中铁重工集活动目录基础架构建设方案书.docx

中铁重工集团IT基础架构建设方案书Version 1.0.02011/08/28Written By Dingchuanhua目录1 项目背景32 项目需求33 方案设计53.1基础架构及管理53.2活动目录概述53.4活动目录结构规划83.5 OU规划93.6组策略设计103.6.1全域安全性策略103.6.2应用在严格管理部门的策略123.7文件系统133.7.1共享文件规划133.7.2文件夹权限分配134产品及服务144.1产品列表144.2规划部署服务144.4站点硬件配置建议145售后服务及技术培训151 项目背景中国铁建重工集团有限公司前身为中铁轨道系统集团，是集高端轨道装备和重型机械装备研究、设计、制造、施工于一体的大型专业化集团，在湖南、四川、河北和甘肃等地建立了多个制造基地，在长沙、北京、上海等地建立了11个研究院，技术中心拥有专业研发人员800余人。目前的IT环境由于没有有效的管理手段和统一的管理系统，维护工作量比较大，没有的实现统一管理和全面的安全机制，导致不能及时对漏洞和病毒做出反应，存在重大的安全隐患。因此，对于中铁重工集团这样一个在飞速发展中的企业来说，IT系统不仅仅是一个技术问题，更重要的是管理和安全的问题，建立一个完整的企业内部认证及管理平台，为以后的应用打好基础，就成为众多工作中最重要最紧迫的事情。通过实施这个完整的系统管理平台，实现：提供一个统一的身份认证系统；提高系统的安全性和稳定性； 提高企业的管理水平； 降低IT部门维护的时间和成本；让员工把更多精力放在工作上，提高工作效率； 2 项目需求如何管理和控制员工对信息资源的使用。使企业信息管理更加规范，让计算机能够更大效率成为企业的生产工具。同时让企业的网络更加安全和稳定，规避风险。最大限度的避免因网络和机器故障使企业无法正常工作、给企业带来不可估量的损失。形势所迫，需要这样一种单一连贯的机制：首先，必须建立安全的身份认证，对用户和客户机进行安全准入管理、权限认证的管理，对不明的电脑和用户进行有效的隔离，不允许没有通过认证的电脑和用户访问院内的网络和信息资源，防止泄密。对企业合法用户的权限也应该有一套有效的管理机制，对用户的权限严格控制。对机密信息只允许必须访问的人访问，它应当以目录的形式出现，并按此模式进行组织。其次，它应当支持通用的查询方法，不管请求任何数据类型，都能进行查询。最后，对于具有相似特征的信息，它应当能以相似的方式对其进行管理。对信息的分组方式和管理方式应当由相关企业来确定，以此作为对企业结构的补充。具体如下：统一的系统基础架构建立安全的身份认证，对用户和客户机进行安全准入管理、权限认证的管理；对企业合法用户建立有一套有效的管理机制，对用户的权限严格控制。分级的管理架构根据企业的架构定制组织单元，并针对不同级别或是不同岗位的用户可以制定不同的管理策略。网络准入控制只有通过身份验证的计算机才能进入网络，对外来的和没有授权的计算机进行有效的隔离；对入网的计算机进行安全评估，达不到安全标准的计算机不允许接入内部网络。例如：没有安装系统补丁，病毒库长期没有升级更新等。对客户端的有效管理能够支持管理员远程协助和控制，以便及时为用户解决疑难问题和故障。控制必须安装的软件、禁止安装软件的运行；检测和控制新增的外部设备、对USB等移动存储设备的接入控制能够对网卡、软驱、光驱、U盘、打印机、Model、串口、并口进行启用或禁用等操作。信息安全审计所有或指定文件的新建、拷贝、删除等操作，审计打印文件和发送电子邮件是否违规，并记录其操作时间；提供对系统重要文件以及配置文件的保护、及时记录系统登陆和操作日志，以备查询。系统安全性总部集中管理病毒软件和操作系统补丁升级，并可通过控制台监控具体情况；整个域环境中服务器的安全：防病毒、防攻击、防侵入；能够自动分发系统补丁、并可报告软件安装或操作系统升级的状态。3 方案设计3.1基础架构及管理通过微软的活动目录,可以很好的满足身份认证和权限管理的需求；3.2活动目录概述 活动目录为我们提供了一个安全的边界，它为我们企业的用户、设备、提供了统一的身份认证，只有合法被许可的用户和设备才能与我企业的网络和资源进行通讯、共享企业资源。活动目录的这些功能使组织机构可以将标准化的商业规则贯彻于分布式应用和网络资源当中，同时，无需管理员来维护各种不同的专用目录。活动目录主要提供以下功能：基础网络服务、服务器及客户端计算机管理、用户服务、资源管理、桌面配置、应用系统支撑。基础网络服务活动目录可以根据客户实际需求集成基础的网络服务，如下列表中：序号基础网络服务选项备注１DNS服务活动目录必须依存该服务2DHCP服务动态分配客户端IP3WINS服务为NetBIOS名字提供名字注册、更新、释放和转换服务4证书服务提供证书