目前很多企业都采用微软活动目录作为企业的IT基础架构。活动目录的主要特性之一就是通过组策略在技术层面上帮助企业将IT管理规章落实到网络内的每一个用户和每一台设备。组策略作为企业集中化IT管理的核心组成部分,为企业提供了诸多的便利并促使IT进一步提升企业生产力。 另一方面,企业IT在享受组策略带来便利的同时,也面临着种种问题,包括庞大数量的策略条目管理、错误的策略下发导致的业务停顿,组策略管理员责任不明晰等,这些问题一旦出现将引发一连串的负面影响,甚至给企业带来致命的打击。如何才能在有效利用组策略来进行集中管理的同时确保策略部署的安全?本文将为您介绍“高级组策略管理 (AGPM)”如何帮助企业实现高效安全的组策略编辑与部署。 维奇公司的IT系统建设较早,基于历史和技术发展方面的原因,内部的IT环境是逐步建立起来的,由于在建立初期缺乏整体架构的科学指导,从而形成了松散型的IT环境。客户端、服务器各自独立,好像一个个“孤岛”,无法实现统一管理。在这种松散型环境中,一旦某个节点出现问题需要定位其位置,并需要繁琐的恢复过程来实现修复。生产系统应用软件的大规模部署需要相关人员在各个计算机上逐一手工安装,服务器和客户端需要大量人为设置,极大耗费人力,严重的影响了企业IT部门的工作效率。
站在企业IT部门的角度,受到当时技术手段的局限,编制的IT管理制度与策略只能印在员工手册上,无法完全被最终用户执行。IT管理规范的制订是为了防止信息系统出现如安全问题等风险以及其他不稳定状况,从而保障企业业务的正常运行。但由于IT人员无法监控与统一管理这种松散式环境中的桌面计算机与服务器、应用程序的运行等,常常会有规范只是一纸空文的感觉。
随着技术的不断发展与IT管理观念的改进,维奇公司开始转变IT环境的发展的思路,从简单考虑硬件及应用软件的采购与建设,转而考虑如何整合现有IT环境中的资源,将IT环境的管理由松散方式变为集中管理的方式,减轻日常管理维护负担,从而实现提升IT生产力。
目录服务的出现正好满足了企业对于集中管理的需求。以目前业内最为成熟的目录服务解决方案——微软Active Directory(活动目录)为例,活动目录可以将公司范围内的计算机设备、用户、共享资源(文件、打印机等)作为“目录”中的对象整合并管理,方便企业内的登录、查询及使用。此外,对于用户,活动目录还对用户身份验证的统一管理,企业员工账户信息全部由活动目录域控制器进行验证,可以实现通过单一的账户登录就可以访问企业域范围内所有具备权限的任何资源,从而简化了普通用户使用IT的复杂程度。基于以上优点,维奇公司将活动目录作为标准IT基础架构进行部署。
IT小职员粗心险些酿大错
今年是维奇公司部署活动目录和应用组策略的第7年。刚刚大学毕业的小王通过层层招聘正式进入维奇公司做了一名IT管理员。小王在活动目录和组策略方面具有较为丰富的理论知识,到了公司上班之后他就发现企业历经多年的积累,目前已经部署的组策略条目已经多达二百条以上,这些策略的功能包括软件部署策略,系统更新、安全设置以及企业桌面用户界面统一化设置等,涉及到企业IT的各个方面。如何维护好这些组策略条目成了小王最重要的工作。
一天临近下班的时候,公司IT部门接到财务部门的电话,财务部门要求将各个分公司的与财务系统相关客户端计算机的安全性做进一步的提升,其中一条要求便是如果用户在计算机上连续三次将登录密码输入错误,系统将会自动锁定半小时,30分钟之后才允许用户重新登录。IT主管和财务主管认为这样可以有效地防止非授权用户对财务系统的登录尝试,为财务系统提供更好的安全性。小王觉得自己表现的机会来了,在上学的时候小王曾经参加过活动目录和组策略相关知识的培训,想起Windows组策略中正好有符合需要的条
目,只需要将该条目编辑并部署就可以实现财务部门的要求。于是小王主动要求留下加班,让其他同事按时下班回家,他自己来完成这个任务,看到小王如此积极地工作, IT部门的其他同事放心的走了。
理论知识丰富的小王心想这下终于有实践的机会了,可以在公司的IT系统中自己编辑和部署组策略。小王将自己的桌面计算机连接到公司的活动目录域控制器上,快速的找到与要求有关的组策略编辑并部署,一杯咖啡的时间,策略就已经被指派到公司的IT环境中了。小王得意的下班回家,这次主动要求的加班并没有占用小王太多的时间,回家的路上小王还在期许明天主管对自己工作的肯定。
然而,有时现实和想象还是有差距的。第二天一早刚刚上班的时候,IT部门接到多个有关财务系统的电话,这些电话既有总部财务部的,也有各地分公司财务人员的,电话的内容都一样,无法登录自己的电脑。这么多的电话让IT部门一下忙碌了起来,很多IT工程师开始了问题的调查,他们发现打电话求助的这些财务人员有一个共同的特点,就是他们今天早上第一次输入用户账户密码的时候都存在错误的情况,然而这些错误使计算机无法登录了。正在一旁的小王也为出现这样的故障而纳闷,他顺手连接到公司的域控制器上看了一下自己昨晚配置的组策略,当时感觉脑袋都大了。原来小王昨晚因为疏忽,设置了一条错误的组策略。财务部门的要求是如果用户输入3次错误的密码,计算机将会被锁定30分钟,而小王设置的组策略条目是如果用户输入错误1次密码计算机将会被锁定30分钟。在这三十分钟里,那些错误输入登录密码的财务系统计算机将无法使用!
