安装AD之后的优势:
* 为管理员分担管理上的负担,也提高了工作效率。
* 各部门主管具有了一定的权限,能够更好的管理本部门里的域用户。
 
2.5 与应用程序的集成
2.5.1 与Windows 网路服务集成
一、企业所面临的问题:
* 众多服务管理较复杂。
* 某些服务的管理问题,如DHCP、DNS……。
二、一般的解决方法:
* 独立地管理各服务,给管理者造成了一定的负担。
* 服务功能较单一,不能和其他服务紧密地结合到一起。
三、AD环境下实现的方法:
(1)、安装DHCP服务器,然后利用管理员权限在活动目录里进行正式注册。注册之后,其它用户安装的DHCP服务器,只要没有在活动目录里注册,就会被屏蔽掉。
(2)、在安装活动目录的过程中同时安装DNS,DNS在此过程中起到两大作用:1、定位DC。2、域名的命名采用DNS标准
四、安装AD之后的优势:
* 通过与AD集成为网络服务提供额外的控制功能。
* 通过活动目录更好的管理Windows网络服务。
2.5.2 与应用集成
一、企业所面临的问题:
* 众多应用管理较复杂
* 应用管理如何优化,比如说Exchange、ISA、Live Communication、SMS、第三方软件SAP……
二、一般的解决方法:
* 通过网络邮件服务器进行邮件的存储,安全性较低,无法管理。
* 下载一些功能简单的网络防火墙进行网络的过滤。如天网、瑞星网络防火墙等
* 通过简单的聊天工具进行技术的交流,如腾讯的QQ、电信的飞信等。
三、AD环境下实现的方法:
(1)、通过活动目录将Exchange和Live Communication集成在一起,然后可以发送电子邮件的时候,你就可以看到对方是否在线。如果对方在线就可以发送及时消息。在此过程中,可以利用活动目录进行聊天存档,远程管理等。如下图(2-24)所示:
clip_image050
图(2-24)
 
(2)、通过活动目录利用ISA Service防火墙制定Web服务器发布规则、邮件服务器发布规则,FTP服务器的发布规则以及其它一些服务器的发布规则。如下图(2-25)所示:
clip_image052
图(2-25)
 
(3)、所有的应用服务都可以放到活动目录里集中存储,然后通过一些活动目录管理工具对它们进行集中管理。如图(2-26)
clip_image054
图(2-26)
 
