中国联通域管理系统介绍.pptx

1、江西联通联通域管理系统介绍江西联通联通域管理系统介绍匡石磊匡石磊江西联通信息化部江西联通信息化部2011 2011 年年0303月月ComplianceComplianceSinglesign-onSinglesign-on(SSO)/(SSO)/FederationFederationStrongStrongauthorizationauthorizationPrivacyPrivacy AccessAccessmanagementmanagementIdentityIdentitylifecyclelifecycleNetworkNetworkoperatingsystemoperatin

2、gsystem(NOS)directory(NOS)directoryInternetInternetdirectorydirectoryAuthenticationAuthenticationWindowsWindowsmanagementmanagementMeta-Meta-directorydirectoryIT 角色的变更 降低整体拥有成本降低整体拥有成本(TCO)(TCO)2000 合规合规 安全和隐私安全和隐私 运维效率运维效率 业务上线业务上线IDA20082008身份管理需要管理太多的账户、设备和对象简单的密码安全的访问应用系统和网络Help Desk成本不断上涨服务器和终端

3、管理终端标准化配置和管理服务器及终端与恶意软件进行斗争持续保持最新的系统状态IT 所遇见的挑战议程中国联通域管理系统架构简介中国联通域管理系统架构简介中国联通中国联通DNSDNS系统架构简介系统架构简介中国联通域安全策略简介中国联通域安全策略简介Active Directory Active Directory 是什么，能为是什么，能为IT IT带来哪些好处？带来哪些好处？Active Directory Active Directory 加固系统安全加固系统安全Active Directory Active Directory 功能及特性功能及特性域管理系统运维工作域管理系统运维工作域管理系

4、统命名规范域管理系统命名规范Active Directory系统介绍系统介绍联通域管理系统联通域管理系统架构介绍架构介绍联通域管理系统联通域管理系统运维介绍运维介绍什么是 Active Directory?身份验证和安全访问管理的基础 Account InformationAccount Information PrivilegesPrivileges ProfilesProfiles PoliciesPolicies Single Sign-OnSingle Sign-OnWindows Users Network ResourcesNetwork Resources File Shares

5、File Shares PrintersPrinters PoliciesPoliciesWindows Servers ConfigurationConfiguration SecuritySecurity QuarantineQuarantine PoliciesPoliciesWindows Clients DirectoriesDirectories DatabasesDatabases MainframesMainframes UNIXUNIXOther Systems Product InformationProduct Information PrivilegesPrivileg

6、es ProfilesProfiles PoliciesPolicies Automated deploymentAutomated deploymentMicrosoft Products ConfigurationConfiguration Quality of ServiceQuality of Service Security PoliciesSecurity Policies Single Sign-OnSingle Sign-OnNetwork Devices ConfigurationConfiguration Security PolicySecurity Policy VPN

7、&Remote AccessVPN&Remote Access QuarantineQuarantine Single Sign-OnSingle Sign-OnFirewall Services Single Sign-OnSingle Sign-On Automated deploymentAutomated deployment ConfigurationConfiguration App-specific directory dataApp-specific directory data3rd Party Applications Operational EfficiencyOpera

8、tional Efficiency Improved SecurityImproved Security Improved ProductivityImproved Productivity InteroperabilityInteroperabilityActive Directory终端安全终端安全 DesktoplockdownDesktoplockdown EncryptedfilesystemEncryptedfilesystem Auto-certificateenrollmentAuto-certificateenrollment更简单的管理更简单的管理 GroupPolicyG

9、roupPolicy WindowsupdateservicesWindowsupdateservices SystemCenterConfigurationManagerSystemCenterConfigurationManager SystemCenterOperationsManagerSystemCenterOperationsManager安全网络访问安全网络访问 Wirelessaccess(PEAP/802.1x)Wirelessaccess(PEAP/802.1x)Remoteaccess(VPN)Remoteaccess(VPN)VPNquarantineservicesV

