首页> 系统技术> 终端标准化

[文章]终端标准化

收藏
0 1378 0

    随着信息化建设的发展,企业信息化建设维护工作量也日益增加,尤其是在终端管理方面。通常情况下,一台计算机就需要在系统安装、应用配置、桌面管理、故障维护以及防病毒等方面投入大量的精力,更遑论拥有数千甚至上万台计算机的企业,因此促进终端标准化管理成为企业信息化建设的必然趋势。

    企业终端标准化建设就是建立一套统一的终端管理体系,我们不妨从计算机的生命周期入手,从出库、安装系统……到最终淘汰,根据各个阶段的管理需求引入一套以微软产品为核心的终端标准化解决方案。


    计算机出库后首要之事便是安装操作系统,然而安装系统这项工作却是让很多运维人员头疼的问题,一方面市面上的操作系统版本繁多,各种盗版系统横飞,很多镜像携带有第三方软件甚至病毒,使用这些镜像安装的系统给企业安全增加了很大的隐患;另一方面计算机装完系统后要花大量时间去做系统配置、软件安装等相关配置,这些配置可重复性强但又耗费时间,严重降低了运维人员的工作效率。如果企业可以定制符合自己需求的镜像,比如使用微软官方纯净镜像,将需要的配置预先封装在镜像中,然后通过相关系统的自动化部署功能实现企业计算机的批量安装,那么既能消除盗版镜像的影响,又能省去大量配置系统耗费的时间,由此标准化镜像及自动化部署也就呼之欲出了。


    标准化镜像其实就是将软件、系统及补丁等做好配置后对系统进行二次封装,从而达到符合企业需要的目的。这里我们提一点,很多人觉得系统配置完成后直接打包就完成了系统的封装,其实不然,每个系统从第一次启动便会产生一个SID,这个SID是标识计算机账户的唯一安全标识符,通俗点讲就是计算机的身份证号,如果不清除SID直接进行系统的封装,那么封装的镜像就会成为具有相同SID的克隆体,在工作组计算机中可能体现不出来,但是一旦要让计算机加域,那么拥有相同SID的计算机就会出现无法加域的问题,这也是我们不推荐使用网上来源不明的镜像的原因之一。

    安装系统比较常见的方法一般有两种:一是使用光盘进行安装,二是使用UPE进行安装,但是这两种方法都不适合企业大规模部署。微软的的MDT+WDS系统及SCCMOSD功能都可以实现镜像的自动化部署,既支持网络安装,又支持U盘等移动介质安装,非常适合企业批量部署操作系统。标准化镜像和自动化部署的引入将企业IT运维人员的双手从冗杂的系统安装工作中解放出来,只需花费很少的人力物力资源便能完成计算机的批量部署,从而使运维人员有更多的时间和精力去投入到新项目建设中。

    计算机默认情况下是工作组架构,每台计算机都有一个独立的数据库,用户要想访问每台计算机内的资源,就必须在每个数据库内创建一个账户,并且需要设置这些账户的权限,无论是对于管理员还是普通用户,这种架构的使用和管理都非常麻烦,由此我们引入域的概念。与工作组不同的是,域内所有计算机共享一个集中的目录数据库(AD DS数据库),该数据库中存储着整个域内所有计算机和用户的相关数据,这种架构把计算机与用户的管理从每台计算机集中到域控制器内,使计算机和用户的管理非常方便。例如当某个用户需要更改密码时,只需要在域内更改一次密码即可,省去了在每台计算机操作的麻烦。当然了,域的功能十分强大,这里只简单介绍一点如何通过域来实现计算机和用户的统一管理。

    计算机管理大体可以分为命名管理、分组管理及资产管理三部分。计算机名具有辨识计算机个体的作用,要想做好计算机的管理,则必须先做好计算机名的规范化管理。域内的计算机名具有唯一性,为了避免计算机名重复,需要制定一套统一的计算机命名规则。在规则中可以加入用户的部门、机构、工号(或者名字简写)等信息,这样就可以将计算机与使用者绑定,通过计算机名便可以知道使用者的信息。计算机命名得到规范之后,可以借助域的组织单位将相同类别的计算机进行归类管理,组织单位的架构可以根据企业的实际情况划分,比如根据计算机用途分组或者根据公司部门分组等。计算机资产情况也是管理员十分关心的事情,通过域只能查看计算机的系统版本,如果想要知道计算机详细的硬件信息及软件信息,则需要借助SCCM的资产管理功能来实现。SCCM的资产管理功能不仅可以查看单台计算机的软硬件配置,比如可以查看到某台计算机的CPU型号、内存大小、安装的软件列表及系统自动启动软件等,还可以统计批量计算机的软硬件配置,比如可以统计内存低于4G的计算机清单、安装了office的计算机清单等,功能十分强大。


