中国网通集团DCN安全项目终端部分分公司培训会亿阳信通股份有限公司议程安排项目总体介绍项目功能介绍终端实施前提条件终端实施操作步骤终端实施流程与安排终端实施问题与建议技术支持&投诉管理项目工作小组成员任务要求网络架构DCN(上海/广州)DCN(北京)集团公司终端集团终端管理平台集团局域网南方大区终端管理点南方省分局域网南方省分终端省分终端管理平台北方省分局域网省分公司终端DCN(大)地市终端管理点(大)地市局域网地市公司终端地市局域网地市公司终端地市局域网地市公司终端南方省分局域网南方省分终端南方省分局域网南方省分终端终端管理平台•集团设立终端管理平台,整体收集和管理各终端管理平台•南方21省终端分别归集到广州、西安、杭州、上海、成都等5个大区•北方十省设立终端管理平台,北方省在大的地市设立终端管理点,负责本地市和附近地市终端的管理。什么是活动目录?ActiveDirectory,AD活动目录是Windows2000Server提供的重要服务•管理中心:网络元素(用户,应用,设备等)•安全中心:–身份认证–授权中心–桌面管理和控制•开放的平台:应用的开发,与其他系统集成实施AD带来的收益实体管理的平台•用户身份管理:–每个员工访问办工网时出示唯一的一个ID标识–管理任务:开户,销户,禁用账号–安全的认证方式:Kerberos;事实上的业届标准•集中的计算机桌面管理:–Windows2000桌面版:通过组策略•集中的安全控制中心:通过组策略对于W2KServer,W2KPro实施AD带来的收益辅助其它网络应用的分布式实现•AD集成的DNS•AD集成的DFS(分布式文件系统)•打印服务的定位:搜索打印机的位置•MSMQ•Exchange2000•CAService功能介绍-域管理域管理系统主要实现以下功能:基础网络服务:包括DNS、WINS、DHCP、证书服务等。终端管理:管理终端帐户,对所有加入域管理的终端实施组策略。用户服务:管理用户域帐户、用户信息、用户组管理、用户身份认证、用户授权管理等,按省实施组管理策略。桌面配置管理:系统管理员可以集中的配置各种桌面配置策略,如:界面功能的限制、应用程序执行特征限制、网络连接限制、安全配置限制等。应用系统支撑:支持财务、人事、电子邮件、企业信息门户、办公自动化、补丁管理、防病毒系统等各种应用系统。域管理-现状集团域(cnc.intra)•兼做根域•保留现有各个站点:集团、亦庄办公区、成都、广州、杭州、上海、西安•对相应的站点进行设备更新和扩容CNC.INTRA森林根集团站点亦庄站点上海站点广州站点…站点域管理-总体架构架构设计•一个森林:统一管理•多个子域:相对独立的管理边界域设计•现有CNC.INTRA域将作为森林根域,管理集团公司和南方公司的对象信息。•北方10省域作为子域和CNC.INTRA域之间建立双向可传递的信任关系CNC.INTRA森林根BJ.CNC.INTRA北京域SD.CNC.INTRA山东域HE.CNC.INTRA河北域HL.CNC.INTRA黑龙江域集团南方亦庄站点站点站点站点站点站点站点站点补丁管理-架构设计中心管理站点北方省分管理一级站点1北方省分管管理一级站点10……集团管理一级站点地市管理二级站点1地市管理二级站点n……南方省管理二级站点1南方省管理二级站点10……设计原则•集中统一•分层管理•扩展灵活•有效利用资源三层体系架构设计•中心管理站点•集团管理主站点–南方省设立二级站点•北方省分管理主站点–部分北方地市设立二级站点功能介绍-补丁管理•安全补丁漏洞扫描•补丁分发和安装•计算机软硬件资产信息收集•远程支持•报表定制和生成•软件分发•管理中心数据库•补丁下载服务器•终端管理基站•补丁包分发站•终端位置定位站•报表制作中心•补丁管理终端代理SMSSiteDatabase位置定位点分发站站点服务器客户端访问点管理基站报表制作中心实现