1管理策略研究
為滿足大型企業多級互聯域系統安全運行管理的需要,提高大型企業多級互聯域系統的安全性、可控性、可管理性、可靠性和可用性,建設堅強、安全的多級互聯域系統,本文采用了“分級管理,權限委派;分布部署,集中維護”的管理思想來構建多級互聯域系統增強管理體系。在多級互聯域系統增強管理體系中,為提高多級互聯域系統管理的效率和安全性,將不同的域管理任務分配給不同的人員,為不同的人員分配不同的域操作權限。同時,將多級互聯域系統的管理活動細分為域系統管理和域應用管理兩大類,其中系統維護管理包括域系統維護、域運行監控、域備份與恢復,域應用管理包括域日常管理、組策略管理、域變更審計,并部署不同的管理軟件來增強多級互聯域系統的可管理性。
(1)分級管理,權限委派
根據大型企業多級互聯域系統的運維方式和管理需求,可將大型企業AD域系統運維管理分解為兩大類任務:AD域系統管理和AD域應用管理。其中,AD域系統管理主要是AD域系統及AD域增強管理系統的系統維護管理工作,而AD域應用管理則包括了AD域日常使用管理、AD域組策略管理、AD域系統變更審計等工作。①AD域系統管理
AD域系統維護:包括域控服務器增加刪除、域控服務器遷移、域系統配置更改、域故障分析處理等方面的工作,該工作通常是由系統維護人員、廠家技術支持人員來完成。
AD域系統運行監控:包括對AD域系統的運行狀態進行監控,對AD域系統的關鍵運行指標進行監控等方面的工作,該工作通常是由系統管理員、系統監控人員完成。
AD域系統備份恢復:包括AD域的備份、AD域系統或對象恢復等工作,該工作通常是由系統管理員、系統備份人員完成。②AD域應用管理
AD域日常使用管理:包括用戶賬號管理、計算機賬號管理、組管理、組織單元管理、聯系人管理等工作,該工作很多時候會委派給非專業IT人員完成,例如IT客服人員、部門(或基層單位)兼職信息員等。
AD域組策略管理:包括組策略的創建、編輯、審核、應用等工作,該工作一般是由組策略管理員、安全管理員、桌面終端維護人員進行的。
AD域系統變更審計:包括對域系統變更審計、域系統使用審計等工作,該工作一般是由安全管理員或安全審計員進行的。由于AD域的管理工作量很大,AD域的管理工作通常會委派給不同的人員完成,例如AD域系統管理工作通常是由專業IT人員完成,例如系統監控人員、系統維護人員、廠家技術支持人員等。而在AD域應用管理工作中,AD域日常使用管理工作由子域相關單位信息中心技術員、IT客服人員、基層單位信息員等人員通過AD域日常管理系統完成;組策略管理工作由子域相關單位信息中心安全管理員或組策略管理員通過組策略管理系統完成;AD域系統變更審計工作由子域相關單位信息中心安全審計員通過AD域變更審計系統完成。通過分級管理,權限委派,可以最大化地發揮多級互聯域系統的作用,并降低域系統管理員的工作量。
(2)分布部署,集中維護
目前,大型企業級互聯域系統的域控服務器主要是WindowsServer2003,各下屬單位的域控服務器都是部署于本單位IDC網絡,并由本單位自行管理維護。為提高域系統的安全性、可控性和可用性,最好的方法是采用集中運行、集中維護方式,即所有域控服務器都部署在總公司IDC,由總公司信息中心集中進行維護,但由于受網絡帶寬限制,該方法具有較大的局限性。為此,可采用分布部署,集中維護的方式,即各下屬單位的域控服務器部署位置不變,仍放置于本單位IDC網絡,但AD域系統基礎運維工作則統一由總公司集中完成,各下屬單位則完成AD域日常使用管理、AD域組策略管理、AD域系統變更審計方面的工作。這樣,既提高了AD域系統的安全性、可控性和可靠性,又不影響AD域系統的性能和可用性。在以上運行模式中,位于總公司的系統管理員、廠家技術支持人員可通過遠程桌面連接、KVM連接、服務器虛擬化平臺客戶端連接等方式對位于各局IDC網絡的域控服務器進行管理維護。而下屬單位人員則可通過AD域增強管理軟件,無需連接登錄域控服務器,就可完成AD域日常使用管理、AD域組策略管理、AD域系統變更審計方面的工作。
2增強管理體系實現研究
(1)AD域增強管理系統
AD域系統功能強大,但自身管理功能較弱,特別是在多級互聯運行模式下,AD域系統的分級管理、組策略管理、操作審計、報告報表、備份恢復等功能方面存在較大欠缺,無法滿足大型企業多級互聯AD域系統安全運行管理的需要。因此,為實現“分級管理,權限委派”的目標,需要使用一系列的AD域增強管理軟件來增強大型企業多級互聯域系統的管理功能,包括:
AD域運行監控系統:系統可以提供圖形化視圖,通過SNMP協議、WMI協議或安裝在域控上的代理程序獲取各域控系統的運行狀態,使系統監控人員可對整個多級互聯域的運行狀態進行監控,例如域的復制關系和狀態、域的信任關系和狀態、域控角色操作主機的運行狀態、域控關鍵服務的運行狀態、域控服務器關鍵性能指標、域數據庫完整性、域可用性等,并在出現異常時產生告警。
