IT基础架构规划实施方案文档格式.docx

IT基础架构规划实施方案文档格式.docx

《IT基础架构规划实施方案文档格式.docx》由会员分享，可在线阅读，更多相关《IT基础架构规划实施方案文档格式.docx（18页珍藏版）》请在冰豆网上搜索。

1.2具体目标

1.2.1IT基柮架构

通过AD域的创建，对所有网络及电脑进行统一规划，建了一个安全且统一的IT架构，不仅提升网络了的速度，而且提升了数据安全管理及网络安全级别，避免了人为失误或网络病毒，导致企业重要数据流失或系统瘫痪，造成本不必要的成本损失。

1.2.2虚拟化平台

构建一套多个物理CPU的虚拟化管理平台（请根据授权方式决定是服务器或者CPU数），前期建议采用两台宿主机+SAN存储的方案实现。

借助虚拟基础架构软件的体系结构，创建一个以软件形式实现的统一硬件映像，用以运行操作系统和应用程序。

公司能够通过该软件虚拟化计算、存储和网络系统，并对其进行集中管理。

产品提供的企业级虚拟机可以提高服务器的利用率、性能和系统运行时间，从而降低提供企业服务的成本和复杂性。

通过利用现有的技术，该软件可以降低推广新应用程序的风险和平台成本。

可以通过该软件体系结构提高企业效率、增强灵活性和加快响应速度来降低IT成本。

1.2.3数据库平台

构建SQLServer高可用或者OracleRAC实现负载均衡/并行处理平台，可以大用户量的并发访问分担到多台节点机上并行处理和单个用户重负载的运算分担到多个节点机上做并行处理。

1.2.4信息沟通平台

在AD域的基础上，架构Exchange邮件服务器与Skype沟通平台，让全使用统一的邮件平台，对内不仅可以对所有邮件进行管理，同时也统一了企业对外形象；

而通过Skype的使用，为XXXX建立了一个的内部沟通平台，而且可以对外沟通，不仅可以提升沟通速度，更是降低了分公司之间及与总部间的所有电话沟通成本，以及对外的部分电话沟通成本。

1.2.5企业培训通道

企业培训对一个公司的长期有力的发展至关重要，但因为分公司或办事处分布在全国或全球各地，导致无法做到统一培训，或企业文化不能有效传承，而通过Skype的相关功能，建立远程培训体系，不仅培训方便，加强了培训体制，更是节约了不少的培训成本。

1.2.6文档体系

每个企业皆有非常重要的数据或资料需要做分类归档，不仅要方便查看，而且在规定时间内绝不允丢失，而通过Sharepoint的文档管理功能，可以对企业所有重要文档进行分类管控，配合权限管理，形成一个完善文档管理体系，同时也可以通过关键字或模糊查询等功能，对所需文档快速调取。

1.2.7企业内外门户

企业的对外门户或网站，是企业形象最重要的表现形式之一，企业门户的专业与否，直接影响到顾客对企业实力与品牌的认可，同时零售顾客可以通过企业的商务网站直接进行订购或得到相应服务，而企业内部门户，是企业员工的重要工作平台，同时也是企业向员工展现企业文化、制度、新闻等，能让员工对企业更有认同感与归属感，而通过SharePoint的建立企业门户强功能，完成可以达成这一目标。

2项目建设内容

IT构架犹如建楼，基础是重中之重，从硬件层面构架之后，需要进行关键性维护的是活动目录系统，这个是用户账户，企业安全，信息安全的基础，在此之上，是用户经常能够涉及到的邮件系统，内部沟通系统，再上端的就是信息化IT所能够面临的，应用/业务平台的关联，数据，信息的一致，多种应用之间信息的交互。

所以规范的企业IT信息架构应如下表所示：

1.

