IO 功能: 身分和存取管理 - 基本至標準化層級
本頁內容
簡介
需求: 適用於使用者驗證的目錄服務
簡介
身分和存取管理是一項核心基礎結構最佳化功能,也是在基礎結構最佳化模型中實作多項功能的基礎。下表列出在身分和存取管理中移至標準化層級的高層級挑戰、適用解決方案,以及優點。
挑戰 |
解決方案 |
優點 |
---|---|---|
使用者持續收到驗證提示,無法登入 要管理的使用者識別儲存過多 存取資源缺乏一致性 未獲授權存取機密資訊的風險 無法實作遵循政府法規 (沙賓法案、HIPAA 等) 新進員工必須等待才能存取關鍵系統,導致生產力降低 IT 挑戰 提高 有關密碼重設及存取要求的支援工程師成本 缺乏集中化管理的識別、無法清楚掌握身分識別生命週期 孤立帳戶引發安全性風險 不同系統採用不同的身份識別,沒有中央識別儲存機制 |
專案 實作用戶端驗證的主要目錄服務 實作具備目錄服務觀念的用戶端 |
業務效益 透過簡化的登入程序提高使用者生產力 管理較少的身分識別儲存,降低管理成本 進展至實作法規遵循 降低使用者帳戶管理成本 IT 優勢 降低支援工程師的工作量 減少數位身分識別 集中化管理身分識別 提高安全性 |
持續的身分和存取管理著重於 Microsoft 身分和存取管理系列中所述之下列功能:
身分和存取管理的基礎
身分識別生命週期管理
存取管理與單一登入
請注意,上述功能在任何組織中均屬於「身分和存取管理」服務的重要部分。如需詳細資訊,請參閱 Microsoft 身分和存取管理系列 (英文)。
在基礎結構最佳化模型中,身分和存取管理的標準化層級討論的是使用者驗證的目錄服務需求,並要求整合目錄服務以執行 80% 以上的使用者驗證。相反的,這項要求表示所有用戶端都瞭解目錄服務。
需求: 適用於使用者驗證的目錄服務
對象
最佳化的標準化層級要求貴組織具備 Active Directory 目錄服務,並用於驗證 80% 以上的使用者。如果您未使用 Active Directory 驗證 80% 以上的使用者,請閱讀本章節。
概觀
在使用者的工作過程中,有許多必須執行使用者驗證的理由。網路存取、應用程式存取、資料存取及電子郵件存取都是一般常見的原因。當您啟用目錄服務執行使用者驗證時,就是將所有分散的驗證要求集中化並一致化。單一登入可讓使用者存取經驗證而可存取的所有資源、應用程式及資料。
階段 1: 評估
「評估」階段主要執行的是清查貴組織中所使用的目錄服務 (如果有的話)。您需要為每個目錄服務說明理由以及使用方式。如果貴組織沒有採用目錄服務,就必須檢視目前管理身分識別的方式,以及採取哪些程序確保存取資料資源的安全,這些可能是正式/已記錄或非正式/未記錄的程序。
階段 2: 識別
目錄服務設計的程序,一開始是識別可用於提供服務的技術,以及貴組織在實作目錄服務時需要哪些項目。
核心基礎結構最佳化模型需要 Active Directory 基礎結構,並提供組織所要求的許多服務基本支援,包括傳訊與共同作業、系統管理和安全性服務。Active Directory 是以網路為主的目錄服務,隨附於 Microsoft® Windows® 2000 和 Windows Server® 2003 中。
階段 3: 評估與規劃
「評估與規劃」階段引導您完成規劃與設計程序,以符合組織需求。您必須使用單一且一致的驗證系統,以管理與員工和其使用之運算資源相關的資訊,這個驗證系統需具備能夠高效管理此類資訊所需的特性。
該系統應該以目錄的方式組織和呈現。
不論所要求的資料類型為何,都應該支援一般的查詢方法。
特性相似的資訊應以類似的方式管理。
資訊分組和管理的方式應該視組織而定,以輔助組織目前的系統。
設計目錄服務
設計服務時,必須採用五種目錄:
特殊用途目錄
應用程式目錄
網路為主的目錄
一般用途目錄
中繼目錄
Active Directory 系統管理員對於資料在目錄中的顯示方式具有完整的控制權。資訊可以分組至稱為組織單位 (OU) 的容器中,通常是用於將資料以階層式儲存。儲存在此目錄中的資料類型,是使用指定資料類別的架構所定義的,稱為「物件」。例如,使用者物件就是在架構中定義的「使用者」類別。使用者名稱、密碼及電話號碼,就是一種使用者物件儲存資訊的屬性。系統管理員可以視需要更新架構以包含新的屬性或類別。
如需定義 Active Directory 目錄服務的詳細資訊,請造訪 https://www.microsoft.com/technet/itsolutions/wssra/raguide/DirectoryServices/igdrbp_2,mspx#E4F (英文)。
設計 Active Directory 結構
Active Directory 的邏輯結構可以視為幾個邏輯目錄,稱為網域。網域的集合稱為樹系,因為每一個網域中的目錄資料通常都是以類似樹狀結構的方式加以組織,以反應組織結構。
設計邏輯結構的程序,包括下列步驟:
邏輯結構設計需求。管理委派的 Active Directory 功能是邏輯結構設計的重點。可以委派特定 OU 的管理作業以達到服務或資料自治或隔離的目的。完成管理委派以符合法律、作業和組織結構的需求。