10、PNquarantineservices Serveranddomainisolation(IPSEC)Serveranddomainisolation(IPSEC)保护信息安全保护信息安全 RightsmanagementservicesRightsmanagementservices OfficeintegrationOfficeintegration ExtensibleExtensibleStrong CredentialsStrong Credentials CertificateservicesCertificateservices Multi-factorauthenticati

11、onMulti-factorauthentication Smartcards,biometricsSmartcards,biometrics EncryptingfilesystemEncryptingfilesystem用户和系统管理用户和系统管理 DirectoryservicesDirectoryservices SecuritygroupandDLmanagementSecuritygroupandDLmanagement AutomationandintegrationwithMIISAutomationandintegrationwithMIIS多系统协作的基础多系统协作的基础

12、MicrosoftMicrosoftExchangeServerExchangeServer MicrosoftMicrosoftWindowsWindowsSharePointSharePoint ServicesServices MicrosoftMicrosoftOfficeLiveCommunicationsOfficeLiveCommunicationsServerServer系统集成系统集成 IntegratedauthenticationIntegratedauthentication IntegratedmanagementIntegratedmanagement Applic

13、ationsandmoreApplicationsandmore集成架构服务集成架构服务 DNS,DFS,FRSDNS,DFS,FRS ADSserverdeploymentsADSserverdeployments RISclientdeploymentsRISclientdeploymentsActive Directory高效优质的安全管理基础1.简化身份管理应用系统的单点登录轻松管理用户、服务器和网络资源为其他产品提供标准的互操作性接口2.平均IT的运维工作量轻松进行任务委派可定制化的管理界面，放心使用针对角色、团队或个人进行任务分派配3.自动执行运维工作集中进行软件部署和管理强化数据

14、访问选择性的对终端进行设置提高 IT 运维效率效率提高 30%*-根据根据根据根据 56 56 个个个个ADAD实际案例研究表明，实际案例研究表明，实际案例研究表明，实际案例研究表明，ITIT效率平均提高效率平均提高效率平均提高效率平均提高 31%31%或或或或$91,476$91,476AD 是一个多用途的目录系统作为 NOS 基础目录应用系统所使用的目录为网络设备提供 支持整合 域&服务器没有用户数量上限增强了 AD 的可扩展性=减少硬件投资域的数量精简提高 IT 运维效率通过系统整合，减少目录数量VPNVPNFirewallFirewallLOBLOBApplicationApplica

15、tionB2B/B2C InternetB2B/B2C InternetApplicationApplicationActiveActiveDirectoryDirectoryNT DomainsNT DomainsLDAPLDAPDirectoriesDirectoriesMainframe/Mainframe/UNIXUNIX使用AD的组策略:统一管理服务器、终端、用户的配置自动执行 IT 所定的策略自动的系统更新和应用程序安装贯穿于整个企业的安全配置实施终端标准化提高 IT 运维效率大量用户和计算机的集中管理Active Active DirectoryDirectory IT Staf

16、f IT StaffGroup PolicyGroup PolicyMany UsersMany UsersMany DesktopsMany Desktops&Servers&Servers安全模板可以确保整个企业范围内的信息安全防止最终用户通过本地终端对企业安全策略进行修改软件限制策略可精确控制软件运行对服务器、终端的活动进行审计在组策略内拥有数以百计的策略进行调控增强系统安全性 自动对 Windows Systems 进行锁定细化的密码控制策略密码历史,最小/最大密码长度,密码复杂性定义账户锁定策略账户锁定阀值,账户锁定时间,账户复位时间多种身份验证方式智能卡,生物识别,其他的安全标识通

