云桥-微软基础架构管理平台ADM技术白皮书
变更记录
日期 | 作者 | 版本 | 变更说明 |
2017-11-20 | 付合利 | 修改 | |
1 引言
1.1 免责申明
本文档中包含的信息代表到发布日期为止对于所讨论问题的最新观点。由于必须适应不断变化的市场情况,所以不应将这些信息视为荣之联的承诺,同时也不能保证在发布日期之后提供的任何信息的准确性。
本白皮书仅作提供信息之用。对于本文档中的信息,不提供任何明示、暗示或法定的担保。
1.2 名词释义
活动目录
活动目录(Active Directory)是面向Windows Server的目录服务,是一种分布式的目录服务,主要用在分布式的环境中,管理员可以对整个环境中的网络进行集中管理。
Microsoft Exchange Server
MicrosoftExchange Server 是个消息与协作系统。Exchange server可以被用来构架应用于企业、学校的邮件系统或免费邮件系统。ExchangeServer提供了包括从电子邮件、会议安排、团体日程管理、任务管理、文档管理、实时会议和工作流等丰富的协作应用,而所有应用都可以通过Internet浏览器来访问。
Skype For Business 2015
Skypefor Business 提供的功能包括状态、IM、语音和视频呼叫以及联机会议。Skype for Business 提供了全新的客户端体验、全新的服务器版本以及对 Office 365 中服务的更新。如果组织中的用户已经熟悉了 Skype,他们一定会欣赏帮助他们轻松找到同事并与同事保持沟通的 Skype for Business 的强大功能和简单易用性。如果组织中的用户从 Skype for Business 转到 Lync,他们仍然可以找到自己熟悉的所有功能,同时体验新鲜的用户界面、简化的控制和丰富的新增功能。除了全新客户端体验之外,Skype for Business Server 还提供了多项新功能,可改善内部服务器和混合解决方案的易管理性。
Skypefor Business 还支持 Lync 客户端体验,因此,你可以选择分阶段的升级策略来为你的用户提供全新客户端体验。例如,你可以部署 Lync 客户端体验,直到你组织中的用户已通过全面培训熟悉新的 Skype forBusiness 体验或直到所有用户升级至新的服务器为止。
主数据
主数据(MD Master Data)指系统间共享数据(例如,客户、供应商、账户和组织部门相关数据)
源数据
源数据是指能直接提供原始资料或具体数据的自足性数据,用户不必再查阅其他信息源。
2 研发背景
随着企业IT迅速发展,企业服务器数量不断的增多规模不断的扩展,很多 IT 机构仍然在设法解决上个世纪 90 年代 IT 业迅猛发展所带来的负面影响,如:高昂的成本、创建/删除用户帐户、更改/重置密码、配置用户属性与权限、企业员工数量很多,需要批量管理、IT管理员需要查看AD报表来帮助其管理活动目录、希望能有一款软件帮助企业实现AD管理统一、安全方便、希望通过工作流来管理活动目录,使活动目录管理稳定可靠、缓慢的响应速度以及缺乏一体化管理的基础架构,这些 IT 机构为此饱受煎熬。当今,IT 机构只有采取下列措施,才能使其企业获得持久稳固的竞争优势:
? 提高资源的利用率,从而降低基础架构的成本。
? 更快速地响应业务需求,以便更迅速地部署项目。
? 提升运营的连贯性和可预测性。
为解决这些问题,推出了一款专业的活动目录管理软件云桥,它可帮助管理员从中央控制台轻松管理AD用户、计算机、联系人、工作组等。自动执行重复性的任务、简化活动目录管理、并提供详尽的报表,从而大大提高工作效率。 最重要的是,它对各种基于微软基础架构的管理进行了标准化和简化,本文将对其原因进行解释。利用云桥,IT 团队可以对各项工作不断进行整合,从而实现服务器利用率的最大化,同时降低运营成本。
3 产品概述
云桥可以为域环境提供全面的管理能力,提升和强化活动目录管理的安全性和有效性。也可以为您企业中的Microsoft Exchange Server提供单点的、基于策略的管理。
通过安全的权限管理和标准化控制,您可以快速的响应业务的要求,同时减少管理人员的负担,将注意力转移到推动业务增长上。
