摘要:为了在浙江省能源集团有限公司(以下简称“浙能集团”)范围内,建立统一的IT“实体”(用户帐号、计算机、网络资源)管理中心,提高IT管理的效率,降低维护成本,建立基于活动目录的安全管理中心,统一管理策略,提供信息系统的整体安全性。浙江省能源集团有限公司建立统一规划的目录服务平台,平台采用Windows 2008 R2系统的Active Directory架构作为目录服务的基础架构。
关键词:活动目录 基础架构 身份验证
中图分类号:TN915文献标识码:A文章编号:1007-9416(2011)11-0042-02
1、引言
随着信息技术的发展,统一身份验证体系的建设与服务在企业生产、科技活动中起着重要的作用。浙江省能源集团有限公司计划在本部与各下属单位之间建立一套统一的基础架构系统,通过制定相关规则,建立企业级的统一安全策略、用户账号、计算机和网络资源,以适应当前企业信息化的发展。
微软活动目录基础架构是Windows操作系统的核心组件,它为用户管理网络环境各个组成要素的标识和关系提供了一种有力的手段。活动目录存储了有关网络对象的信息,并且让管理员和用户能够轻松地查找和使用这些信息。活动目录使用了一种结构化的数据存储方式,并以此作为基础对目录信息进行合乎逻辑的分层组织。
2、系统概述
2.1 功能概述
活动目录主要提供以下功能:
(1)基础网络服务:包括DNS域名解析、DHCP网络地址分配、证书服务等。
(2)服务器及客户端计算机管理:管理服务器及客户端计算机账户,所有服务器及客户端计算机加入域管理并通过实施不同的组策略,达到对不同分组服务器和客户端的管理。
(3)用户服务:管理用户域账户、用户信息、企业通讯录(与电子邮件系统Exchange集成)、用户组管理、用户身份认证、用户权限管理以及用户软件控制策略等。
(4)资源管理和共享服务:管理网络打印机、文件共享服务等网络资源,对不同的用户,进行差别化的权限分配。
(5)计算机策略配置:系统管理员可以集中的配置各种计算机策略配置,如:界面功能的限制、应用程序执行特征限制、网络连接限制、安全配置限制等。
(6)应用系统基础平台:支持补丁管理、企业门户、电子邮件、财务、人事、办公自动化、防病毒系统等各种应用系统。
2.2 技术概述
活动目录基础架构基于微软公司的Windows 2008 R2系统,Microsoft Active Directory 服务是Windows 平台的核心组件。Active Directory存储了有关网络对象的信息(包括用户账户、计算机和网络资源等),并且让管理员和用户能够轻松地查找和使用这些信息。Active Directory使用了一种结构化的数据存储方式,并以此作为基础对目录信息进行合乎逻辑的分层组织。
物理结构:采用单林单域多OU的形式,集团的两台服务器作为主域控,实现多点容错和性能优化,制定活动目录复制策略和操作主控,其他各个电厂以站点的形式和集团主域连接,实现统一管理。
逻辑结构:集团本部统一作为单域,按各个电厂行成OU。安装和配置DNS服务以支持活动目录,配置活动目录对象的访问控制,做委派授权,实现对用户权限的控制和统一化的管理。
3、部署方案
3.1 网络拓扑结构
浙能集团互联网络包括城域网、广域网及VPN网,采用星型结构组网(各下属企业局域网不互通),城域网采用100M速率的裸光纤互联,连接在杭子公司,广域网采用2*2M速率的浙江电力通信SDH专线、10M速率的中国电信MPLS-VPN线路互联,实现双链路负载冗余,连接非在杭下属企业,VPN网采用IPSEC加密方式,通过中国电信Internet网、中国网通Internet网连接筹建单位。浙能集团各单位内部采用10/100/1000M以太网技术组网。
3.2 部署方式
