IO 功能: 身分和存取管理 - 標準化至合理化層級

本頁內容

簡介 簡介
需求: 集中化的目錄型設定與安全性 需求: 集中化的目錄型設定與安全性

簡介

身分和存取管理是一項核心基礎結構最佳化功能,也是在基礎結構最佳化模型中實作多項功能的基礎。

下表列出在身分和存取管理中移至合理化層級的高層級挑戰、適用解決方案,以及優點。

挑戰

解決方案

優點

業務挑戰

難以強制執行組織或法規要求的 IT 原則

無法讓用戶端電腦成為已知、穩定並且安全的狀態

IT 挑戰

沒有可控制身分和存取管理的集中原則 - 實作廣泛的原則變更需要修改每個身分識別

身分採集中管理的方式,但難以管理使用者與資源的設定

專案

識別與定義需要強制執行的設定標準

為桌上型電腦、伺服器、設定與安全性的系統管理實作集中化的目錄型原則解決方案

業務效益

強制執行的已知環境狀態

基於業務角色,所有電腦的使用者經驗均一致

更加便於修改系統與新增功能

降低作業與桌上型電腦的支援成本

降低使用者的停機時間與中斷

IT 優勢

因引入角色型的系統管理/群組原則,可減少工作負擔

因實作原則型修補程式管理與安全性鎖定,能提高安全性

設定檔管理允許復原使用者系統與資料

持續的身分和存取管理著重於 Microsoft 身分和存取管理系列中所述之下列功能:

請注意,上述功能在任何組織中均屬於「身分和存取管理」服務的重要部分。如需詳細資訊,請參閱 Microsoft 身分和存取管理系列 (英文)。

基礎結構最佳化模型中,合理化層級的身分和存取管理可滿足集中化控制設定與安全性的需求。

需求: 集中化的目錄型設定與安全性

對象

如果您沒有目錄型的工具可集中管理 80% 以上桌上型電腦的設定與安全性,請閱讀本章節。

概觀

系統管理員在管理 IT 基礎結構方面面臨日益複雜的挑戰。您必須為許多類型的工作者 - 包括行動使用者、資訊工作者,或被指派嚴格定義工作 (例如資料輸入) 的其它工作者,提供並維護自訂的桌面設定。對標準作業系統映像進行變更,可能需要持續進行此作業。安全性的設定與更新必須高效地遞送到組織中所有的電腦與裝置。新進使用者無須昂貴的訓練,即可迅速發揮生產力。萬一電腦發生故障或嚴重損壞,必須在資料流失與中斷的情形最輕微的情況下還原服務。

階段 1: 評估

「評估」階段的主要目標在於檢視您目前具備哪些工具與程序,可維護標準的安全性與使用者的設定。您目前的原則可能接受手動管理,或者透過修補程式管理、必要軟體安裝,或併入標準磁碟映像的必要設定,加以自動化。透過這些動作以及標準化層級的其它作業,您的組織可維持標準的基礎;實作設定控制將可協助您移到基礎結構最佳化的合理化層級。

階段 2: 識別

「識別」階段當中,您要檢查建構管理原則、修補,與磁碟映像處理程序所執行的目前設定標準,然後再超越目前的實務作法,識別需要強制執行的安全性與設定控制項總數。這些設定可能是:

  • 電腦所需的元件,例如修補程式、Service Pack 或應用程式。

  • 電腦上需要執行的服務或應用程式,例如桌面防火牆或防毒應用程式。

  • 資料存取與傳輸規則,例如,不允許在立即訊息應用程式中傳輸檔案。

候選原則控制的設定定義工作,是建構管理的起始步驟。《核心基礎結構最佳化實作人員資源指南:基本至標準化層級》中也有建構管理的簡要說明。請閱讀 Microsoft Operations Framework (英文) 中建構管理的更多相關資訊。

階段 3: 評估與規劃

您在「評估與規劃」階段的目標,是針對所識別的設定與安全性設定,決定所實施的控制層級。控制層級可從純粹監視超出規範的設定,到主動將規範強制執行自動化等,各不相同。

具備設定監視工具,可報告超出規範的設定。在許多情況下,您的組織可能會想報告超出規範的情形,然後判定讓電腦重新合乎規範的修正動作。例如,若您要強制把一個應用程式安裝到所有的電腦,但這個應用程式所需要的驅動程式在桌面環境的某些硬體類型中並不存在,那麼最好的選擇可能是監視這些超出規範的實例,再決定個別的最佳解決方式。核心基礎結構最佳化的合理化層級要求貴組織使用群組原則來實作目錄型的建構管理基礎結構,並建議 (但不要求) 使用獨立的設定監視工具。

設定監視工具

Microsoft 可提供兩種工具,用來監視設定的遵循法規情況。第一種類型稱為 Best Practice Analyzer 或 BPA,其中含有 Microsoft 預先定義的最佳作法設定與報告。提供 Microsoft 伺服器產品的 BPA 工具免費下載: Microsoft Exchange Server (英文)、Microsoft Internet Security and Acceleration Server (英文) 和 Microsoft SQL Server (英文)。第二種類型的設定監視工具讓您的組織能專門依照您的組織與監視法規遵循需求,定義理想的設定或規則。此工具為 Systems Management Server 2003 Desired Configuration Monitoring (英文),也開放免費下載,供您為桌上型電腦與伺服器定義自訂的設定標準。您可以使用 Systems Management Server 2003 Desired Configuration Monitoring 來執行法規遵循稽核,發生特定超出法規的案例時,內含的報告也能通知您。除了這些工具之外,Microsoft 的合作夥伴也有一些軟體應用程式可用來定義與管理標準的設定。