IT部门的多数同事都在忙于应对这次事故,小王主动去找IT主管说明了事实,IT主管删除并重新配置了有关财务系统账户安全的策略,在大家的忙碌中,30分钟很快过去了,那些计算机又可以正常使用了。好在问题出现在刚刚上班,没有影响到公司的业务,否则后果将不堪设想。IT主管告诉小王,公司IT部门曾经预计组策略在部署到一定程度后如果管理和应用不善,可能会造成一些问题。这些问题就包括策略与策略之间的冲突与相互影响、错误的策略下发导致的IT瘫痪等严重问题。于是IT部门要求管理员在真正下发一条策略之前需要在测试环境中进行测试,没有问题方可部署到真正的企业环境中。作为一名新员工,小王的疏忽可以被谅解。但那天小王始终因为自己的过失而后悔。
通过以上这个有惊无险的例子,我们可以发现大量的组策略管理与维护工作给企业IT专业人员带来了较大的压力,同时面临以下问题与挑战: 1. 策略的故障风险
企业IT专业人员在组策略设计的初期必须要考虑不同策略结合使用对于计算机与用户的影响,在策略真正部署到受管理的对象之前在测试环境中进行评估。在大多数情况下,已经配置并部署完成的组策略不会发生更改,但当企业IT经历诸如发展或系统升级这种周期性的变更时,组策略的变更问题就会浮现出来。以上这些问题对企业IT管理员水平提出了更高的要求,决定其在设计并部署组策略操作时应十分谨慎,避免出现因错误指派组策略而影响企业的正常IT运行。一条错误的组策略一旦被应用到企业的生产环境中,可能会带来灾难性的后果。 2. 策略审阅与变更控制
组策略方面的变更可能会影响到企业网络中的每台计算机设备和每一个用户。在变更组策略之后,如果没有进行相关审阅及测试,这些变更可能已经被应用到企业的IT环境中,导致消极影响。在出现问题时管理员无法及时将IT环境恢复到先前的健康状态。此外,现有的策略管理方式无法提供符合IT规范要求的功能,例如策略版本追踪,历史纪录和有效的恢复方式,使管理员不得不通过更多低效率的手工方式进行额外记录和操作。
3. 多管理员环境带来的影响
多数企业都拥有多名IT管理员来执行繁重的系统运维工作,每个管理员都具有相应的系统管理权限。在这种场景中,一条策略可能有多个设计者或被多个管理员所编辑,系统本身与其他管理员无法判断哪一位管理员对某一条策略进行了何种变更,从而无法确定是否应该允许或拒绝应用此策略。另一方面,多个管理员所设计并应用的不同组策略可能存在相互干扰,导致策略应用后无法实现希望的结果。
高级组策略管理——根治企业策略风险的一剂良方
为了解决以上这些问题,维奇公司的IT管理人员希望找到一个能够帮助其控制组策略的工具。这样的工具应当可以更好地将审阅、编辑和部署组策略对象的权限委派给适当的管理员;防止因在生产环境中编辑组策略而导致出现大规模故障;以及跟踪每条组策略的各个版本。为了这样的需求维奇公司的IT部门一直在探索。
2009年,在新的IT建设项目中,维奇公司通过批量授权的形式与微软签订了软件许可协议,并且获得了微软面向企业用户提供一种用于管理台式计算机的经济有效且极其灵活的解决方案——微软桌面优化套件(MDOP)。IT部门发现他们苦苦寻求的组策略管理工具就包含在MDOP中,这个增强的组策略管理工具叫做“高级组策略管理(AGPM)”。
高级组策略管理工具提供良好的服务器操作系统版本支持,无论是公司总部IT最新的Windows Server 2008 R2服务器,还是分公司依然在使用的Windows Server 2003服务器,都可以安装使用高级组策略管理(AGPM)工具。在管理员看来AGPM工具相当于在原来日常使用的组策略管理控制台上进行了扩展,在使用上无需重新学习,可以快速上手。同时扩展的功能满足了企业IT管理员在组策略管理与控制方面的各种需求。
