《微软域架构方案》由会员分享,可在线阅读,更多相关《微软域架构方案(10页珍藏版)》请在金锄头文库上搜索。
1、基于Microsoft AD信息网络构建方案目录一、使用Microsoft AD架构建设企业内部信息网络31.1工作组环境下企业IT面临的挑战31.2 AD域架构的应用给企业管理带来的优势31.3域架构设计原则31.4 公司域架构规划4二、使用Microsoft Exchange Server作为企业邮件系统52.1能够实现与AD集成的用户身份验证52.2能够做到和现有J2EE平台的整合(消息传递)52.4对于邮件系统的防病毒、防垃圾邮件的解决方案和实施计划6三、内嵌Microsoft RMS技术增强企业信息安全63.1传统的信息共享过程存在安全隐患63.2 基于边界的安全技术具有潜在威胁63
2、.3 关于RMS73.4步骤解释:7四、添加边际网关安全设备(防火墙)增强企业网络整体安全性84.1 为什么需要硬件防火墙84.2 使用防火墙的主要目的包括以下两个方面:84.3 防火墙提升安全性的体现8前 言如何构建企业内部基本计算机网络?如何构建合适的企业内部基本计算机网络?本方案根据企业实际情况及需求,从系统架构、实际应用、数据安全及全局安全四个方面设计出适合本企业的解决方案,且在技术上、可扩展性上、兼容性等方面都符合主流设计。下图为基本网络结构。一、使用Microsoft AD架构建设企业内部信息网络1.1工作组环境下企业IT面临的挑战身份管理:大量的用户登录名和目录;不牢固的密码;安
3、全访问网络和应用资源;增加的桌面系统维护费用。服务器和桌面电脑管理:如何统一管理服务器和桌面系统安全策略;如何统一管理桌面系统的应用;如何保持所有系统安全补丁升级到最新。1.2 AD域架构的应用给企业管理带来的优势1)提高IT运行效率:Windows的管理效率提高30%;集中管理服务器和桌面系统;减少目录帐户和密码的数量。2)对用户实施权限管理:划分不同级别的权限来进行用户管理;限制低级别用户访问高级别用户的相关资源;拒绝未经授权的用户访问域内资源。3)增强的网络安全:强制用户使用复杂的密码;通过域的安全边界,实现域内资源的保护,增强企业网络的安全性;通过域的安全更新策略,实现MS WSUS
4、统一更新域内的所有计算机客户端的系统安全补丁;通过对域内资源的权限设置和统一安全策略的制定,减少安全隐患的产生;单一管理对网络资源的访问。4)提高信息工作者生产力:快速找到需要的各种资源;实现单点登录;能提高员工的协作能力1.3域架构设计原则在进行总体框架设计时,考虑到公司的现有网络架构及公司管理体系,微软在AD域设计方面推荐遵循以下原则:1)稳定性在系统结构设计上要充分考虑到系统运行的稳定性。系统平台方面要考虑各种系统配置对稳定性的影响,系统必须经过严格的测试,包括功能测试、在各种系统环境或系统配置上的测试等,确保系统在多种设备环境上能够稳定运行。必要时,可以建立管理中心,通过远程管理、监控
5、手段与本地系统管理相结合的方式,保证系统的稳定、可靠。2)易管理系统平台的管理要尽量简单,尽量少地使用户涉及到系统平台的管理工作,必要的管理任务也要提供相应的培训、帮助资料甚至操作引导界面来帮助用户顺利地完成工作。信息交换系统的管理在设计时也要考虑到易管理性方面的要求,通过操作引导界面辅助用户完成所需的数据交换的管理工作。3)易维护系统的结构设计要易于维护,组成系统的功能元素要具有一定的独立性,可以根据用户的需要进行替换而不影响或很少影响其他功能元素,并能够与其他功能元素协作共同完成用户的功能。4)易扩展系统无论是在业务功能上,还是在信息的交换规范上都应当易于扩展,以便适应今后业务的发展。5)
6、易用性系统的操作应尽量简单,对操作提示、错误报告、监控信息反馈等要全面、详细,真正做到易学、易用、易培训。6)安全性使用系统平台的相关安全设置以及应用系统的安全性实现,实现整个系统的安全性。确保系统不被非授权用户侵入,数据不丢失,确认发送者和接收者的身份,保证传输数据不被非法获取、篡改等。7)统一性各级系统的建设要遵循统一的要求进行,在平台、应用系统、应用策略、安全管理等方面保持一致,提供统一的用户体验,保证系统内部数据传输服务的可靠性。1.4 公司域架构规划 域结构设计是活动目录中最重要,它既要尽可能贴近用户的管理模式和组织结构,也要考虑网络情况及今后的各种变化。我们依据微软活动目录结构的设
7、计原则,用最简单的结构来满足客户的管理需求。在域的管理架构OU组织单位设计上基于公司的管理模式而不是公司的组织结构图。以下是单域结构相对于其他结构的优点: 集中管理整个公司的安全策略。 集中管理整个公司的组策略。 完全利用组织单元反映公司的管理结构。 当公司机构重组时可以非常灵活的进行调整。 当资源和用户需要在组织机构内迁移时可以非常灵活的调整。 相对其它方案,可以使用较少的域控制器。 简单的名字空间设计 只需要1个DNS名字后缀. 用户在查找AD内的信息时相对简单。 单一的组策略更容易实施。单域模型是首选的模型:用户永远不需要在多个域之间移动;不需要跨越多个域的重复组策略设置;整个企业内实施
8、统一的安全规范;任何域控制器都可以处理任何用户处理的身份验证。公司的整个域架构采用单域模式,部署一台AD域服务器,实现对所有用户信息的统一管理和身份的验证。活动目录的建设目标是,更新目前客户使用的活动目录,为全公司的工作人员提供统一的目录服务。使得活动目录可以达到如下的目标:将企业的安全性集成到 Active Directory 中,基于策略的管理模式减轻了最为复杂的企业网络管理。企业IT可管理整个网络中的服务器及客户端访问资源,只有获得授权的网络用户可访问网络上指定的资源。在域内我们可以方便的利用域用户、用户组设置公司文件服务器的访问权限控制,以及控制网络共享文件夹的磁盘配额和文件存储类型。