    用户管理最首要的一点就是身份认证,也就是确定操作者的身份信息,只有确定了用户的身份信息,才可以确定该用户是否具有对某种资源的访问和使用权限,进而使计算机和网络系统的访问策略能够可靠、有效地执行,保证系统和数据的安全。既然要做身份认证,那么用户的账号管理问题也就随之而来了。与计算机名类似,账号名之间也不可重复,同样需要制定一套统一的命名规则,另外为了方便管理,也可以使用组织单位对用户归类管理,增强用户管理的条理性。账号安全方面,企业一般都是遵循“谁持有谁负责”的态度,除了对用户的行为习惯做出要求外,我们还需要在源头上减小密码被破解的风险,使用强密码策略,在密码复杂度、长度、敏感信息、密码历史、密码过期时间等方面加强用户密码的安全性。


    权限管理是用户管理中非常重要的一点,同时也是整个终端标准化建设的核心要点之一。通常情况下,工作组架构的用户默认会加入本地管理员组,这样就存在用户随意安装私人软件和更改系统配置而导致的潜在法律风险和信息安全隐患,仅依靠规章制度对用户的行为习惯做出要求收效甚微,对用户的管理员权限进行回收才是从根本上解决问题的关键。域恰好能解决这个问题,普通的域用户登录时会自动加入到本机的user组,这个组只有一些基本的使用功能,没有修改服务、驱动、系统文件的权限,这样用户就无法私自安装软件了。对于有特殊需要的用户可以临时提升权限,待用户安装好软件后再将权限回收。此外,随着用户数量增加,管理压力也逐渐增大,我们可以通过AD权限委派,将相关权限分配给对应专管员,进而减小管理压力。

    前面我们介绍了安装系统、计算机管理及用户管理,这些都属于终端计算机的安装配置阶段,对于普通用户来说感触并不深,下面我们来介绍与用户体验息息相关的终端使用阶段的管理思路。桌面管理的定义不尽相同,广义上来讲,凡是终端的问题都是桌面管理的范畴,涵盖范围非常广,我们这里只讨论比较常见的桌面安全、多样化桌面及远程协助等方面。


    无论是用户还是管理员,桌面安全都是其首要关注的问题,只有保证信息系统的安全运行,才能有效抑制信息系统安全方面的威胁。在网络层面上可以做准入限制,只允许符合要求的用户和设备接入企业内部网络,这样就可以防止未得到认证的用户及不安全设备访问内部信息。用户在办公过程中会不断地进行数据的生成及交互,保证这些数据的安全是桌面安全管理中非常重要的一点,我们可以从下面三个方面来考虑:

a)   访问限制:通过对磁盘或者文件夹的权限做出限制可以防止未授权用户访问到这些机密数据;

b)   数据加密:使用AD RMS(或第三方加密软件)将文件设置为保护文件,并授予其它用户读取、复制及打印等权限,这样未被赋予权限的人即使拿到了该文件也无法得到相关信息;

c)   存储保护:使用组策略中的“文件夹重定向”可以将用户的配置文件重定向到指定路径的存储位置(比如专门的文件服务器),这样就可以集中对用户数据进行管理,很大程度上减小数据丢失的风险。

很多企业对安全审计也有要求,比如策略的更改、登录事件等都需要有记录,我们可以在组策略中开启审核策略记录,记录结果保存在Windows日志中。除此之外,为了保证桌面管理的安全,还需要对用户的行为做管控,比如移动介质需要注册才可以使用、不允许携带私人电脑、不允许拍照等。

    结合组策略与OU可以实现桌面的多样化管理,比如企业需要统一全公司用户的桌面,而某个部门的计算机需要在开机时运行一个脚本,我们只需要新建好相应的组策略,然后挂载到对应的OU即可。远程协助是管理员在处理客户端问题时非常便利的一个功能,比较常见的就是系统自带的远程桌面连接,但是系统自带远程不能共享桌面,而多数的客户端问题都需要用户向管理员演示发生状况,再由管理员判断问题原因与解决办法。QQTeamViewer等工具的远程功能虽然可以实现共享桌面,但是需要在互联网下才可以运行,不适合在内网环境中使用。SCCM的远程控制功能既能实现共享桌面的需要,又能在内网环境下运行,十分契合我们的需求。当然了,还有一些第三方的桌面管理产品能够实现这个功能,这里我们就不细说了。