根据项目要求,硬件平台统一采用HP或者IBM高性能服务器,软件平台统一采用Windows 2008 R2 企业版平台。50人以上的子公司,每个公司放置两台域控制器,一台作为主域控服务器,另一台作为备域控服务器。50人以下的子公司,每个公司放置一台域控制器。但考虑到容错,建议都放2台域控制器。主域控和备域控服务器均配置为可读写域控制器,其中集团本部和下属各单位的主域控服务器又作为全局编录服务器(GC)。
首先将Windows 2008 R2企业版操作系统完全安装,修改域控服务器的DNS,指向自己和另一台域控。然后安装Active Directory域服务运用提升工具Dcpromo进行服务器的提升,在提升过程中同时安装域集成的DNS服务。重启服务器之后,安装组策略服务等。
在域控中,创建站点、组织单位,批量导入需要创建的用户账户、用户属性、计算机账户等信息,同时针对不同的人员和不同的管理性质进行权限分配,可分为Administrators(管理员组)、Domain Admins(指定的域管理员)、OU管理员、Server Operators(域服务管理员组)、GPOCreators(GPO创建组)、Event Log Readers(本地事件读取组)、Domian users(普通域帐户)等。对于集团本部及下属各单位的所有计算机要求全部加入浙能集团域。
活动目录基础架构通过已建立的管理平台,从基础阶段向合理化阶段和动态化阶段过渡,通过微软其它产品的部署(如SCCM 2007和SCOM 2007)使之能够从人为的管理到自动监测、自动管理阶段。
3.3 系统详细设计
网络端口设计:
(1)操作主机角色设计:将所有操作主机角色全部放置集团的两台域控制器上,其中主域控制器放置架构主机、域命名主机、RID主机和PDC仿真主机,备域控制器放置结构主机角色。
(2)站点设计:站点与子网相关,所以要求集团和各子公司的子网是全路由的。站点间复制时各子公司域控制器都与集团的主域控制器(也是桥头堡)通过IP协议进行复制,提高复制效率。
(3)林功能设计:如果所有域控制器都为Windows 2008 R2系统,则提升为Windows 2008林功能。
(4)域功能设计:所有域控制器都为Windows 2008 R2,则提升为Windows 2008 R2域功能。浙能集团使用zhenergy.com.cn作为整个集团的域名。
(5)组织单位设计:集团和子公司信息放在不同的组织单位中,部门允许重名。集团和各子公司都可以看见如上信息,但各自OU的管理员只能操作自己公司的信息。对于敏感的部门可以只允许部分人员才能看到和操作。在建立组织单位时,选择防止意外删除,以防止组织单位被管理员意外删除。
(6)组设计:一般通过组来授权,所以需要经常维护组成员关系,可以开发脚本自动创建组,组名与组织单位一样,组成员是该组织单位下所有用户,这样既管理了组织架构,又管理了授权。使用中文命名,要求能够充分反映用户组的分组依据或者用途,易于记忆管理每一个部门/分公司建立一用户组, 以维护部门/分公司内部的文件权限分配。
(7)站点间复制控制设计:出于对集团局域网内部安全考虑和活动目录中的各台DC之间的内容复制,在一般的设计环境下是互进行复制的,而且只要是其中一台发生改变,那么根据活动目录中保存的拓扑结构,将进行同步。也就是说当这个网络拓扑过于庞大的时候,各DC之间的复制会出现混乱,会出现刚删除某个对象,一段时间后该对象自己恢复了。所以浙能集团的站点间复制不仅仅是一个简单的星型拓扑结构,在各站点间设计了下面子公司之间的相互复制。
(8)桌面安全管理角色设计:安全小组:由集团指定人员担任,负责安全管理的整体规划和技术实现。安全管理员:由集团和子公司相关人员担任,负责总体安全策略的具体实施。
(9)桌面规范设计:安装指定的正版操作系统和应用软件,必须加入域接受域安全管理,及时安装补丁和防病毒软件,不得删除集团指定的防病毒软件,硬盘或移动设备送修时需彻底删除相关资料。