图B. 高级组策略管理与组策略管理控制台集成
在前面我们提到了刚刚工作的小王因为疏忽错误的下发了一条组策略导致企业财务部门多台计算机无法登录的情况事例,假设一条错误更为严重的组策略被下发到企业IT环境中,可能会导致整个企业IT环境的瘫痪。在高级组策略管理(AGPM)工具出现之前,IT部门只能大量的通过人工方式避免此类问题,诸如测试,人工审核策略然后部署等等。很难实现IT的高效率与保证合规程度。现在,有了高级组策略管理(AGPM)提供的策略回滚功能,管理员一旦发现某一条策略在企业中产生了不良影响,可以通过快速回滚,将系统恢复到策略影响之前的状态。这样可以有效避免因错误部署组策略而影响企业业务的正常运行,将IT对生产环境的负面
干扰降到最低。
随着企业的不断发展,对IT管理的要求也越来越高。维奇公司从最初将IT管理制度印刷在纸张上供员工参考,到后来通过活动目录组策略在技术层面上管理与控制企业内部IT,技术和管理理念的进步促使企业IT部门需要将管理过程标准化,并符合相关的IT管理指导规范。其中较为重要的一条就是实现变更控制。以前一条组策略在编辑并下发后,可能需要经历若干次的修改来保证其随时符合企业实际需求,但在技术层面上无法记录每次策略变更的内容与日期时间等信息,使日后管理人员无法有效地监控策略的变更。通过应用高级组策略管理(AGPM)工具,其内含的版本控制功能可以自动化的实现版本管理。高级组策略管理会为每个组策略对象保留一份更改历史记录。管理员可以将组策略对象的任何版本部署到生产环境中,同时可以根据需要快速地将组策略对象回滚到较早的版本。高级组策略管理还可以比较组策略对象的不同版本,并显示已添加、更改或删除的设置。这样,管理员就可以方便地审阅更改,然后批准这些更改并将其部署到生产环境中。从而实现对组策略管理的精确掌控。
图. 组策略对象的历史记录
虽然活动目录中的组策略提供了丰富的委派模型。允许您将管理委派给区域管理员和面向任务的管理员,它同时又允许管理员批准自己的更改。现在,高级组策略管理中提供了一个基于角色的委派模型,该模型在工作流中添加了审阅和批准步骤,如下图所示。
图. 基于角色的委派
为了支持此委派模型,高级组策略管理定义了三个特殊的角色:
• •
审阅者。具有审阅者角色的管理员可以查看和比较组策略对象。但是,他们不能编辑或部署组策略对象。
编辑者。具有编辑者角色的管理员可以查看和比较足策略对象。他们可以从存档中签出、编辑策略对象,以及将组策略对象签入到存档中。此外,还可以请求部署组策略对象。
批准者。具有批准者角色的管理员可以批准组策略对象的创建和部署。(当具有批准者角色的管理员创建或部署组策略对象时,会自动进行批准。)
•
维奇公司的IT部门利用基于角色的委派特性,为管理员和组分配不同的角色。像小王这样的初级IT管理人员可以只关注组策略的编辑,而审核则是由经验丰富的IT主管完成,一条新的策略在经过主管的审核后才能真正的下发到企业中执行,使IT管理人员责任更加明晰,有助于降低策略管理中的风险,同时提升IT管理效率。
结论
高级组策略管理可以将企业组策略管理与应用中的难题一一化解,使管理员可以在熟悉的界面上使用更强大的管理与控制功能,有效地避免很多由于误操作而导致的严重故障。对于具有庞大繁杂IT基础架构的大型企业,高级组策略管理带来的价值更为突出。此外,由于此套件随批量授权许可提供,并保持微软一贯的易用体验,可以使企业通过低成本高价值的管理手段实现符合IT治理需求与规范的策略管理解决方案。
因篇幅问题不能全部显示,请点此查看更多更全内容