1管理策略研究
为满足大型企业多级互联域系统安全运行管理的需要,提高大型企业多级互联域系统的安全性、可控性、可管理性、可靠性和可用性,建设坚强、安全的多级互联域系统,本文采用了“分级管理,权限委派;分布部署,集中维护”的管理思想来构建多级互联域系统增强管理体系。在多级互联域系统增强管理体系中,为提高多级互联域系统管理的效率和安全性,将不同的域管理任务分配给不同的人员,为不同的人员分配不同的域操作权限。同时,将多级互联域系统的管理活动细分为域系统管理和域应用管理两大类,其中系统维护管理包括域系统维护、域运行监控、域备份与恢复,域应用管理包括域日常管理、组策略管理、域变更审计,并部署不同的管理软件来增强多级互联域系统的可管理性。
(1)分级管理,权限委派
根据大型企业多级互联域系统的运维方式和管理需求,可将大型企业AD域系统运维管理分解为两大类任务:AD域系统管理和AD域应用管理。其中,AD域系统管理主要是AD域系统及AD域增强管理系统的系统维护管理工作,而AD域应用管理则包括了AD域日常使用管理、AD域组策略管理、AD域系统变更审计等工作。①AD域系统管理
AD域系统维护:包括域控服务器增加删除、域控服务器迁移、域系统配置更改、域故障分析处理等方面的工作,该工作通常是由系统维护人员、厂家技术支持人员来完成。
AD域系统运行监控:包括对AD域系统的运行状态进行监控,对AD域系统的关键运行指标进行监控等方面的工作,该工作通常是由系统管理员、系统监控人员完成。
AD域系统备份恢复:包括AD域的备份、AD域系统或对象恢复等工作,该工作通常是由系统管理员、系统备份人员完成。②AD域应用管理
AD域日常使用管理:包括用户账号管理、计算机账号管理、组管理、组织单元管理、联系人管理等工作,该工作很多时候会委派给非专业IT人员完成,例如IT客服人员、部门(或基层单位)兼职信息员等。
AD域组策略管理:包括组策略的创建、编辑、审核、应用等工作,该工作一般是由组策略管理员、安全管理员、桌面终端维护人员进行的。
AD域系统变更审计:包括对域系统变更审计、域系统使用审计等工作,该工作一般是由安全管理员或安全审计员进行的。由于AD域的管理工作量很大,AD域的管理工作通常会委派给不同的人员完成,例如AD域系统管理工作通常是由专业IT人员完成,例如系统监控人员、系统维护人员、厂家技术支持人员等。而在AD域应用管理工作中,AD域日常使用管理工作由子域相关单位信息中心技术员、IT客服人员、基层单位信息员等人员通过AD域日常管理系统完成;组策略管理工作由子域相关单位信息中心安全管理员或组策略管理员通过组策略管理系统完成;AD域系统变更审计工作由子域相关单位信息中心安全审计员通过AD域变更审计系统完成。通过分级管理,权限委派,可以最大化地发挥多级互联域系统的作用,并降低域系统管理员的工作量。
(2)分布部署,集中维护
目前,大型企业级互联域系统的域控服务器主要是WindowsServer2003,各下属单位的域控服务器都是部署于本单位IDC网络,并由本单位自行管理维护。为提高域系统的安全性、可控性和可用性,最好的方法是采用集中运行、集中维护方式,即所有域控服务器都部署在总公司IDC,由总公司信息中心集中进行维护,但由于受网络带宽限制,该方法具有较大的局限性。为此,可采用分布部署,集中维护的方式,即各下属单位的域控服务器部署位置不变,仍放置于本单位IDC网络,但AD域系统基础运维工作则统一由总公司集中完成,各下属单位则完成AD域日常使用管理、AD域组策略管理、AD域系统变更审计方面的工作。这样,既提高了AD域系统的安全性、可控性和可靠性,又不影响AD域系统的性能和可用性。在以上运行模式中,位于总公司的系统管理员、厂家技术支持人员可通过远程桌面连接、KVM连接、服务器虚拟化平台客户端连接等方式对位于各局IDC网络的域控服务器进行管理维护。而下属单位人员则可通过AD域增强管理软件,无需连接登录域控服务器,就可完成AD域日常使用管理、AD域组策略管理、AD域系统变更审计方面的工作。
2增强管理体系实现研究
(1)AD域增强管理系统
AD域系统功能强大,但自身管理功能较弱,特别是在多级互联运行模式下,AD域系统的分级管理、组策略管理、操作审计、报告报表、备份恢复等功能方面存在较大欠缺,无法满足大型企业多级互联AD域系统安全运行管理的需要。因此,为实现“分级管理,权限委派”的目标,需要使用一系列的AD域增强管理软件来增强大型企业多级互联域系统的管理功能,包括:
AD域运行监控系统:系统可以提供图形化视图,通过SNMP协议、WMI协议或安装在域控上的程序获取各域控系统的运行状态,使系统监控人员可对整个多级互联域的运行状态进行监控,例如域的复制关系和状态、域的信任关系和状态、域控角色操作主机的运行状态、域控关键服务的运行状态、域控服务器关键性能指标、域数据库完整性、域可用性等,并在出现异常时产生告警。