17、过 Kerberos&LDAP 对非Windows系统进行安全验证增强系统安全性增强的密码及账户身份验证使用 AD 进行单点登录（SSO）通过组策略控制拨号&VPN 访问客户端通过任意方式连接均被策略控制一旦客户端连接,网络访问控制组件能:隔离，检查客户端健康状况健康的客户端将被允许访问网络健康检查为通过的客户端将被隔离被隔离的客户端可以通过访问相关资源，以修复问题远程访问用户需通过增强的验证增强系统安全性轻松管理网络资源访问OnlineOnlineMeetingsMeetingsDocumentsDocumentsContactsContactsTasksTasksTeamTeamCalen

18、darCalendarDiscussionsDiscussionsMembersMembers通过 AD 开启“智能连接”将用户与团队的思想火花相连使用即时通讯工具进行实时讨论用户自助服务寻找和联系相关专家多产品的信息同步单点登录（SSO）提高生产力提高员工生产力多系统协作，提高效率&Active Directory&Active DirectoryRootRootUsersUsersMachinesMachinesApplicationsApplicationsMarketingMarketingPersonnelPersonnelDevicesDevicesGive Personnel M

19、embers the Give Personnel Members the HR ApplicationHR ApplicationColor Printer in Color Printer in Building 6Building 6Delegate Management Tasks Delegate Management Tasks to Office Adminsto Office Admins轻松用户和资源管理用户账户和组织结构管理服务器和设备管理RootRootUsersUsersMachinesMachinesApplicationsApplicationsMarketingM

20、arketingExtranetExtranetDevicesDevicesRestrict Access Rights of Restrict Access Rights of Extranet UsersExtranet UsersKerberosKerberosX.509X.509Smart CardSmart CardPKI CertificatesPKI Certificates支持多种安全协议保证安全的前提下提供便捷的访问基于Internet技术议程中国联通域管理系统架构简介中国联通域管理系统架构简介中国联通中国联通DNSDNS系统架构简介系统架构简介中国联通域安全策略简介中国联通

21、域安全策略简介Active Directory Active Directory 是什么，能为是什么，能为IT IT带来哪些好处？带来哪些好处？Active Directory Active Directory 加固系统安全加固系统安全Active Directory Active Directory 功能及特性功能及特性域管理系统运维工作域管理系统运维工作域管理系统命名规范域管理系统命名规范Active Directory系统介绍系统介绍联通域管理系统联通域管理系统架构介绍架构介绍联通域管理系统联通域管理系统运维介绍运维介绍终端管理平台集团设立终端管理平台，整体收集和管理各终端管理平台集团及

22、全国各省均设立终端管理平台，负责本省终端的管理。网络架构省分局域网拓扑架构设计一个森林：统一管理多个子域：相对独立的管理边界域设计森林根域位于集团，管理整个域的架构。各省域作为子域和根域之间建立双向可传递的信任关系。各省子域管理本省账户和计算机。域管理系统-总体架构本站点内数据实时复制站点与站点间的数据，在压缩后定时进行复制集团 Default站点作为中心站点域管理系统-站点复制DNS是域名系统(Domain Name System)的缩写一种组织成域层次结构的计算机和网络服务命名系统DNS与活动目录集成定位DC、GC动态更新DNS系统设计如果缓存中记录存在，直接从缓存中提取记录回应客户端如果

23、DNS服务器上的区域中存在记录，从区域提取记录回应客户端如果DNS服务器从缓存和区域中都不能回答请求，它会根据配置请求其他DNS服务器DNS查询顺序UnicomUnicomGDComputer“.”“.”DNSNamespaceSH使用SRV记录定位DC无须知道目标的FQDN，就可以找到服务器并获得其IP通过DNS如何定位DCDNSServerClientDomainController例：_ldap._tcp.contoso.msft 600 IN SRV 0 100 389 london.contoso.msft网络边缘设置公网DNS设立企业根DNS服务器集团、省份活动目录服务器兼做DNS