Windows Server 中的群組原則

控制的下一個階段,是強制執行自動化設定。所需的設定與安全性設定之中,大部分可用標準原則加以定義。群組原則可讓您將許多超出法規的實例恢復遵循時所用的步驟自動化。

群組原則是一種基礎結構,用於提供一或多種需要的組態或原則設定,並套用至 Active Directory 環境中的一組目標使用者及電腦。這個基礎結構是由一個群組原則引擎和多個用戶端延伸所組成,負責把特定的原則設定寫入目標用戶端電腦。

群組原則和 Active Directory

系統管理員可透過建立群組原則設定的方式,使用群組原則來定義使用者和電腦群組的特定設定。這些設定是透過群組原則物件編輯器工具進行指定,內含於群組原則物件 (GPO) 中,由 GPO 連結到 Active Directory 容器中。群組原則設定會套用到這些 Active Directory 容器中的使用者和電腦。系統管理員可以只設定一次使用者的工作環境,然後就可倚賴系統依照定義來強制執行原則。

Active Directory 會依照站台、網域和組織單位 (OU) 來整理物件。網域和 OU 會以階層方式整理,讓其中的容器和物件便於管理。GPO 中所定義的設定只能在 GPO 連結到一或多個此類容器的情況之下套用。

藉由將 GPO 連結到站台、網域和 OU,您可以隨意把群組原則設定實作成為組織中寬廣或狹窄的部分。GPO 連結能以下列方式影響使用者和電腦:

  • 連結到站台的 GPO 會套用到站台中所有的使用者和電腦。

  • 連結到網域的 GPO 會直接套用到網域中所有的使用者和電腦,並且透過繼承套用到子系 OU 中所有的使用者和電腦。請注意,原則不會跨網域繼承。

  • 連結到 OU 的 GPO 會直接套用到 OU 中所有的使用者和電腦,並且透過繼承套用到子系 OU 中所有的使用者和電腦。

下圖顯示 GPO 如何套用到站台、網域與其下的 OU。

圖 3. 套用 GPO

圖 3. 套用 GPO

群組原則功能

透過群組原則,系統管理員可定義原則,用來決定應用程式與作業系統的設定方式,並且維持使用者和系統的安全性。下列章節說明群組原則的重要功能:

登錄型原則

為應用程式或作業系統元件提供原則時,最常見也最簡易的方式,就是實作登錄型原則。使用群組原則,您可以為應用程式、作業系統和其中的元件定義登錄型的原則設定。

安全性設定

群組原則可提供選項,讓系統管理員設定 GPO 範圍內部電腦與使用者的安全性選項。可以指定本機電腦、網域和網路的安全性設定。如需更多群組原則安全性與設定的相關資訊,請參閱 Windows Server 2003 安全性指南 (英文)、Windows XP 安全性指南 (英文)、Windows Vista 安全性指南 (英文) 和潛在威脅與因應對策指南 (英文)。

軟體限制

為了防禦執行 Windows XP、Windows Vista 和 Windows Server 2003 的電腦遭受病毒、垃圾應用程式,以及攻擊的侵擾,群組原則含有軟體限制原則。

軟體的發佈與安裝

群組原則能集中管理應用程式的安裝、更新與移除。

電腦和使用者指令碼

系統管理員可以利用指令碼將電腦啟動/關機和使用者登入/登出的作業自動化。

漫遊使用者設定檔和重新導向的資料夾

利用漫遊使用者設定檔,可將使用者設定檔集中儲存至伺服器,在使用者登入時載入。這樣一來,無論使用者使用哪台電腦,都能體驗一致的環境。

離線資料夾

網路無法使用時,透過「離線資料夾」功能可從本機磁碟存取網路檔案和資料夾。

Internet Explorer 維護

系統管理員可從支援群組原則的電腦,管理和自訂 Microsoft Internet Explorer® 的設定。

階段 4: 部署

「部署」階段主要著重於使用物件編輯器定義群組原則物件。GPO 應反映在「評估」和「識別」階段中所識別的項目。已對這項功能新增作業,同時把重點放在群組原則管理主控台和接續的作業。

在您的組織中實作群組原則之前,我們建議您先熟悉群組原則的重要概念 (英文)、如何使用群組原則物件編輯器 (英文) 和如何設定群組原則設定 (英文)。請參閱群組原則概觀 (英文),取得下列群組原則作業的詳細資訊:

作業

群組原則的作業特色在於,全部的工作都是透過群組原則管理主控台 (GPMC) 的使用者介面所執行。下表所列為使用群組原則管理主控台的相關資訊連結:

詳細資訊

如需更多群組原則的相關資訊,請造訪 Microsoft TechNet,然後搜尋「群組原則」。

若要瞭解 Microsoft 如何管理群組原則,請至 https://www.microsoft.com/technet/itshowcase/content/grppolobjectmgmt.mspx (英文)。

檢查點: 集中化的目錄型設定與安全性

需求

 

識別應監視或強制執行的設定。

 

選取用來監視和強制遵循設定的工具。

 

針對透過群組原則管理的設定,定義群組原則物件。

 

實作群組原則管理主控台以管理群組原則物件。

 

將群組原則套用到至少 80% 的桌上型電腦。

如果您已經完成上列步驟,則貴組織就已達到基礎結構最佳化模型中,「集中化的目錄型設定與安全性」功能合理化層級的最低要求。我們建議您依照有關建構與安全性管理的其他最佳作法資源的指引進行。

移至下一個自我評估問題