四、安装AD之后的优势:
2 通过活动目录与应用集成简化管理。
2 极大的降低了管理和运营成本。
2 普通用户使用各个服务器提供的服务更加灵活、方便。
 
3 活动目录成功使用的案例分析
3.1 微软Windows Server 2003平台帮助李宁公司优化IT管理
一、背景情况
李宁公司成立于 1991 年,为中国领先的体育用品的创造企业,也是一种健康生活方式的传播者、推动者。李宁牌系列产品赢得了众多荣誉,成为 1991 年以来中国体育代表团参加历次重大国际比赛的专用装备,李宁牌服装和运动鞋系列不仅被推选为中国明星产品,而且被评为全国服装行业十大名牌之一。
李宁公司自 2004 年 6 月 28 日正式在香港主板市场上市后,公司步入了一个新的快速发展阶段,巩固了在中国的体育用品市场中的领导地位。
李宁公司不仅是体育用品行业的领导者,在信息化建设上,也是同行业的领航者。 1999 年 2 月,李宁公司率先在服装行业中开始建设先进的 ERP 系统,对主要的关键业务优化了流程,降低了管理成本,并将业务系统化。 2002 年,李宁公司开始进行 E-POS 系统建设,在原有的销售点 POS 的基础上进一步改造成电子化的零售管理系统。
信息技术的实施,目的在于简化企业的经营管理流程,并有效降低企业的整体拥有成本( TCO ),从而增加企业利润,增强企业的市场竞争力。企业在 IT 系统发展到一定规模之后,往往会陷入 IT 管理的困难。为此,计世资讯( CCW Research )的研究人员,访问了李宁公司的 IT 管理人员,试图通过对李宁公司优化计算环境,提高 IT 价值的经验进行总结和分析,为更多的企业用户改善 IT 管理提供参考。
二、解决方案
2008 年奥运会在中国的举办,为中国本土的体育用品供应商提供了前所未有的发展契机,为了应对业务迅速发展的挑战,李宁公司加大了信息化建设的力度,这其中也包括对公司整体办公环境的管理改善。目前,李宁公司的整体 IT 应用环境非常庞大,包括多种业务系统,以及分布在全国各分支机构的数千台 PC 和其他终端。庞大的 IT 应用环境使得公司在 IT 管理上也十分复杂,系统补丁的更新、硬件和软件资源的部署、各个部门及员工的权限分配和管理都成了一个非常棘手的问题。
为了优化公司 IT 系统的管理,李宁公司于 2005 年,在微软公司及其合作伙伴 恒逸软件(上海)有限公司 的支持下,在企业中部署了 Windows Server 2003 平台,并参照 IT 管理的最佳实践经验,进行了 IT 系统的优化和整合。
1. 加强补丁和防病毒管理
公司使用微软的 SMS 软件来对统一管理补丁和防病毒软件, SMS 软件自动完成公司内部数千台 PC 以及终端的软件更新、补丁部署以及防病毒软件的管理工作,大大简化了以往由信息管理人员才能完成的工作
2. 实施统一的域和权限管理
公司在微软 Windows Server 2003 的系统平台上,使用 AD (活动目录)对域和用户权限进行统一管理。方案采用单域设计,即在全国范围内只设置一个管理域,由 2 台位于北京的域控制器( DC )管理。单个域的设计可以简化域的管理,降低了投入成本。
3. 简化应用软件复杂性
李宁公司在简化 IT 系统的复杂性方面,下了很大力气。公司的服务器平台采用 Windows Server 2003 ,统一采购并部署了微软的桌面系统和办公软件 Office 等应用软件,前端和后端的产品由于都由微软公司提供,大大降低了软件应用的复杂性。
4. 利用系统管理软件
恒逸软件为李宁公司部署了 SMS ( Systems Management Server ), 实施资产管理、安全补丁的分发、应用部署、 移动设备管理和应用使用情况追踪等,替代这些以往由信息管理人员手工来完成的工作。
5. 选择外包服务
在外包服务上,李宁公司将办公环境中的软、硬件维护都外包给专业的 IT 技术服务商,李宁公司自己的 IT 人员,投入到能创造更大价值的业务系统开发、实施和优化中,合理的配置了 IT 资源。
三、优势与收益
通过实施上述的系统优化、整合和加强管理的工作,李宁公司利用 Windows Server 2003 平台,在 IT 管理方面,得到了明显的改进,包括:
大大提高了网络性能和安全性
公司采用了微软的 Windows Server 2003 进行网络管理,通过单一的域管理,可以明确安全界限,可以统一实施安全机制策略,从而可以有效防止机密信息的泄漏。通过单点网络登录,管理员可以管理分散在网络各处的目录数据和组织单位,只有经过授权的网络用户才可以访问网络指定位置的资源。同时, SMS 软件的应用,使得软件更新和防病毒软件自动、定期的进行,也提高了系统的安全性能。因此,该方案的实施大大提高了公司网络的性能和安全性。
简化操作,提高了工作效率
通过建立 AD 和 SMS ,使公司的信息管理人员简化了日常的操作,提高了工作效率。据李宁公司的相关人员介绍,在设立域管理器之前,公司在全国各地的服务器管理起来十分复杂,经常出现混乱的状况。在经过系统优化和整合之后,不仅可以把全国范围内的服务器进行统一管理,而且在各个区域、部门和人员的权限分配和处理上明显简化了管理流程。系统平台和应用软件都采用微软的产品,也使得用户降低了使用的复杂性,提高了员工的工作效率。
降低了整体拥有成本
系统的实施简化了操作,降低了公司的整体拥有成本。统一的权限设置和自动进行的补丁和防病毒管理,大大节省了公司的维护 IT 系统方面的人员支出,并且为终端用户提供了更稳定的工作环境。另外,由于目前有众多熟悉微软公司产品的 IT 服务供应商,李宁公司可以在较低的成本支出情况下,得到专业的服务,这是 Linux 无法比拟的优势。
 
