微软IT系统管理解决方案

微软IT系统综合管理解决方案终端管理终端部署终端用户管理终端的内容管理远程维护平台管理性能监控故障报告等安全管理安全架构终端准入上网行为等内容提要终端管理平台的功能整体系统管理终端管理资产管理•自动实现对目前系统中软件、硬件资产的统计管理；•可以从项目出发，以人员为中心，统计各类工作人员所使用的软件清单；系统镜像管理•系统自动部署•根据项目的人员组成，提交所需设备和系统镜像清单；•将上述工作用机和镜像服务器、网络设备“直接打包”；（原则上，计算机设备可以做到和项目团队同步出发）•在工作现场“解包”并进行无人值守安装；（每台计算机平均用时为25~30分钟）远程支持•远程系统重新安装、用户数据迁移；•远程协助，…；系统还原•项目结束后，通过镜像服务器进行系统初始化；包括：磁盘格式化、系统安装为初始状态；项目主管财务人员勘测人员设计人员文员…专用服务器SAPWin2003数据处理软件CADWin2003PC服务器ProjectMgmt台式机Excel,WordWinXPWord,PPTWinXP笔记本电脑Excel,Word,PPT,…WinXP专用测绘、勘测软件WinXP终端部署（BDD）一个基础镜像就可以满足不同硬件和配置的客户端的安装极大的减少IT需要维护的硬盘镜像数量驱动程序自动安装应用程序的自动化安装按照用户角色安装不同的应用按照用户位置安装不同的应用按照使用的硬件安装不同的硬件相关应用（比如刻录软件）按照特定的计算机内已有的应用安装不同的应用用户从内部门户站点，根据业务流程，请求安装应用程序……通过高效的、统一的方法，部署多样的客户端。免接触式的自动安装和高度自动化的用户信息迁移一个配置就适用企业内的所有用户支持跨国企业在全球范围内，大规模部署。灵活部署的优势通过自定义可以满足绝大多数企业需求。资产管理•包括收集•软件清单、硬件清单、统计分析等功能。•对终端的软件、补丁、硬件、外设等进行集中统一的管理，从而在配置上保证与业务要求一致。•自动定期收集软硬件清单。•自动分级汇总•提供报表功能补丁管理灵活的用户端行为配置分发模式用户抉择强制安装模式网络安装本地安装执行模式静默安装用户交互生效模式强制重启用户自行决定终端用户管理—活动目录（AD）终端用户的认证--和Windows结合登录windows后，即登录AD，不存在二次登录二次登录难以实现真正意义上的终端管理终端策略覆盖了Windows所有可管理的范围不需要安装客户端定义组织架构，提供了按照组织架构管理终端的方式安全、管理的基础全球企业绝大多数都是采用AD终端管理策略采用组策略进行终端管理，主要的管理内容:管理模板：用来管理注册表的设置安全设置：定义本地计算机、域和网络的安全性设置软件安装：可以为用户指定和发布软件启动脚本：计算机启动时进行必要的检查网络浏览器的定制和维护文件夹重定向在微软提供的功能基础上进行扩展。站点域OUWindows一致应用用户计算机管理员一次设置组策略组策略终端内容安全—RMS结合Office自身功能实现保护企业的重要电子文档不被转发、复制、打印和传阅可以保护终端、服务器及流程中的文档保护文档关键内容在收发文过程中不被修改文档的授权访问按时间按用户文档权限的回收除了右图这种方式不能防范之外…平台监控监控范围和内容基础操作系统：一般性监控性能监控可靠性监控存储监控应用监控–AD：•活动目录健康状况监控•活动目录性能•复制性能–SMS：•补丁管理服务可用性•补丁管理服务发现和运行状态•补丁管理服务性能•健康状况•补丁管理服务器数据库运行状况–Windows、SQL、…共计190多种管理包，…报表基于web的管理报表定期发布事件和性能管理企业级事件收集基于规则的事件过滤和整合主动地报警或者自动响应动作应用监控应用健康模型规则库内置的专家知识库企业级的解决方案中央控制台全冗余架构功能扩展性MOFMOM（MicrosoftOperationManager）功能自动性脚本任务Windows集成诊断工具安全管理全面的安全和访问管理简单、相互集成的全面安全解决方案，提供更强的保护和更安全访问•TerminalServices•ScalableNetworkingPack•Server&DomainIsolation•NetworkAccessProtection•SecureWirelessWindowsNetworkingSolutionsNetworkEdgeServerApplicationsClientAndServerOS微软安全整体解决方案OfficeCommunicationServerSharePointServerExchangemailboxserverExchangeIMCserverSMTPServerE-mailIMandDocuments内容安全保护Exchange服务器远离病毒/垃圾邮件保护SharePoint服务器远离病毒保护LiveCommunication服务器远离病毒保护客户端计算机远离病毒边界安全互联网访问保护，阻挡应用层的攻击应用服务器的安全发布分支机构安全网关方便的远程访问ForefrontForefrontIAGISAUserUserVPNInternetExternalWebServerForefrontForefrontForefrontForefrontForefrontForefrontForefrontForefront上网行为控制—ISA基于用户级控制Server端的控制，不存在客户端欺骗的问题ISAServer数据包标头和应用内容都要检查应用层内容IP数据头Checksum源地址、目标地址、TTL、校验和TCP数据头Checksum顺序号、源端口、目标端口、校验和根据内容决定转发只处理合法的及经允许的通信Internet期望的HTTP通信不期望的HTTP通信Attacks非HTTP通信企业网络终端准入—LANQuarantine实现终端入网健康检查支持VPN，局域网、无线网可以与AD结合可以方便自定义策略支持802.1x，不需要增添任何软件与下一版操作系统“Longhorn”兼容。GuidanceDeveloperToolsSystemsManagementIdentityManagementInformationProtectionServicesServerApplicationsClientandServerOSEdge完整的安全架构微软的应用平台一览•远程沟通工具•远程诊断工具•远程网络诊断•远程文件传输•远程启动工具终端远程支持•异地终端问题•问题无法描述清楚•网络问题•文件损坏•修复后需要重启•缩短对终端系统故障的响应时间和修复时间•提高终端用户的办公效率•提高用户的满意度•降低了IT人员的维护工作量