江西联通联通域管理系统介绍Compliance身份管理需要管理太多的账户、设备和对象简单的密码安全的访问应用系统和网络HelpDesk成本不断上涨服务器和终端管理终端标准化配置和管理服务器及终端与恶意软件进行斗争持续保持最新的系统状态议程什么是ActiveDirectory?身份验证和安全访问管理的基础终端安全DesktoplockdownEncryptedfilesystemAuto-certificateenrollment简化身份管理应用系统的单点登录轻松管理用户、服务器和网络资源为其他产品提供标准的互操作性接口平均IT的运维工作量轻松进行任务委派可定制化的管理界面，放心使用针对角色、团队或个人进行任务分派配自动执行运维工作集中进行软件部署和管理强化数据访问选择性的对终端进行设置AD是一个多用途的目录系统作为NOS基础目录应用系统所使用的目录为网络设备提供支持整合域&服务器没有用户数量上限增强了AD的可扩展性=减少硬件投资域的数量精简使用AD的组策略:统一管理服务器、终端、用户的配置自动执行IT所定的策略自动的系统更新和应用程序安装贯穿于整个企业的安全配置实施终端标准化安全模板可以确保整个企业范围内的信息安全防止最终用户通过本地终端对企业安全策略进行修改软件限制策略可精确控制软件运行对服务器、终端的活动进行审计在组策略内拥有数以百计的策略进行调控细化的密码控制策略密码历史,最小/最大密码长度,密码复杂性定义账户锁定策略账户锁定阀值,账户锁定时间,账户复位时间多种身份验证方式智能卡,生物识别,其他的安全标识通过Kerberos&LDAP对非Windows系统进行安全验证使用AD进行单点登录（SSO）通过组策略控制拨号&VPN访问客户端通过任意方式连接均被策略控制一旦客户端连接,网络访问控制组件能:隔离，检查客户端健康状况健康的客户端将被允许访问网络健康检查为通过的客户端将被隔离被隔离的客户端可以通过访问相关资源，以修复问题远程访问用户需通过增强的验证OnlineMeetings议程终端管理平台集团设立终端管理平台，整体收集和管理各终端管理平台集团及全国各省均设立终端管理平台，负责本省终端的管理。省分局域网拓扑架构设计一个森林：统一管理多个子域：相对独立的管理边界域设计森林根域位于集团，管理整个域的架构。各省域作为子域和根域之间建立双向可传递的信任关系。各省子域管理本省账户和计算机。本站点内数据实时复制站点与站点间的数据，在压缩后定时进行复制集团Default站点作为中心站点DNS是域名系统(DomainNameSystem)的缩写一种组织成域层次结构的计算机和网络服务命名系统DNS与活动目录集成定位DC、GC动态更新如果缓存中记录存在，直接从缓存中提取记录回应客户端如果DNS服务器上的区域中存在记录，从区域提取记录回应客户端如果DNS服务器从缓存和区域中都不能回答请求，它会根据配置请求其他DNS服务器使用SRV记录定位DC无须知道目标的FQDN，就可以找到服务器并获得其IP网络边缘设置公网DNS设立企业根DNS服务器集团、省份活动目录服务器兼做DNS服务器时间同步域推荐策略域策略包括系统策略、终端策略、用户策略、桌面配置策略、安全权限策略等建议各子域采用，但可以根据各省的现实情况进行一定修正的策略由省内管理单位自行决定配置内容账户策略审核策略用户权限分配安全选项终端计算机屏幕锁定禁止自动播放IE定制内部信任站点添加策略禁止远程协助议程Q&A