3.2 微软Windows Server 2003帮助华北戴尔特公司搭建高效的IT系统
 
一、背景情况
华北戴尔特印刷包装有限公司(以下简称华北戴尔特)成立于1999年,是唐山第一包装有限公司与英国DELAT印刷包装有限公司合资组建的大型印刷包装企业。
经过几年的快速发展,华北戴尔特已成为国内印刷品和印刷服务的领先厂商,公司占地面积27000平方米,员工接近300人,为国内同行业规模最大的厂商之一,客户涉及众多国内外知名企业。华北戴尔特近几年管理水平得到不断的提升,于2005年通过了ISO9001质量管理体系认证;2006年又通过了ISO14001环境管理体系认证。
华北戴尔特的信息化建设开始于2001年,当时只是在公司内部使用PC和一些简单的应用软件。随着公司规模的不断扩大,在2005年11月初,公司全面启动了ERP项目。开始通过应用IT技术来帮助企业获得持续的竞争能力和扩大自身业务发展,因为IT技术可以帮助公司准确地把信息传达给客户,并帮助公司控制生产流程,实现及时交货。
业务的发展和IT系统的扩大,对华北戴尔特公司的IT系统平台提出了新的需求。如何选择并搭建公司的IT系统基础平台,可以高效、成熟、低成本地满足公司的信息处理要求呢?华北戴尔特公司开始进行解决方案的规划。
二、解决方案
华北戴尔特以前的系统平台为Windows NT Server4.0,已经无法满足公司的业务发展需要。在进行系统规划时,公司考察了两种不同的方案,一种是将NT 4.0升级为Windows Server2003;另外一种是采用Linux平台。Linux平台的采购成本比较低,似乎更有吸引力,但是,考虑到公司的IT人员对Linux产品不熟悉,基于Linux的成熟的解决方案也较少,最终公司选择了易用性强、维护简便、具有丰富的解决方案和合作伙伴支持的Windows Server 2003,开始将Windows NT Server 4.0升级,并基于此平台,构建公司的信息系统。
在微软合作伙伴北京元恒时代公司(以下简称元恒时代)的支持下,2005年12月,华北戴尔特成功将系统平台由NT4.0升级为Windows Server 2003。公司的数据存储采用SQL Server2000,桌面系统采用Windows XP。
华北戴尔特具有多台运行Windows Server 2003平台的服务器,其中有一台作为域控制器,为整个公司的系统服务。在进行此服务器系统升级前,元恒时代协助公司检查了原先服务器的硬件配置和NT 4.0系统的补丁情况。在系统升级后,元恒时代又帮助公司扩展了网络的AD(活动目录),应用新的组策略。在一个星期的运行过程中,元恒时代对网络状况进行了详细的监控,重点检查了域控制器策略、安全设置、本地策略、数字签署通信中的组策略和帐户锁定等设置,确认用户由NT 4.0平滑升级至Windows Server 2003。
三、优势与收益
系统平台安全可靠
Windows Server 2003为制造行业提供了安全稳定的系统平台。在使用了Server2003后,华北戴尔特的网络管理员贾海风说:“Server2003的安全性能和系统稳定性比NT4.0有了很大提高,系统的漏洞比以前少了很多,系统也非常稳定,几乎很少需要重新启动。”
系统性能得到明显提升
Windows Server 2003的性能比NT4.0有了很大提高,不仅支持网络负载平衡,可以在群集中各个结点之间平衡传入的IP 通讯;集成的AD(活动目录)更可以有效、快速地为各个部门和用户分配相关权限;Server2003还集成了IIS6.0(Internet Information Service),可以更安全地在Web 上执行各种业务。
系统操作简便,易于管理,提高了工作效率
“我们当初选择了将系统升级为Windows Server2003,没有选择Linux平台,主要原因就是Server2003操作简单,管理人员比较熟悉,上手很快,管理起来也很方便。” 贾海风说,“公司目前的IT系统已经具有了一定的规模,目前我们的网络管理人员仅有两人,就可以保障系统的安全运转。”Windows Server 2003新增了Microsoft 软件更新服务 (SUS)和服务器配置向导等自动管理工具来帮助实现自动部署;新的组策略管理控制台 (GPMC) 也使得管理组策略更加容易。
大大降低了用户的使用成本
与Unix/Linux平台相比,Windows Server 2003平台应用程序兼容性非常好,而且有众多的应用软件和合作伙伴支持,大大降低了用户建设和应用IT系统的整体拥有成本,尤其是对于制造行业用户。
 
