中铁重工集团活动目录基础架构建设方案书

长沙艺瑞信息科技有限公司地址：长沙市人民中路538号百脑汇大厦B座1112室电话：0731-84155991传真：0731-82283595第1页共16页中铁重工集团IT基础架构建设方案书Version1.0.02011/08/28WrittenByDingchuanhua长沙艺瑞信息科技有限公司地址：长沙市人民中路538号百脑汇大厦B座1112室电话：0731-84155991传真：0731-82283595第2页共16页目录1项目背景...........................................................................................................................................32项目需求...........................................................................................................................................33方案设计...........................................................................................................................................53.1基础架构及管理....................................................................................................................53.2活动目录概述........................................................................................................................53.4活动目录结构规划................................................................................................................83.5OU规划.................................................................................................................................93.6组策略设计..........................................................................................................................103.6.1全域安全性策略......................................................................................................103.6.2应用在严格管理部门的策略.................................................................................123.7文件系统..............................................................................................................................133.7.1共享文件规划..........................................................................................................133.7.2文件夹权限分配......................................................................................................134产品及服务......................................................................................................................................144.1产品列表..............................................................................................................................144.2规划部署服务......................................................................................................................144.4站点硬件配置建议..............................................................................................................145售后服务及技术培训......................................................................................................................15长沙艺瑞信息科技有限公司地址：长沙市人民中路538号百脑汇大厦B座1112室电话：0731-84155991传真：0731-82283595第3页共16页1项目背景中国铁建重工集团有限公司前身为中铁轨道系统集团，是集高端轨道装备和重型机械装备研究、设计、制造、施工于一体的大型专业化集团，在湖南、四川、河北和甘肃等地建立了多个制造基地，在长沙、北京、上海等地建立了11个研究院，技术中心拥有专业研发人员800余人。目前的IT环境由于没有有效的管理手段和统一的管理系统，维护工作量比较大，没有的实现统一管理和全面的安全机制，导致不能及时对漏洞和病毒做出反应，存在重大的安全隐患。因此，对于中铁重工集团这样一个在飞速发展中的企业来说，IT系统不仅仅是一个技术问题，更重要的是管理和安全的问题，建立一个完整的企业内部认证及管理平台，为以后的应用打好基础，就成为众多工作中最重要最紧迫的事情。通过实施这个完整的系统管理平台，实现：提供一个统一的身份认证系统；提高系统的安全性和稳定性；提高企业的管理水平；降低IT部门维护的时间和成本；让员工把更多精力放在工作上，提高工作效率；2项目需求如何管理和控制员工对信息资源的使用。使企业信息管理更加规范，让计算机能够更大效率成为企业的生产工具。同时让企业的网络更加安全和稳定，规避风险。最大限度的避免因网络和机器故障使企业无法正常工作、给企业带来不可估量的损失。形势所迫，需要这样一种单一连贯的机制：首先，必须建立安全的身份认证，对用户和长沙艺瑞信息科技有限公司地址：长沙市人民中路538号百脑汇大厦B座1112室电话：0731-84155991传真：0731-82283595第4页共16页客户机进行安全准入管理、权限认证的管理，对不明的电脑和用户进行有效的隔离，不允许没有通过认证的电脑和用户访问院内的网络和信息资源，防止泄密。对企业合法用户的权限也应该有一套有效的管理机制，对用户的权限严格控制。对机密信息只允许必须访问的人访问，它应当以目录的形式出现，并按此模式进行组织。其次，它应当支持通用的查询方法，不管请求任何数据类型，都能进行查询。最后，对于具有相似特征的信息，它应当能以相似的方式对其进行管理。对信息的分组方式和管理方式应当由相关企业来确定，以此作为对企业结构的补充。具体如下：统一的系统基础架构建立安全的身份认证，对用户和客户机进行安全准入管理、权限认证的管理；对企业合法用户建立有一套有效的管理机制，对用户的权限严格控制。分级的管理架构根据企业的架构定制组织单元，并针对不同级别或是不同岗位的用户可以制定不同的管理策略。网络准入控制只有通过身份验证的计算机才能进入网络，对外来的和没有授权的计算机进行有效的隔离；对入网的计算机进行安全评估，达不到安全标准的计算机不允许接入内部网络。例如：没有安装系统补丁，病毒库长期没有升级更新等。对客户端的有效管理能够支持管理员远程协助和控制，以便及时为用户解决疑难问题和故障。控制必须安装的软件、禁止安装软件的运行；长沙艺瑞信息科技有限公司地址：长沙市人民中路538号百脑汇大厦B座1112室电话：0731-84155991传真：0731-82283595第5页共16页检测和控制新增的外部设备、对USB等移动存储设备的接入控制能够对网卡、软驱、光驱、U盘、打印机、Model、串口、并口进行启用或禁用等操作。信息安全审计所有或指定文件的新建、拷贝、删除等操作，审计打印文件和发送电子邮件是否违规，并记录其操作时间；提供对系统重要文件以及配置文件的保护、及时记录系统登陆和操作日志，以备查询。系统安全性总部集中管理病毒软件和操作系统补丁升级，并可通过控制台监控具体情况；整个域环境中服务器的安全：防病毒、防攻击、防侵入；能够自动分发系统补丁、并可报告软件安装或操作系统升级的状态。3方案设计3.1基础架构及管理通过微软的活动目录,可以很好的满足身份认证和权限管理的需求；3.2活动目录概述活动目录为我们提供了一个安全的边界，它为我们企业的用户、设备、提供了统一的身份认证，只有合法被许可的用户和设备才能与我企业的网络和资源进行通讯、共享企业资源。活动目录的这些功能使组织机构可以将标准化的商业规则贯彻于分布式应用和网络资源当中，同时，无需管理员来维护各种不同的专用目录。长沙艺瑞信息科技有限公司地址：长沙市人民中路538号百脑汇大厦B座1112室电话：0731-84155991传真：0731-82283595第6页共16页活动目录主要提供以下功能：基础网络服务、服务器及客户端计算机管理、用户服务、资源管理、桌面配置、应用系统支撑。基础网络服务活动目录可以根据客户实际需求集成基础的网络服务，如下列表中：序号基础网络服务选项备注１DNS服务活动目录必须依存该服务2DHCP服务动态分配客户端IP3WINS服务为NetBIOS名字提供名字注册、更新、释放和转换服务4证书服务提供证书申请及注册服务服务器及客户端计算机管理活动目录可根据客户实际需求对所有域中的计算机统一管理，如下列表中：序号计算机管理功能选项备注1普通用户禁用注册表、组策略防止用户、病毒对计算机操作系统损坏长沙艺瑞信息科技有限公司地址：长沙市人民中路538号百脑汇大厦B座1112室电话：0731-84155991传真：0731-82283595第7页共16页2禁止用户安装软件统一管理企业员工软件的使用3禁止USB使用可以有效阻止内网病毒传播和资料保密用户服务活动目录可根据客户需求对企业用户服务管理，如下列表中：序号用户服务选项备注1用户域账户实现企业用户账号统一管理和身份认证2用户组管理建立企业部门和科室OU组，可针对各部门做策略设置3用户授权管理对相关用户授予管理权限，及各部门访问权限制定资源管理活动目录可集中对企业软硬件资源管理，如下列表中：序号资源管理选项备注1硬件资源管理发布域共享打印机等2