(10)桌面管理审核设计:从新员工入职,网络准入,桌面机加域,包括员工在使用中问题支持,均应通过IT支持平台走流程,并根据常见问题进行优化改进。安全小组每月或每季度对子公司进行安全巡检,抽查是否符合安全规范,从而提升整个集团的安全规范管理。
(11)组策略设计:组策略设计主要包括以下七个方面:
第一、IE安全配置:针对域用户的IE浏览器进行安全设置,提高域中用户的安全性,主要包括URL设置、IE安全区域、IE中的ActiveX设置、IE收藏夹和链接。URL设置是针对不同公司,设定重要的URL,锁定用户IE主页策略。IE安全区域是设置较高的安全级别,限制用户访问某些网站,限制用户下载、视频浏览等。IE中的ActiveX是只下载已签名的ActiveX控件,防止互联网环境中的病毒控件未经过允许直接安装到本地计算机上。
IE收藏夹和链接是将公司及其相关的重要的URL链接以收藏夹的形式添加到各个客户端上,方便用户查找和使用公司资源。
第二、用户网络配置:为了方便OU管理员进行管理,防止用户私自删除网络配置,对用户网络配置进行限制。用户网络配置主要包括禁用TCP/IP高级配置、删除所有用户的远程访问连接、禁止删除远程访问连接和禁止用户手动重定向配置文件夹。
第三、用户控制面板配置:针对某些经常维护的IT设备,进行强制性的组策略控制。防止删除打印机、添加删除程序、删除开始菜单和任务栏和禁止访问控制面板。防止删除打印机是防止用户意外删除打印机。添加删除程序是隐藏从Microsoft添加程序选项、隐藏从CDROM或软盘安装程序,防止误操作安装出现蓝屏等。删除开始菜单和任务栏是删除帮助,删除网络,删除网络连接,删除文档,删除音乐,删除游戏等。禁止访问控制面板是禁止用户对控制面板进行访问,防止意外操作。
第四、计算机用户配置:包括阻止访问注册表编辑工具、阻止访问命令提示符、可移动磁盘禁止写入或读取权限、从休眠/挂起恢复时提示输入密码、统一使用相同的桌面壁纸、关闭自动播放和驱动程序搜索。
第五、软件安装,在域控制器上统一下发软件,简化管理员操作,简化IT管理流程。
第六、计算机安全配置:包括密码长度最小值、密码最短使用期限、系统服务设置、匿名枚举、禁用来宾账户、设置可匿名访问的共享、定义防火墙的入站或出站规则、对可信任站点自动安装ActiveX控件等。
第七、系统控制脚本编写包括系统状态监控、客户端状态收集、用脚本自动分发打印机、自动提升域用户到本地最高权限组、Outlook自动配置脚本等。
4、安全管理
针对活动目录的安全性问题,在浙能集团活动目录基础架构的部署中,采用了以下措施进行安全管理。
(1)全局编录是一个信息仓库,它是活动目录中所有对象的子集,为了活动目录数据的安全行,项目部署时,为每个站点建立全局编录服务器。
(2)对域控服务器、一般服务器和客户端采取了限制登陆用户的方式,通过对服务器和客户端登陆组的控制,保证服务器和客户端的安全。
(3)对活动目录目录访问权限进行控制,对于Administrators组中的账户给予完全控制,其余账号只赋予读取、写入或者修改权限。
(4)SYSVOL是域中每台域控制器上文件系统中的文件夹和重分析点的集合。所以为了安全起见对SYSVOL文件夹进行重定向和修改文件夹的存储位置。
(5)控制用户账户的并发登陆,只允许Administrators组中的用户并发登陆,减少账号被盗用和病毒利用账号漏洞的几率。
(6)通过组策略,对一些蠕虫病毒进行清除,确保局域网安全。
5、结语
活动目录基础架构的部署,统一了浙能集团内部信息系统的身份管理、策略管理和安全管理,提高了浙能集团信息系统的管理效率,对整个局域网的安全性有了很大的增强作用,推动了IT管理从基础阶段向标准化阶段、合理化阶段和动态阶段迈进。同时为优化IT基础架构,进一步推进企业信息化建设打下坚实基础。在今后浙能集团活动目录基础架构的应用中,将着力开发依托活动目录基础架构平台的各种应用系统,注重组策略对于局域网病毒的研究,是应用真正朝着动态化发展。