功能组件及作用补丁管理-技术特点降低带宽消耗•软件包就近下载•采用“扇出”技术进行软件包分发•软件包压缩传输•支持断点续传安全保证•终端接入认证•软件包下载前进行有效身份认证•软件包数据签名•终端和管理点之间的通询信息加密和签名补丁管理-用户体验灵活的用户端行为配置•分发模式–用户抉择–强制•安装模式–网络安装–本地安装•执行模式–静默安装–用户交互•生效模式–强制重启–用户自行决定平台监控—监控范围和内容监控范围和内容•基础操作系统:–一般性监控–性能监控–可靠性监控–存储监控•域控制服务器:–活动目录健康状况监控–活动目录性能–复制性能DNS服务:服务运行状态DNS性能健康状况补丁管理服务器:补丁管理服务可用性补丁管理服务发现和运行状态,包括服务器端和客户端补丁管理服务性能健康状况补丁管理服务器数据库运行状况终端部署-内容终端软件规范化•包括终端各类软件安装的规范化终端域管理•终端加入域•企业管理策略统一设置终端安全管理•安全配置和安全管理•资产信息收集•应用程序管理终端补丁更新•扫描终端安全漏洞•更新终端操作系统和应用软件的补丁终端防护•防病毒软件•个人防火墙配置活动目录域控制器补丁管理运行监控防病毒终端终端活动目录域控制器补丁分发终端终端集团/北方省分南方省分/地市终端部署-终端实施工作和步骤部署准备•终端信息收集•用户帐号创建•环境测试•用户培训终端系统更新•终端数据备份和迁移终端加入域•终端网络配置•终端加入域•终端软件部署议程安排项目总体介绍项目功能介绍终端实施前提条件终端实施操作步骤终端实施流程与安排终端实施问题与建议技术支持&投诉管理项目工作小组成员任务要求操作系统规范化硬件符合性数据备份删除其它安全软件或清理系统病毒地市DCN线路连通实施条件-终端实施条件-终端硬件型号分类适用范围配置要求台式机最低配置标准管理域内接入OA系统的办公终端CPU:PentiumⅢ600或以上内存:128M建议256M或以上硬盘:10G建议40G或以上网络:10/100M网卡笔记本电脑最低配置标准管理域内接入OA系统的办公终端CPU:PentiumⅡ400或以上内存:128M建议256M或以上硬盘:10G建议30G或以上网络:10/100M网卡软件系统名称软件系统描述终端操作系统Windows2000专业版+ServicePack4或WindowsXP专业版+ServicePack1(推荐ServicePack2)磁盘格式FAT32或NTFS格式文件操作系统,推荐NTFS格式浏览器InternetExplorer6.01或以上版本安排接口人及培训人员尽快收集整理终端信息调研表,确定满足实施条件的终端数对于不满足实施条件的终端,请在实施前自行升级操作系统或者进行硬件升级(WindowsXPPro./Windows2000Pro.)协助完成地市公司与省公司的网络畅通,防火墙端口打开。亿阳工程师在地市实施前3天会联系地市分公司接口人,确定实施时间。在实施前请各地网通公司接口人通知用户进行终端数据的备份(备份内容:系统分区、邮件、重要文件数据)终端实施时,如果具体用户不在,请授权其他人员终端实施结束后,亿阳将安排一周的现场支持或电话支持。需要的支持-地市分公司培训对象培训内容地市接口人实施范围和内容系统维护人员实施的技术细节以及终端实施维护文档终端用户实施前的准备工作以及终端实施的操作步骤终端加入域-准备工作•检查网络参数的配置(以各域实际配置为准)•IP地址、DNS配置、WINS配置•确认本机到DC是否有端口限制(使用PortQuery.exe)•加入域工具需要使用的端口包括:•TCP/UDP445•TCP/UDP88•TCP/UDP53•TCP135•TCP139•TCP80•UDP389•UDP137•检查本机是否安装防火墙,若有,先停用。•确认该计算机没有加入到任何域,若有,确认是CNC.INTRA,符合则不用再安装。