中国联通域管理系统介绍1

江西联通联通域管理系统介绍匡石磊江西联通信息化部2011年03月ComplianceSinglesign-on(SSO)/FederationStrongauthorizationPrivacyAccessmanagementIdentitylifecycleNetworkoperatingsystem(NOS)directoryInternetdirectoryAuthenticationWindowsmanagementMeta-directoryIT角色的变更•降低整体拥有成本(TCO)2000•合规•安全和隐私•运维效率•业务上线IDA2008身份管理–需要管理太多的账户、设备和对象–简单的密码–安全的访问应用系统和网络–HelpDesk成本不断上涨服务器和终端管理–终端标准化–配置和管理服务器及终端–与恶意软件进行斗争–持续保持最新的系统状态IT所遇见的挑战议程中国联通域管理系统架构简介中国联通DNS系统架构简介中国联通域安全策略简介ActiveDirectory是什么，能为IT带来哪些好处？ActiveDirectory加固系统安全ActiveDirectory功能及特性域管理系统运维工作域管理系统命名规范ActiveDirectory系统介绍联通域管理系统架构介绍联通域管理系统运维介绍什么是ActiveDirectory?身份验证和安全访问管理的基础•AccountInformation•Privileges•Profiles•Policies•SingleSign-OnWindowsUsers•NetworkResources•FileShares•Printers•PoliciesWindowsServers•Configuration•Security•Quarantine•PoliciesWindowsClients•Directories•Databases•Mainframes•UNIXOtherSystems•ProductInformation•Privileges•Profiles•Policies•AutomateddeploymentMicrosoftProducts•Configuration•QualityofService•SecurityPolicies•SingleSign-OnNetworkDevices•Configuration•SecurityPolicy•VPN&RemoteAccess•Quarantine•SingleSign-OnFirewallServices•SingleSign-On•Automateddeployment•Configuration•App-specificdirectorydata3rdPartyApplications•OperationalEfficiency•ImprovedSecurity•ImprovedProductivity•InteroperabilityActiveDirectory终端安全•Desktoplockdown•Encryptedfilesystem•Auto-certificateenrollment更简单的管理•GroupPolicy•Windowsupdateservices•SystemCenterConfigurationManager•SystemCenterOperationsManager安全网络访问•Wirelessaccess(PEAP/802.1x)•Remoteaccess(VPN)•VPNquarantineservices•Serveranddomainisolation(IPSEC)保护信息安全•Rightsmanagementservices•Officeintegration•ExtensibleStrongCredentials•Certificateservices•Multi-factorauthentication•Smartcards,biometrics…•Encryptingfilesystem用户和系统管理•Directoryservices•SecuritygroupandDLmanagement•AutomationandintegrationwithMIIS多系统协作的基础•Microsoft®ExchangeServer•Microsoft®Windows®SharePoint®Services•Microsoft®OfficeLiveCommunicationsServer系统集成•Integratedauthentication•Integratedmanagement•Applicationsandmore集成架构服务•DNS,DFS,FRS•ADS–serverdeployments•RIS–clientdeploymentsActiveDirectory高效优质的安全管理基础1.简化身份管理–应用系统的单点登录–轻松管理用户、服务器和网络资源–为其他产品提供标准的互操作性接口2.平均IT的运维工作量–轻松进行任务委派–可定制化的管理界面，放心使用–针对角色、团队或个人进行任务分派配3.