AD域備份恢復系統:系統可集中對所有域控服務器進行自動備份,在制定好備份策略后,AD域備份恢復系統可自動對AD域進行備份,管理員可以使用備份數據進行域控裸機系統恢復、域應用全恢復或域對象恢復。
AD域日常管理系統:系統可提供簡單易用的圖形化操作界面(瀏覽器或GUI),為非IT專業的操作員提供諸如用戶賬號管理、計算機賬號管理、組管理、組織單元管理、聯系人管理等AD域日常管理工作,從而可使得系統管理員可將大量繁瑣的AD域日常管理工作委派給不同的人員完成。
組策略管理系統:組策略管理系統擴展了組策略管理控制臺(GPMC)的功能,為組策略對象(GPO)提供了全面的更改控制和改進的管理方法。組策略管理系統可以將組策略的副本存儲在組策略管理系統中集中管理,提供完善的組策略管理功能,例如組策略的編輯、對比、審核、批準、應用、回退、備份、恢復等。
AD域變更審計系統:AD變更審計系統通過AD相關協議連接到域控服務器上收集AD域的相關變更數據,幫助審計和跟蹤AD域中的所有變更,詳細記錄變更歷史。審計諸如創建、刪除和編輯用戶、計算機、組和域策略等活動目錄變更,并生成便于普通用戶理解的報表。
(2)管理架構與方式
基于“分級管理,權限委派;分布部署,集中維護”的思想,將不同工作任務委派給不同的人員、通過不同的系統和方式完成。系統管理結構圖如圖1所示。①AD域系統管理在本架構中,大型企業多級互聯AD域系統管理工作由總公司完成,并集中對域林中所有的域控服務器(包括根域和子域)和AD域增強管理系統進行管理和維護。AD域系統管理工作主要包括域控服務器增加刪除、域控服務器遷移、域系統配置更改、域運行監控、域備份恢復、域故障分析處理、域增強管理系統運維管理等方面,該工作通常是由系統監控和維護人員完成。在AD域系統管理工作中,系統監控人員通過AD域監控系統對整個域林中的所有域控服務器的運行進行集中監控;系統維護人員通過AD域備份恢復系統對整個域林中的所有域控服務器進行備份;系統維護人員及廠家技術支持人員通過遠程桌面連接、KVM連接、服務器虛擬化平臺客戶端連接等方式對域控服務器進行管理維護操作。②AD域應用管理在本架構中,大型企業多級互聯AD域應用管理工作由子域相關單位人員完成。AD域應用管理則包括了AD域日常使用管理、AD域組策略管理、AD域系統變更審計等工作。在AD域應用管理工作中,AD域日常使用管理工作由子域相關單位信息中心技術員、IT客服人員、基層單位信息管理員等人員通過AD域日常管理系統完成;組策略管理工作由子域相關單位信息中心安全管理員或組策略管理員通過組策略管理系統完成;AD域系統變更審計工作由子域相關單位信息中心安全審計員通過AD域變更審計系統完成。AD域應用管理的所有操作是通過相應管理系統軟件完成的,管理人員無需直接訪問和登錄域控服務器。
(3)系統部署方式
由于大型企業多級互聯域系統的用戶遍及各下屬單位,若采用大集中的方式將所有子域域控服務器集中部署在總公司,則用戶的域訪問數據可能會影響到大型企業廣域網的性能,以及在網絡繁忙時AD域用戶的訪問速度會很低。為此,可采用“分布部署,集中維護”的設計思想,將跨廣域網的各子域服務器部署在子域所在網絡中,以提升AD域用戶的訪問速度,避免域訪問數據對大型企業廣域網性能造成影響。同樣,對于AD域增強管理系統,可將用戶訪問數據量較小的系統集中部署在總公司,而將訪問數據量比較大的系統分布部署在子域所在網絡,但由總公司進行集中維護。其中,AD域集中監控系統、AD域日常管理系統和組策略管理系統可采用集中部署、集中維護方式,而AD域備份恢復系統和AD域變更審計系統則由于系統和域控間交互數據量很大,可采用分布部署、集中維護方式。
(4)系統權限分配
在上述運維管理工作中,除系統管理員在進行系統管理維護時需要具有域管理員權限及域增強管理系統管理員權限外,其他管理人員在域中只需分配給其普通用戶權限即可,其所需的域管理及操作權限在相應的域增強管理系統上進行分配,例如:在AD域運行監控系統中給系統監控人員分配監控相關操作的權限。在AD域備份恢復系統中給系統備份人員分配制定備份任務和查看備份任務完成情況的權限。在AD域日常管理系統中給操作員分配用戶管理、計算機管理、組管理、OU管理等方面的權限。在組策略管理系統中給安全管理員或組策略管理員分配組策略創建、編輯、審核、應用等方面的權限。在AD域變更審計系統中給安全審計員分配查詢變更操作,生成審計報告等方面的權限。
3增強管理體系實現研究
在實踐中,我們根據前述研究為企業設計了一個多級互聯域系統增強管理體系,采用了幾款AD域增強管理產品來實現多級互聯域系統增強管理體系中的不同功能,并在小范圍(包括根域和四個子域)內進行了試點應用,取得了良好的應用效果。
4結語
采用“分級管理,權限委派;分布部署,集中維護”的管理思想來構建多級互聯域系統增強管理體系,并部署不同的域管理軟件來實現多級互聯域系統增強管理體系的不同功能,是提高大型企業多級互聯域系統的安全性、可控性、可管理性和可用性的一種有效方式。
作者:吳石松 劉曄 黃鳴川 單位:廣東電網公司信息中心 廣州粵能信息技術有限公司