•确认使用登录用户有管理员权限,检查用户是否在Administrators组中•确认当前用户的profile允许管理员组访问•退出其它所有应用程序终端加入域-网络和共享检查•Pingcnc.intra•Pingm10-sc-dc01•Pingm10-sc-dc01.cnc.intra•Pingm10-sc-dc02•Pingm10-sc-dc02.cnc.intra•确认以上这些名称都能ping通•访问\\m10-sc-dc01,确认可以访问•访问\\m10-sc-dc02,确认可以访问议程安排项目总体介绍项目功能介绍终端实施前提条件终端实施操作步骤终端实施流程与安排终端实施问题与建议技术支持&投诉管理项目工作小组成员任务要求1.首先终端责任人备份本机重要的信息,这一步非常重要,因为后面的操作都有一定的风险性。2.卸载其它安全软件,重新启动3.执行终端加入域的操作4.安装symantecSCS软件5.安装SMS客户端实施步骤主要流程终端加入域-开始安装确认以本机管理员身份登录,直接运行JoinDomain.exe(图标为红色简体中文“域”字)。终端加入域终端加入域终端加入域终端加入域终端加入域计算机加入域成功。请点击重新启动按钮,立即重新启动系统。重新启动后,请使用您的域帐户登录状态:终端加入域-手工方式当第一次使用工具无法加入域的时候,或者加入域之后用户的配置文件没有被迁移的话,建议先手工退出域,然后再重新使用工具加入域。当工具确实没有办法加入域的话才采用手工加入域的方式。终端加入域-手工方式终端加入域-手工方式终端加入域-手工方式检查权限:使用本机管理员登录计算机打开C:\DocumentandSetting目录,在以用户原来帐户命名的文件夹上点击右键,然后选择安全,确保Administrators组在文件夹上拥有完全控制权限如果Administrators组在文件夹上没有完全控制权限则点击添加,然后输入Administrators,然后单击确定打开高级选项,在权限项目中选择Administrators,将权限应用到该文件夹、子文件夹及文件。注:如果是XP的计算机,可能看不见安全选项卡,这时单击工具文件夹选项单击察看,把简单文件共享前面的钩给取消。终端加入域-手工方式更改用户配置文件使用本机管理员登录计算机单击开始运行输入regedit,打开注册表编辑器然后依次展开以下路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\ProfileList\在ProfileList项下面能够看见很多以SID命名的项,在这些项中查找叫做ProfileImagePath的值找到ProfileImagePath的值为原来用户配置文件路径的项,然后复制再查找ProfileImagePath的值为现有用户配置文件夹路径的项,然后使用原来用户的配置文件路径替换现有的然后确定,注销用户帐户使用SD域用户帐户登录计算机,检查用户的配置文件是否被正确还原。终端加入域-手工方式SymantecSCS安装步骤首先检查终端软件配置:软件系统名称软件系统描述终端操作系统Windows2000专业版+ServicePack4或WindowsXP专业版+ServicePack1(推荐ServicePack2)FAT32或NTFS格式文件操作系统,推荐NTFS格式浏览器InternetExplorer6.01或以上版本卸载掉当前一切杀毒软件(例如:卡巴斯基、瑞星、江民等);退出当前的下载工具,(例如:FlashGet、迅雷等)最后根据终端系统类型选择相应的链接进行安装。(见后页)SymantecSCS安装步骤SMSclient安装软件下载地址:\\m10-sc-sms01\SMSClient\i386终端加入域-下载加域软件议程安排项目总体介绍项目功能介绍终端实施前提条件终端