樹系設計。服務設計程序中決定了適當的樹系數目後,就會選取樹系設計模型,例如,需要多個目錄或組織內的物件定義不同時。除了極少數的例外狀況以外,建議您維持單一樹系以將目錄服務標準化。
網域設計。然後就會為每一個樹系選擇網域模型。
樹系根設計。樹系根是根據網域設計而決定的。如果選擇了單一網域模型,則單一網域就會作為樹系根網域進行運作。如果選擇了區域型網域模型,則樹系擁有者必須決定樹系根。
Active Directory 命名空間規劃。決定了每一個樹系的網域模型後,就應定義樹系和網域的命名空間。
DNS 基礎結構以支援 Active Directory。設計了 Active Directory 樹系和網域結構後,就可以完成 Active Directory 的動態名稱系統 (DNS) 基礎結構設計。
建立組織單位設計。OU 結構是網域 (不是樹系) 專屬的,因此,每一個網域擁有者都必須負責設計其網域的 OU 結構。
產生邏輯設計
完成服務設計步驟後,您可以建立邏輯設計,可用於和其他人溝通設計,並確認提出的設計之完整性。這個邏輯設計應該提供必要層級的詳細資訊,讓設計人員和 IT 專業人員瞭解所提出的設計,並確保設計符合在整體企業設計中所負責的服務需求。下圖是邏輯設計的範例。在下面的範例中,企業樹系使用區域型網域模型,選擇該模型以便小心控制整個 WAN 的複寫。
如需設計 Active Directory 邏輯結構的詳細資訊,請造訪: https://www.microsoft.com/technet/itsolutions/wssra/raguide/DirectoryServices/igdrbp_2.mspx#EELAE (英文)。
階段 4: 部署
對目前的環境執行高層級的評估並判斷您的 Active Directory 部署目標後,您可以判斷最適合您環境的部署策略。下圖顯示定義 Active Directory 部署程序的步驟。
您所套用的 Active Directory 部署策略,會視目前的網路設定而有所不同。例如,如果貴組織目前執行的是 Windows 2000,只需要將作業系統升級為 Windows Server 2003 即可。但是,如果貴組織目前執行的是 Microsoft Windows NT® 4.0 或非 Windows 的網路作業系統,就必須先設計 Active Directory 基礎結構,才能升級至 Windows Server 2003。
您的部署程序可能涉及重新建構現有的網域,可能是在 Active Directory 樹系中,或在 Active Directory 樹系之間。您可能需要在部署 Windows Server 2003 Active Directory,或組織變更或企業併購之後,重新建構現有的網域。
如需部署 Active Directory 基礎結構的先決條件詳細資訊,請造訪 http://technet2,microsoft.com/WindowsServer/en/library/e0966784-1185-4b41-a259-68513689493b1033.mspx (英文)。
作業
目錄服務的目標是確保任何授權的要求者,都可以透過簡單且經過組織的程序經由網路存取資訊。下列資源提供組織中實作 Active Directory 並定義所有物件後的操作資訊。操作 Active Directory 基礎結構需要適當的網域與樹系信任管理、Windows 時間服務、SYSVOL、通用類別目錄、Active Directory 備份及還原、站台間複寫、Active Directory 資料庫以及網域控制器。
如需相關資訊,請造訪:
Windows Server 2003 中的 Active Directory 技術中心,內含在 Windows Server 2003 中實作 Active Directory 的資訊:
Active Directory 和 Kerberos 的產品和技術安全性中心,是一個整合的資源清單,可以查詢安全性更新及說明指南:
如需 Microsoft 支援網站上的 Active Directory 詳細資訊,請造訪 https://support.microsoft.com/default.aspx?scid=fh;EN-US;winsvr2003ad (英文) 。
詳細資訊
如需目錄服務及驗證的詳細資訊,請造訪 Microsoft TechNet 並搜尋「Active Directory 驗證」。
如需其他 Active Directory 產品指南,請參閱
如需 Microsoft 如何使用 Active Directory 的詳細資訊,請造訪 https://www.microsoft.com/technet/itshowcase/content/managead.mspx (英文)。
檢查點: 適用於使用者驗證的目錄服務
需求 |
|
---|---|
實作 Active Directory 目錄服務以驗證 80% 以上的連線使用者。 |
如果您已經完成上列步驟,則貴組織就已達到基礎結構最佳化模型中,這項功能標準化層級的最低要求。建議您遵循其他最佳作法資源,以操作部署的 Active Directory 基礎結構。
移至下一個自我評估問題。