9、用户组作为域中具有相同权限用户的集合,我们可以简化文件访问权限的设定和管理。为确保只有授权用户可以访问企业文件夹中的数据,我们可以针对文件夹进行权限设置。共享权限仅应用于通过网络访问资源的用户。安全权限应用于本地访问文件夹的权限;两者共同设定取两者最严格的权限。通过共享权限设定如下:共享权限注释所有用户有只读访问权限可以设置将所有访问权限都限制为只读的使用自定义共享和文件夹权限如果您希望对指定用户或组授予或拒绝访问权限,请单击该选项。应指派限制性最强但又允许用户执行必要功能的权限。通过对域用户的有效权限审核,我们可以将客户端及用户数据的信息数据进行统一的管理,提高企业内部网络访问的安全性,实现
10、IT架构有效的集中管理。二、使用Microsoft Exchange Server作为企业邮件系统微软Exchange2003全球市场占有率76%被评为最经济最稳定的企业邮箱,能够和WINDOWS系列操作系统很好融合,特别在安全防卫和邮件传送质量上很不错,其有以下优点:2.1能够实现与AD集成的用户身份验证Microsoft Exchange Server 2003可以实现Active Directory的紧密集成。Microsoft Exchange Server 2003使用Windows Server的Active Directory存储目录信息,并与 Windows Server 共享
11、目录信息,集成用户身份验证。2.2能够做到和现有J2EE平台的整合(消息传递)Microsoft Exchange Server 2003本身提供对HTTP、HTTPS、SMTP、POP3、IMAP、Telnet等标准协议的支持,并且提供丰富的开发工具包帮助软件开发人员通过简单的开发实现Exchange Server 2003和基于各种平台开发的应用系统的集成,其中包括有消息传递这一部分。2.3、直接通过互联网SSL或者通过VPN使用客户端访问公司邮箱远程用户(不在企业网内用户)要与Microsoft Exchange Server 2003邮件服务器之间建立安全连接(包括有SSL和VPN),
12、可采用多种连接方式,如虚拟专用网络(VPN)连接;通过RPC over HTTP连接邮件服务器等。可以对Exchange 2003 部署移动设备Outlook Mobile Access支持,以便为用户提供从各种移动设备访问其 Exchange 信息的能力。默认情况下,安装 Exchange 时,对所有用户启用同步功能和使用 Outlook Mobile Access 进行浏览访问的功能。2.4对于邮件系统的防病毒、防垃圾邮件的解决方案和实施计划Exchange Server 2003 直接为第三方厂商提供了病毒扫描开发接口,可以实现第三方防病毒产品和Exchange的无缝集成,高效保护邮件系
13、统,删除带有病毒的邮件和附件。 很多第三方合作伙伴已经开发了支持Exchange 的病毒防范产品,都提供了为Exchange设计的成熟的安全产品。Exchange Server 2003提供了三种反垃圾邮件筛选器,分别为连接筛选器、寄件人/收件人筛选、智能邮件筛选。此外,Outlook客户端本身也带有强力的垃圾邮件筛选。三、内嵌Microsoft RMS技术增强企业信息安全3.1传统的信息共享过程存在安全隐患在网络化的电子办公环境中,信息的有效传递和共享变得十分重要。信息的使用者经常会通过电子邮件、磁盘共享或文件服务器来共享他们的文档,包括机密的战略计划文档、技术文件、产品研发报告、销售数据分
14、析、财务绩效信息等。然而,计算机网络在为企业的生产、服务和管理带来便利的同时,也带来众多的挑战,其中信息安全问题尤为突出。当工作人员共享这些文档和信息时,很难控制文档和信息的传播范围,也难以跟踪信息的访问记录。这样就可能造成机密信息的不安全访问和 非法利用。而单纯地依靠企业的信息安全政策公示很难实现电子信息的集中安全管理和授权访问。3.2 基于边界的安全技术具有潜在威胁企业通常采用基于边界的安全技术来保护数字文件和信息。例如:使用防火墙技术限制对公司网络的访问,使用随机访问控制列表限制对特定数据的访问等。企业还可能使用加密与验证技术,以保护传输中的电子邮件,防止重要的文档被轻易打开;将制作完成
15、的办公文档通过第三方工具转换为不易被随意分发的文件格式。购买第三方工具,实现对保存的文件实时加密,打开的文件实时解密以保证资料不至流失到企业外部这些方法虽然都可以帮助企业控制对敏感内容的访问,但是仍存在一定的安全隐患。例如,当用户通过验证且内容经过解密之后,就会对该内容的使用或处理不受任何限制,信息将可能被随意篡改,分发,打印,拷贝内容重新生成等。如果依靠用户的自我约束和责任感来实现数字内容的共享与使用,则可能会给企业信息安全带来无法预测的风险,即使是偶然的安全漏洞,也可能带来严重后果。3.3 关于RMSRMS(Right Management Service)是由微软公司为数字信息的整个生命周期提供有效管理的一组服务。它是与应用程序协作保护数字内容的安全技术,专为那些需要保护的敏感文档、电子邮件和Web内容而设计。可以严格控制哪些用户可以打开、读取、复制、打印、修改、重新分发特定内容。3.4步骤解