    用户在办公过程中会使用到各种各样的软件,我们既需要确保这些软件安全可用,又需要保证用户能方便地安装、激活及卸载,因此需要对软件进行统一管理。软件安装之前需要先测试,一是检测是否携带病毒,二是检测软件的可用性,两项标准都符合才允许安装。对于软件的安装,前面我们在用户管理处提到要对普通用户的权限做回收,虽然临时赋权这种方法可以让用户有权限安装软件,但是频繁的权限变更势必会增加运维工作量,用户体验也很差。此时SCCM的软件中心便有了用武之地,管理员只需要在SCCM服务器上发布需要的软件,客户端的软件中心便能显示管理员发布的软件列表,用户只需要勾选自己需要的软件,然后点击安装即可在普通用户身份下安装软件,既省去了提权的过程,又提高了个人体验。部分软件安装完后需要激活,比如Office办公软件,可以在企业中部署KMS服务器,这样就可以自动激活OfficeKMS服务器也可以激活Windows系统,只需购买对应KEY即可),至于其它的软件则根据需要购买正版KEY进行激活。用户软件卸载的频率相对较低,通常的做法是给用户提权,卸载完成后再对权限回收。


    计算机系统与我们的身体一样,既需要提高自身免疫力,又需要隔离病毒源,如果不做好防护工作,则很可能会“生病”。那么如何做好企业计算机的防护工作呢?一是要做好系统的补丁更新,新装的操作系统存在很多漏洞,免疫力非常差,如果不及时更新补丁,则很可能造成漏洞被利用,危害企业安全。二是做好防病毒管理,主动性防范计算机不受病毒入侵,形成保护屏障,避免用户资料泄露、设备程序被破坏等情况出现。

    很多企业的计算机都是使用的内网,无法连接互联网获取补丁,我们可以使用微软的WSUS来实现内网计算机的补丁更新。WSUS的工作原理也很简单,上游服务器连接互联网,同步微软补丁库,下游从上游同步补丁并提供给客户端补丁检测及更新服务,从而形成一套企业级的补丁更新系统。为了保证补丁更新管理工作能稳定进行,首先要制定一套行之有效的方案,然后才可以进行补丁的推送,推送完成并不代表结束,往往还需要提取数据分析客户端打补丁的情况,再根据结果拟定改进措施。制定补丁更新方案,第一要确定企业的WSUS系统架构,根据企业需要规划下游服务器数量及模式(自制或副本);第二要确定补丁产品类型,确定企业需要的补丁产品(比如win7win10)以及补丁分类(比如安全更新程序、关键更新程序等);第三要明确客户端配置,检查更频率要设置成多少、是自动下载更新还是通知下载,是自动安装更新还是通知安装等;第四要确定计算机如何分组,这一点要结合企业的设备分类、网络带宽及使用情况等实际因素来考虑。做好规划方案后就可以推送补丁了,出于安全考虑,在大范围推送之前需要先对补丁进行测试,先在测试环境进行第一阶段测试,测试没问题后再对小范围的实际环境推送进行第二阶段测试,两个阶段都没有发现问题后再对大范围实际环境推送补丁。推送补丁时,客户端可能因更新补丁而出现各种问题,如果出现某个补丁导致大范围的计算机出现无法正常使用,则需要在WSUS上对该补丁进行回退;如果仅个别计算机出现问题,则只针对个别问题进行分析排查即可。补丁推送完成后,往往还需要对补丁的推送结果进行统计,通过补丁的状态报告可以得知哪些计算机成功更新了该补丁,哪些计算机更新该补丁失败以及计算机更新该补丁的其它状态;通过计算机的状态报告可以得知该计算机已安装哪些补丁、未安装哪些补丁及哪些补丁不适用。我们可以根据实际需要导出相关数据(有时需要对导出的数据进行二次处理才能使其更加直观),通过对数据的分析可以得知补丁的推送的情况及客户端打补丁的情况。


    在企业防病毒方面,SCCMEndpoint Protection提供适用于Microsoft平台的反恶意软件和安全解决方案,是微软提供的一套企业级杀毒软件,最大的特点就是免费及与System Center系列的高度整合,可以方便地使用SCCM进行推送和病毒库的更新。当然了,SCEP相比于一些第三方专门的防病毒产品有些相形见绌,企业可以根据自己的实际情况选择防病毒产品。

    通过以上内容,我们基本完成了一套涉及ADSCCMMDTWDSWSUSKMS等技术,囊括了从计算机出库到系统安装配置、用户使用管理及计算机安全防护等方面的终端标准化管理体系。 

系统技术
最近热帖
{{item.Title}} {{item.ViewCount}}
近期热议
{{item.Title}} {{item.PostCount}}