云桥提供一个易用的、可视化的Web管理界面,种类丰富的报表,从多个维度反映IT管理工作的方方面面,充分满足SOX、HIPAA等安全审计要求。批量操作可以简化IT管理流程、生命周期管理可以降低人员权限风险、支持第三方数据同步、方便远程管理员或Helpdesk用户从远程管理AD、Exchange、Skypefor Business Server 2015等。
4 设计原则
4.1 技术先进
采用先进的技术,前端采用div+css+JavaScript,JQuery、bootstrap、Ajax框架,后台技术:C#、Linq to Sql,完全基于B/S模式标准三层架构以及应用厂家公开的API,开发出适用各个厂家、各种类型的服务、数据库、服务器等的综合管理平台。
4.2 安全可靠
充分利用.net框架的开放性、易维护、可扩展和伸缩性好的特性来保证服务器发生故障不影响或少影响现有被管系统的正常运行。
4.3 运行稳定
按照本系统的设计构架,确保系统能支持7x24 小时连续不间断工作;允许多用户同时访问该系统。
提供数据备份和恢复工具,及时而又有计划的对系统数据进行备份,以便在发生不可预见的灾乱时能恢复数据,确保系统的可用性和可维护性。
4.4 性能优良
完整的产品设计,提供多种性能调优手段,确保产品正常运行。
4.5 扩展性强
系统具有良好的可扩展性,即使随着业务的扩大,关键设备增多,也不用重新购置系统,有效地保护用户的投资。
5 产品架构
云桥是完全基于B/S模式标准三层架构以及应用厂家公开的API,开发出适用各个厂家、各种类型的服务、数据库、服务器等的综合管理平台,架构示意图如下:
云桥提供了如下常见功能 ,可以同时管理AD、邮件服务器、并且可以输出多达几百张报表和日志归档功能。
6 产品优势
? 报表管理
u 提供100多个报表(包括用户报表,密码报表,组报表,计算机报表,Exchange报表, GPO报表,组织单位报表,安全报表,合规性报表,Office365报表等。)
? 安全合规
u 细粒度的权限委派和任务功能划分超过90个功能任务,近200多个内置角色、辅助管理组、活动视图。高度可定制化的基于角色的委派,提供了灵活、可定制化的管理职责和权限的安全委派。
u 完整的用户操作的日志记录,保证了为后续分析或调查提供了详细的审计线索,并且还可以归档AD服务器日志,以满足合规查询。
u 解决了多用户管理服务器混乱的问题,能够分配更细粒度的权限,避免很多不安全的操作。
? 操作简单,可实现自助管理
u 为管理员和Help Desk用户提供了基于Web界面的任务中心,即使非技术人员也可以实现操作。
u 自助管理能力使得用户能够更新自己的个人信息,诸如电话号码、地址以及照片信息。
u 脚本化的LDAP兼容的触发器代理,可以非常容易的扩展可用的自动化的操作
u 可快速查找闲置用户并进行禁用,移动根目录,解锁用户账户等
u 安装部署方便快捷,无需专业人员指导
? 统一管理
u 提供基于B/S架构的统一管理界面
u 统一管理活动目录对象、Exchange
? 专业高效
u 一键批量创建用户账户,修改用户属性等,为您节省大量时间和精力
u 具有账户生命周期管理功能
u 基于LDAP的搜索查询,高效而稳定
良好的扩展性
u 可以和OA、HR、等其他主数据或源数据进行同步
7 产品功能
云桥为您提供了从AD管理、报表管理、权限委派管理、Exchange服务器管理的支持IT管理的服务。
7.1 工作台
活动目录报表对管理员来说是必不可少的。云桥为管理员提供多种报表,图形化展示近期用户、计算机、邮箱活跃情况及邮箱使用量,您不需要专门的AD知识,也同样可以了解活动目录的对象数据。
7.2 目录管理
使用云桥,可以对AD中的用户、组、计算机、联系人、文件服务器等进行全面管理。它还可以从CSV文件导入数据,实现批量创建用户、计算机、联系人等,批量更改它们的对象属性。
7.2.1 用户管理
Windows活动目录的一个主要功能就是管理用户账户。如果使用Windows自带的“Active Directory用户和计算机”(以后简称为ADUC)工具来管理用户,一次只能创建一个用户,而且在创建时只能指定最基本的用户信息,其它信息或属性还需要通过编辑该用户的属性,才能修改。这样,不仅费时费力、而且容易出错。
云桥提供多个用户账户模板,其中已包含了标准的用户属性值,可以用来创建单个用户或者批量创建用户。同时云桥也允许导入一个包含用户属性的CSV文件来批量创建用户账户,从而大大地提高用户管理的效率。
云桥的用户管理包括:
? 创建单个用户
? 批量创建用户
? 更改单个用户
? 批量更改用户
? 批量重置用户密码
? 批量禁用
? 批量移动
? 批量取消密码永不过期用户