 
3.3 微软Windows Server 2003平台帮助北京西伯尔通信科技有限公司快速发展
 
北京西伯尔通信科技有限公司(以下简称西伯尔通信)成立于2003年,注册资金4000万。公司主要从事面向3G的核心增值服务、基于WCDMA和CDMA-EVDO的移动通信设备及无线通信模块等业务。公司在管理方面十分规范,于2005年通过ISO9001国际质量管理体系认证,现有员工600多人。
西伯尔通信的信息化建设在开始阶段只是PC的简单应用,随着公司业务的拓展和市场形式的变化,原有的系统已经难以满足公司的需要,主要表现在两个方面:
一是国内的电信增值市场竞争激烈。随着我国加入WTO,国外的电信运营商也进入到国内的电信市场,原本竞争激烈的电信增值市场竞争将更加激烈。
西伯尔通信自身的业务也在不断扩展,公司在近年取得了良好的销售业绩,自身规模也在逐渐扩大,原有的信息平台难以适应公司快速发展的需要。
在这种情况下,西伯尔通信决定重新组建公司的信息化平台,努力搭建一个快速、有效、简便易用的平台。
二、解决方案
在平台的选择上,西伯尔通信经过了慎重的考虑,决定采用Windows Server 2003作为系统平台。公司信息管理部门的吴东志说:“我们选择了Windows Server 2003,是因为我们一直在使用Windows平台,对其比较熟悉,而且系统平台维护起来比较简便,系统非常稳定。”
在微软的合作伙伴北京元恒时代公司的支持下,西伯尔通信于2005年初,搭建了以Windows Server2003为平台的信息化系统,前端的桌面使用微软的Windows XP和Office办公软件。在Windows Server 2003平台上,公司还使用ISA Server 2000作为防火墙,员工上网统一通过ISA Server 2000。
作为通讯服务提供商,西伯尔通信在开发各种项目时,尤其是中小项目时,采用的也是微软的开发工具。产品研发部门的刘彩俊说:“我们在产品开发上,前端使用ASP.net,后台数据库使用SQL Server2000,产品开发的周期短,开发人员很少,但是项目开发顺利,容易实现,开发的界面友好,用户很容易接受。”
三、优势与收益
西伯尔通信搭建了以Windows Server2003为平台的系统,大大提高了公司的信息管理水平,同时使用微软产品来进行项目开发也为用户提供了良好的产品体验,实现了双赢。具体来说,为公司带了以下收益:
Windows平台操作简单,管理方便
西伯尔通信的系统平台全部采用Windows Server 2003,Windows平台保证了用户在操作上的简单和便利,提高了管理效率。“应用了Windows Server 2003后,用户感觉使用非常便利,操作简单,效率很高,” 西伯尔通信信息中心的吴东志说:“这种操作的简化,也为公司节省了大量的人力成本,公司的服务器和PC,均由我自己一个人来维护,由于系统平台的稳定,日常的维护工作量并不大。”
网络安全性能可靠稳定
公司采用Windows Server 2003后,网络的安全性能也有了很大的提高,网络的安全性不再是西伯尔通信担心的问题。在用户上网方面,通过设置ISA Server 2000的三个层次和45种报警方式,可以安全可靠地过滤各种信息,系统十分稳定,很少出现问题。
提供了良好的客户体验
对于一家以提供服务的公司来说,客户对其产品和服务的反映就是对公司最好的评价,在这方面,西伯尔通信赢得了客户很好的口碑。
公司内部的信息化平台采用了Windows Server 2003,同时在项目开发上也采用了微软的产品,如SQL Server、ASP.net等。公司内部使用微软产品也给项目开发带来了很多经验,在产品开发上也更得心应手,在产品的界面设计、流程规划等方面更能满足客户的需求,为客户带来更好的切身体验,增加了客户产品价值。
“客户对于我们采用ASP.net和SQL Server设计的产品非常满意,认为界面美观、人性化,操作方便,符合以往的操作习惯,这也给了我们莫大的信心和鼓舞,我们今后还会有更多采用微软开发软件进行设计的产品,为用户带来更多、更好的产品体验。” 刘彩俊说到。
更多成功案例请访问: [url]http://www.microsoft.com/china/[/url]
 
4 总结与展望
今天,关于人员、应用程序和资源的信息遍布于大多数企业的信息系统之中。网络已从对互联设备的松散集成发展为由相互依存的资源所组成的复杂生态系统。为此,网络操作系统所要提供的服务将远远不止是简单的文件共享与打印服务。网络操作系统目前需要对分布式网络资源间的关系进行透明化管理。
由于目录服务提供这些基础的网络操作系统功能,它必须与用于管理和提供安全性的操作系统机制紧密结合在一起,从而保证网络的完整性和保密性。基于Windows 域中的活动目录服务为管理和保护Windows的用户帐号、客户及应用程序提供了一个焦点。此外,活动目录被设计成能与现有系统、应用程序及设备中的非Windows目录相兼容,以提供单一的空间和稳定的方式来管理整个网络基础结构。这样,活动目录通过减少管理员管理目录信息所需的空间以使组织机构现有的投资得到升值,同时,全面降低电算化成本。
 
参考文献
1、 活动目录的介绍:
2、 使用活动目录的条件
3、 活动目录与域的结合
4、 打印服务器的部署方法
5、 域安全策略的设置
6、 防病毒服务器Symantec AntiVirus的部署
[url]www.symantec.com[/url]
7、 活动目录的软件分发策略
8、 活动目录的任务委派功能
9、DFS文件服务器的部署
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值