自动执行运维工作–集中进行软件部署和管理–强化数据访问–选择性的对终端进行设置提高IT运维效率效率提高30%**-根据56个AD实际案例研究表明，IT效率平均提高31%或$91,476•AD是一个多用途的目录系统–作为NOS基础目录–应用系统所使用的目录–为网络设备提供支持•整合域&服务器–没有用户数量上限–增强了AD的可扩展性=减少硬件投资–域的数量精简提高IT运维效率通过系统整合，减少目录数量VPNFirewallLOBApplicationB2B/B2CInternetApplicationActiveDirectoryNTDomainsLDAPDirectoriesMainframe/UNIX使用AD的组策略:•统一管理服务器、终端、用户的配置•自动执行IT所定的策略•自动的系统更新和应用程序安装•贯穿于整个企业的安全配置•实施终端标准化提高IT运维效率大量用户和计算机的集中管理ActiveDirectoryITStaffGroupPolicyManyUsersManyDesktops&Servers•安全模板可以确保整个企业范围内的信息安全•防止最终用户通过本地终端对企业安全策略进行修改•软件限制策略可精确控制软件运行•对服务器、终端的活动进行审计•在组策略内拥有数以百计的策略进行调控增强系统安全性自动对WindowsSystems进行锁定•细化的密码控制策略–密码历史,最小/最大密码长度,密码复杂性•定义账户锁定策略–账户锁定阀值,账户锁定时间,账户复位时间•多种身份验证方式–智能卡,生物识别,其他的安全标识•通过Kerberos&LDAP对非Windows系统进行安全验证增强系统安全性增强的密码及账户身份验证•使用AD进行单点登录（SSO）•通过组策略控制拨号&VPN访问•客户端通过任意方式连接均被策略控制•一旦客户端连接,网络访问控制组件能:–隔离，检查客户端健康状况–健康的客户端将被允许访问网络–健康检查为通过的客户端将被隔离–被隔离的客户端可以通过访问相关资源，以修复问题•远程访问用户需通过增强的验证增强系统安全性轻松管理网络资源访问OnlineMeetingsDocumentsContactsTasksTeamCalendarDiscussions…Members•通过AD开启“智能连接”•将用户与团队的思想火花相连–使用即时通讯工具进行实时讨论–用户自助服务–寻找和联系相关专家–多产品的信息同步•单点登录（SSO）提高生产力提高员工生产力多系统协作，提高效率&ActiveDirectoryRootUsersMachinesApplicationsMarketingPersonnelDevicesGive‘Personnel’MemberstheHRApplicationColorPrinterinBuilding6DelegateManagementTaskstoOfficeAdmins轻松用户和资源管理•用户账户和组织结构管理•服务器和设备管理RootUsersMachinesApplicationsMarketingExtranetDevicesRestrictAccessRightsofExtranetUsersKerberosX.509SmartCardPKICertificates支持多种安全协议•保证安全的前提下提供便捷的访问•基于Internet技术议程中国联通域管理系统架构简介中国联通DNS系统架构简介中国联通域安全策略简介ActiveDirectory是什么，能为IT带来哪些好处？ActiveDirectory加固系统安全ActiveDirectory功能及特性域管理系统运维工作域管理系统命名规范ActiveDirectory系统介绍联通域管理系统架构介绍联通域管理系统运维介绍•终端管理平台–集团设立终端管理平台，整体收集和管理各终端管理平台–集团及全国各省均设立终端管理平台，负责本省终端的管理。网络架构省分局域网拓扑省份局域网DCN补丁系统服务器域系统服务器补丁数据库服务器监控服务器(兼做接口服务器)•架构设计–一个森林：统一管理–多个子域：相对独立的管理边界•域设计–森林根域位于集团，管理整个域的架构。–各省域作为子域和根域之间建立双向可传递的信任关系。–各省子域管理本省账户和计算机。域管理系统-总体架构•本站点内数据实时复制•站点与站点间的数据，在压缩后定时进行复制•集团Default站点作为中心站点域管理系统-站点复制•DNS是域名系统(DomainNameSystem)的缩写–一种组织成域层次结构的计算机和网络服务命名系统•DNS与活动目录集成–定位DC、GC–动态更新DNS系统设计•如果缓存中记录存在，直接从缓存中提取记录回应客户端•如果DNS服务器上的区域中存在记录，从区域提取记录回应客户端•如果DNS服务器从缓存和区域中都不能回答请求，它会根据配置请求其他DNS服务器DNS查询顺序UnicomGDComputer“.”DNSNamespaceSH•使用SRV记录定位DC•无须知道目标的FQDN，就可以找到服务器并获得其IP通过DNS如何定位DCDNSServerClientDomainController例：_ldap._tcp.contoso.msft600INSRV0100389london.contoso.msft•网络边缘设置公网DNS•设立企业根DNS服务器•集团、省份活动目录服务器兼做DNS服务器DNS层次结构设计时间同步PDCEmulatorPDCEmulatorClientComputerRunningWindowsNT4.0AndEarlierClientComputerRunningWindowsXPDomainControllerPointstotimeserver•域推荐策略–域策略包括系统策略、终端策略、用户策略、桌面配置策略、安全权限策略等建议各子域采用，但可以根据各省的现实情况进行一定修正的策略–由省内管理单位自行决定配置内容域策略推荐配置账户策略密码策略配置密码必须符合复杂性要求已禁用密码长度最小值0个字符密码最短使用期限0天密码最长使用期限0强制密码历史0个记住的密码用可还原的加密来存储密码已禁用账户锁定策略配置复位账户锁定计数器没有定义账户锁定时间没有定义账户锁定阀值0次无效登陆Kerberos策略配置服务票证最长寿命600分钟计算机时钟同步的最大容差5分钟强制用户登陆限制已启用用户票证续订最长寿命7天用户票证最长寿命10个小时审核策略配置审核策略更改成功,失败审核登录事件成功,失败审核对象访问成功,失败审核过程追踪无审核目录服务访问失败审核特权使用失败审核系统事件成功,失败审核账户登录事件成功,失败审核账户管理成功,失败