? 批量导出用户属性
? 批量导出组织单元账户
? 其它用户管理相关的操作:克隆、重命名、移动、重置密码、修改头像、启用、组维护、删除。
7.2.2 组织单元管理
云桥提供对组织单元进行创建和修改,并且可以使管理员按权管理,减轻管理员工作。
7.2.3 组管理
随着人员的流动,经常需要对用户组进行管理,如果使用ADUC工具,一次只能够对一个组进行操作。
云桥可以对组进行批量创建和修改,并查看AD组管理报表。您可以创建组模板,让组管理的任务变得轻松简单。
同时,利用云桥,还可以轻松修改组对象,包括:创建组、删除组、修改组属性,添加/移除组成员等。
7.2.4 计算机管理
云桥可以快速地对要加入到域的计算机进行管理。它可以单独添加计算机,也可以批量添加计算机,并可以对已加入域的计算机的属性进行修改。
云桥的计算机管理,可以让AD管理员从繁琐和复杂的工作的解脱出来。
7.2.5 回收站
云桥提供回收站功能,所有的误删除操作都能进行一键恢复,包括对组织单元、组、计算机、用户的误操作都可以及时恢复。
7.3 邮箱管理
大多数企业都会将Microsoft Exchange服务器与活动目录集成在一起工作。所以管理Exchange服务器和管理活动目录一样重要。如果没有管理工具,管理员必须在“ADUC”,“Exchange System Manager”,“Exchange Manager Console”,“PowerShell”和“Exchange Management Shell”之间来回切换。而且也无法在一个控制台中,管理多个Exchange 2003和Exchange 2007/2010/2013服务器。
云桥就像一个管理控制台,运行在一个控制台同时管理Exchange Sever 2003和Exchange Server 2007/2010/2013等多种服务器。
7.3.1 Exchange用户管理
云桥提供了以下管理功能:
? 批量创建邮箱
? 单个启用邮箱
? 批量启用邮箱
? 单个禁用邮箱
? 批量禁用邮箱
? 批量隐藏邮箱
? 批量解除隐藏邮箱
? 删除邮箱
? 更改邮箱信息
? 邮箱配额管理
? 查看邮箱操作日志
7.3.2 Exchange组管理
云桥提供了以下管理功能:
? 创建通讯组
? 批量创建通讯组
? 创建安全组
? 批量创建安全组
? 创建动态通讯组
? 修改组信息
? 删除组
? 维护组成员
7.4 报表
7.4.1 计算机报表
AD计算机报表能够让管理员全方位洞察域中计算机的情况。包括:哪些计算机处于休眠状态、哪些计算机被禁用,以及最近添加/修改/删除的计算机等。还可以根据需要定制计划报表,获取您所需的信息。
7.4.2 组报表
AD组报表能够快速的为管理员提供域中组的信息。包括安全组、本地组、通讯组、通用组、全局组,以及组排行、组成员等等。只需点击几下鼠标即可获得自己想要的信息。
7.4.3 OU报表
组织单位(OU)是行政级别的容器,允许管理员对AD对象进行分组管理,可以将用户,组,计算机和其它组织单位放入组织单位内。
云桥的组织单位报表,让管理员可以完全洞悉组织单位的状况,了解哪些为空的组织单位。
7.4.4 用户报表
作为AD管理员,您可能非常希望了解AD域中的用户情况。比如:哪些用户的具有空值属性;哪些用户的属性有重复;哪些用户同时属于多个用户组;哪些用户从来没有修改过密码等等。
云桥提供的AD用户报表,可从不同角度,为您提供全面的数据报表。有了它,管理员可以全面掌控AD域用户的概况。
同时,云桥提供计划报表功能,可以设定时间,让云桥自动生成报表,并将结果发送给相关人员。
7.4.5 密码报表
强壮的密码策略可以提升企业的安全级别。忽视对密码状态及密码策略的监控,将使整个活动目录面临风险。通常,Windows活动目录都会设置一定的密码策略,保证用户密码具有一定的强度,防止恶意攻击。管理员最关心的则是,哪些用户的密码没有更改过;哪些用户经常登录失败(可能是外界入侵做尝试登录)等。
使用云桥,可以很方便地了解用户账户的密码状况。其提供的密码报表包括:
? 登录失败的用户;
? 密码过期的用户;
? 密码即将过期的用户;
? 从未更改密码的用户;
? 密码永不过期的用户等等。
管理员可从不同视角,审视自己所管理的域的安全性。
7.4.6 Exchange报表
作为管理员,您可能关心的是,哪些Exchange用户启用/禁用了OMA,哪些用户启用/禁用了OWA,哪些用户启用/禁用了POP3,哪些用户启用/禁用了IMAP4,以及Exchange服务器做了哪些限定选项等等。而这些信息在Windows自带的管理工具中是无法直接得到,而必须通过编辑脚本/编程才能获得。