AD域备份恢复系统:系统可集中对所有域控服务器进行自动备份,在制定好备份策略后,AD域备份恢复系统可自动对AD域进行备份,管理员可以使用备份数据进行域控裸机系统恢复、域应用全恢复或域对象恢复。
AD域日常管理系统:系统可提供简单易用的图形化操作界面(浏览器或GUI),为非IT专业的操作员提供诸如用户账号管理、计算机账号管理、组管理、组织单元管理、联系人管理等AD域日常管理工作,从而可使得系统管理员可将大量繁琐的AD域日常管理工作委派给不同的人员完成。
组策略管理系统:组策略管理系统扩展了组策略管理控制台(GPMC)的功能,为组策略对象(GPO)提供了全面的更改控制和改进的管理方法。组策略管理系统可以将组策略的副本存储在组策略管理系统中集中管理,提供完善的组策略管理功能,例如组策略的编辑、对比、审核、批准、应用、回退、备份、恢复等。
AD域变更审计系统:AD变更审计系统通过AD相关协议连接到域控服务器上收集AD域的相关变更数据,帮助审计和跟踪AD域中的所有变更,详细记录变更历史。审计诸如创建、删除和编辑用户、计算机、组和域策略等活动目录变更,并生成便于普通用户理解的报表。
(2)管理架构与方式
基于“分级管理,权限委派;分布部署,集中维护”的思想,将不同工作任务委派给不同的人员、通过不同的系统和方式完成。系统管理结构图如图1所示。①AD域系统管理在本架构中,大型企业多级互联AD域系统管理工作由总公司完成,并集中对域林中所有的域控服务器(包括根域和子域)和AD域增强管理系统进行管理和维护。AD域系统管理工作主要包括域控服务器增加删除、域控服务器迁移、域系统配置更改、域运行监控、域备份恢复、域故障分析处理、域增强管理系统运维管理等方面,该工作通常是由系统监控和维护人员完成。在AD域系统管理工作中,系统监控人员通过AD域监控系统对整个域林中的所有域控服务器的运行进行集中监控;系统维护人员通过AD域备份恢复系统对整个域林中的所有域控服务器进行备份;系统维护人员及厂家技术支持人员通过远程桌面连接、KVM连接、服务器虚拟化平台客户端连接等方式对域控服务器进行管理维护操作。②AD域应用管理在本架构中,大型企业多级互联AD域应用管理工作由子域相关单位人员完成。AD域应用管理则包括了AD域日常使用管理、AD域组策略管理、AD域系统变更审计等工作。在AD域应用管理工作中,AD域日常使用管理工作由子域相关单位信息中心技术员、IT客服人员、基层单位信息管理员等人员通过AD域日常管理系统完成;组策略管理工作由子域相关单位信息中心安全管理员或组策略管理员通过组策略管理系统完成;AD域系统变更审计工作由子域相关单位信息中心安全审计员通过AD域变更审计系统完成。AD域应用管理的所有操作是通过相应管理系统软件完成的,管理人员无需直接访问和登录域控服务器。
(3)系统部署方式
由于大型企业多级互联域系统的用户遍及各下属单位,若采用大集中的方式将所有子域域控服务器集中部署在总公司,则用户的域访问数据可能会影响到大型企业广域网的性能,以及在网络繁忙时AD域用户的访问速度会很低。为此,可采用“分布部署,集中维护”的设计思想,将跨广域网的各子域服务器部署在子域所在网络中,以提升AD域用户的访问速度,避免域访问数据对大型企业广域网性能造成影响。同样,对于AD域增强管理系统,可将用户访问数据量较小的系统集中部署在总公司,而将访问数据量比较大的系统分布部署在子域所在网络,但由总公司进行集中维护。其中,AD域集中监控系统、AD域日常管理系统和组策略管理系统可采用集中部署、集中维护方式,而AD域备份恢复系统和AD域变更审计系统则由于系统和域控间交互数据量很大,可采用分布部署、集中维护方式。
(4)系统权限分配
在上述运维管理工作中,除系统管理员在进行系统管理维护时需要具有域管理员权限及域增强管理系统管理员权限外,其他管理人员在域中只需分配给其普通用户权限即可,其所需的域管理及操作权限在相应的域增强管理系统上进行分配,例如:在AD域运行监控系统中给系统监控人员分配监控相关操作的权限。在AD域备份恢复系统中给系统备份人员分配制定备份任务和查看备份任务完成情况的权限。在AD域日常管理系统中给操作员分配用户管理、计算机管理、组管理、OU管理等方面的权限。在组策略管理系统中给安全管理员或组策略管理员分配组策略创建、编辑、审核、应用等方面的权限。在AD域变更审计系统中给安全审计员分配查询变更操作,生成审计报告等方面的权限。
3增强管理体系实现研究
在实践中,我们根据前述研究为企业设计了一个多级互联域系统增强管理体系,采用了几款AD域增强管理产品来实现多级互联域系统增强管理体系中的不同功能,并在小范围(包括根域和四个子域)内进行了试点应用,取得了良好的应用效果。
4结语
采用“分级管理,权限委派;分布部署,集中维护”的管理思想来构建多级互联域系统增强管理体系,并部署不同的域管理软件来实现多级互联域系统增强管理体系的不同功能,是提高大型企业多级互联域系统的安全性、可控性、可管理性和可用性的一种有效方式。
作者:吴石松 刘晔 黄鸣川 单位:广东电网公司信息中心 广州粤能信息技术有限公司