24、服务器DNS层次结构设计时间同步PDCEmulatorPDCEmulatorClientComputerRunningWindowsNT4.0AndEarlierClientComputerRunningWindowsXPDomainControllerPointstoPointstotimeservertimeserver域推荐策略域策略包括系统策略、终端策略、用户策略、桌面配置策略、安全权限策略等建议各子域采用，但可以根据各省的现实情况进行一定修正的策略由省内管理单位自行决定配置内容域策略推荐配置账户策略密码策略密码策略配置配置密码必须符合复杂性要求已禁用密码长度最小值0个字符密码最短使用

25、期限0天密码最长使用期限0强制密码历史0个记住的密码用可还原的加密来存储密码已禁用账户锁定策略账户锁定策略配置配置复位账户锁定计数器没有定义账户锁定时间没有定义账户锁定阀值0次无效登陆Kerberos策略策略配置配置服务票证最长寿命600分钟计算机时钟同步的最大容差5分钟强制用户登陆限制已启用用户票证续订最长寿命7天用户票证最长寿命10个小时审核策略审核策略配置配置审核策略更改成功,失败审核登录事件成功,失败审核对象访问成功,失败审核过程追踪无审核目录服务访问失败审核特权使用失败审核系统事件成功,失败审核账户登录事件成功,失败审核账户管理成功,失败审核策略用户权限分配用户权限分配配置配置备份文

26、件和目录本地管理员、备份操作员更改时区本地管理员组、备份操作员组和高级用户组更改系统时间本地管理员组、备份操作员组和高级用户组关闭系统本地管理员组、备份操作员组和高级用户组管理审核机制与安全日志没有定义还原文件与目录本地管理员、备份操作员拒绝从网络访问这台计算机匿名登录帐号、Guests组、Guest帐号拒绝作为服务登录Guests组、Guest帐号拒绝作为批处理作业登录Guests组、Guest帐号调试程序管理员组通过终端服务拒绝登录Guests组、Guest帐号通过终端服务允许登录本地管理员组和远程桌面用户组允许在本地登录本地管理员组、备份操作员组和高级用户组用户权利分配策略安全选项安全选

27、项配置配置帐号:Guest帐号状态禁用帐号：限制本地帐号只能在控制台登录过程中使用空白密码启用设备：允许格式化与弹出可移动媒体本地管理员组、高级用户组设备：未经签署的驱动程序安装操作警告但允许安装域控制器：允许服务器操作员进行任务调度禁用域控制器：对来自安全通道的数据进行数字加密（在可能情况下）启用域控制器：对来自安全通道的数据进行数字签署（在可能情况下）启用域成员：最大计算机帐号密码存留期30天域成员：需要增强型（Windows2000或更高版本）会话密钥启用交互式登录：不显示最后一个用户名启用交互式登录：无需使用CTRL+ALT+DEL禁用Microsoft网络服务器：对通信过程进行数字签

28、署（始终）启用网络访问：不允许进行匿名SAM帐号与共享资源枚举操作启用网络访问：允许针对匿名用户应用Everyone权限禁用网络访问：针对本地帐号的共享与安全模式经典本地用户以自身形式进行身份验证关机：允许系统在尚未登录情况下关闭禁用系统安全策略终端计算机屏幕锁定禁止自动播放IE定制内部信任站点添加策略禁止远程协助推荐策略议程中国联通域管理系统架构简介中国联通域管理系统架构简介中国联通中国联通DNSDNS系统架构简介系统架构简介中国联通域安全策略简介中国联通域安全策略简介Active Directory Active Directory 是什么，能为是什么，能为IT IT带来哪些好处？带来哪些好处？Active Directory Active Directory 加固系统安全加固系统安全Active Directory Active Directory 功能及特性功能及特性域管理系统运维工作域管理系统运维工作域管理系统命名规范域管理系统命名规范Active Directory系统介绍系统介绍联通域管理系统联通域管理系统架构介绍架构介绍联通域管理系统联通域管理系统运维介绍运维介绍Q&A