云桥的Exchange报表,从管理员的角度出发,提供了多种报表:常规报表、功能报表、设置选项报表、组报表等等。可以为多个版本的Exchange生成报表,包括Exchange 2003,2007,2010和2013。
7.5 安全管理
云桥的安全管理功能包括:用户角色管理、权限管理及合规性报表。
7.5.1 角色管理
通常情况下,每个企业或组织都有专门的AD管理员。由该管理员负责对AD进行管理。但是,随着企业的成长,网络、资源规模不断扩充,系统维护和管理任务也在同步增加。因此,单纯靠管理员来及时、有效、无误的管理用户请求也越来越困难。而增加管理员,不仅需要人力资源,而且敏感账户的密码安全性也面临挑战。一旦域控制器的管理员级别用户的密码被泄露,后果将不堪设想。
云桥提供的角色管理可帮助客户化解上述难题。通过云桥,可以将AD管理任务按照数据权限及功能权限委派给不同的角色(如,帮助台技术员或一线技术员),而不必提升相应用户在AD中的权限。它通过细粒度的认证和授权控制,确保被委派技术员只能执行所委派的任务(而不能越权操作)。这样,既减轻AD管理员的工作负担,也可以节省大量的时间精力和成本。
? 功能权限
? 数据权限
? Exchange权限
7.5.2 审计日志
如今,“合规性”对于企业来说非常重要。云桥集中记录所有的管理动作并提供灵活的查询,帮助企业归档和维护常规的合规记录。
7.1 其它功能
云桥还为您提供了一些其它功能,如:
ü 登陆名管理,可以设置登陆名的生成规则。
ü 密码自动生成,帮助管理员根据设置的密码规则,批量生成密码。
ü 通知设置,可以设置密码到期提醒等提醒,如邮件、短信通知。
ü 个性化功能,帮助您设置系统主题。
8 系统运行环境
操作系统 | 内存 | 硬盘 | 组件 | 软件版本 | 浏览器版本 | |
云桥服务器 | Windows Server 2008 R2及以上 | 8G | 100GB | 组策略、IIS、 .NET4.5 | 云桥4.0 | IE10及以上、Chrome、搜狗、火狐 |
SQL服务器 | Windows Server 2008及以上 | 8G | 200GB | .NET3.5及以上 | SQL Server 2012及以上 |
9 最佳实践
云桥以企业需求为目标,降低企业成本为己任,为企业提供全方位的、贴心的活动目录、Exchange管理解决方案,为企业实现自动化、合规化而努力!
9.1 预期价值
云桥方便了系统中包括从系统用户聘用到离职的整个生命周期的管理。如账号创建、授权、权限更改、个人信息更改、口令更改、账号删除、客户端自助、账号安全管理等,均可在一个平台上进行管理,使用户与其账号的对应关系符合实际情况,保证用户拥有的权限是完成其工作所需的最小权限;系统管理员可以方便高效地对系统进行审计,及时发现未授权的信息资源访问、权限滥用、入侵企图等等;系统还为安全策略的强制统一执行提供技术保证,如监测用户口令的强度,口令更改周期等等;减少由于用户忘记密码产生的维护成本。这些都使管理员对信息资源管理的效率大大提高。
9.2 应用场景
? 企业员工数量很多管理混乱,不能满足详细的权限分配、避免一些失误的操作等
? 如今,“合规性”对于企业来说非常重要。随着SOX,HIPAA规范的颁布,企业的合规性需求发生了根本性变化,要求相关操作管理满足合规性
? 经常需要批量管理
? 项目比较多,需要为第三方项目人员分配权限,实现临时账号及员工账号的生命周期管理
? 老板要IT管理员提供诸如AD用户信息报表、邮件服务器使用报表等来来分析数据
? 希望能有一款软件帮助企业实现AD管理自动化
? 希望通过工作流来管理活动目录,使活动目录管理稳定可靠
? 企业规模很大,AD管理任务繁重,需要“目录管理”功能来减轻AD管理员的负担,节约公司成本
? 由于AD需要和其他应用系统集成,比如和源数据或者主数据进行账户信息的同步,如何满足能够自动化的去操作从而提高管理员的效率,做更多有意义的事情,以便产生更高价值
? 为了满足合规性需要长期保存AD服务器的日志,然而AD本身存储服务器的日志容量有限
? 一些用户的属性信息,比如电话等能否通过指定的前台人员或者HR来操作
9.3 应用典型案例
统一用户管理工具云桥已经在汽车、金融、制造、律师、教育、房地产行业等众多国内外知名企业中成功应用实施。