根据我们初步评估及调研，针对XXXXIT基础架建设建议分为三个阶段，本方案主要讨论第一阶段建设内容。

如下：

第一阶段：

AD活动目录、文件服务器、企业邮件和服务器平台创建，初步完成构建IT基础架构构建，实现企业信息化规范管理。

第二阶段：

企业内部日常办公的应用系统规划和部署，构建统一沟通平台和企业内部知识库体系，以保障企业内部的基础架构的完善性和高效性。

第三阶段：

进行企业内部信息和业务的整合，完善企业内部信息管理，项目管理体系。

3项目实施规划

3.1虚拟化平台设计

XXXX总部数据中心整体规划2个集群节点+存储的架构，将所有的虚拟机VHD文件放在存储中。

为了满足高可用的需求，可以将两个物理宿主机配置成故障转移群集的模式，实现运行在宿主机器上的虚拟机可以自动切换，以防止其中一台宿主机发生故障影响业务应用系统。

如下图是群集部署架构图：

通过微软Hyper-V技术实现的包括管理服务器，生产服务器，存储，管理网络，生产网络，和存储网络平台。

如下图应用程序虚拟化架构平台：

根据上述设计架构，可以满足企业日后扩展需求，可以任意增加服务器虚拟化群集节点，来满足服务器应用增长的需求。

3.2活动目录（AD）平台设计

3.2.1活动目录（AD）概述

活动目录（AD）为我们提供了一个安全的边界，它为我们企业的用户、设备、提供了统一的身份认证，只有合法被许可的用户和设备才能与我企业的网络和资源进行通讯、共享企业资源。

活动目录（AD）主要提供以下功能：

基础网络服务、服务器及客户端计算机管理、用户服务、资源管理、桌面配置、应用系统支撑。

3.2.2活动目录（AD）设计

根据AD物理结构主要是规划站点拓扑，考虑到XXXX的地理分布情况，应该使用单域多站点拓扑来规划AD物理结构。

由于单域结构，域中DC直接要进行数据复制，所以如集团总体AD架构和邮件系统规划把北京、长沙和上海三个地方把设置为分站点，这样做的的好处：

1、优化AD的复制；

DC之间要同步AD数据，假如不划分站点，这个同步每时每刻都在进行，而且数据是不压缩的。

如果划分了站点就可以控制站点到站点间的AD复制。

2、优化客户端的登录，当划分了站点以后，DNS会替客户端找本站点内的DC，这样就加快了身份验证过程。

经过上面的规划和配置后用户的身份验证都会点本地站点内的DC完成，比如说，长沙分公司的用户会去长沙站点内的DC去做身份验证，上海分公司的用户会去上海站点内的DC去做身份验证。

注：

其实AD站点的划分就是通过IP子网来实现的，所以在划分AD站点之前首先要规划好公司的网络地址。

3.2.2.1OU设计

OU设计以地理、组织、对象、项目或管理为基础。

我们选择的OU设计主要基于单位组织结构。

OU的主要功能就是为了管理而划分组织；

管理员可以使用OU为组织创建层级管理结构。

∙总部综合参考行政部门划分和组织架构、岗位级别划分。

∙按区域划分和人员级别和特殊部门（如财务等）划分。

∙方便统一部署组策略，原则：

组策略尽量应用在最高级别的OU单元，组策略的数量在满足需求的前提下越少越好。

∙所有服务器另外建一个单独的OU。

具体结构如下图

3.2.2.2组策略设计

A、全域安全性策略

默认域管理员账户

将默认域管理员账户administrator改名，分配强口令。

在日常管理工作中不使用该账户。

同时禁用Guest帐户。

域和企业管理员组

严格控制DomainAdmins和EnterpriseAdmins组成员。

域管理员组审慎分配域管理员权限，对于并非需要域管理员才能完成的操作，通过权限委派来实现。

日志策略

在域控制器上配置日志文件足够的尺寸，根据需要调整/关闭日志覆盖。

身份鉴别通过口令/USB等方式验证用户，用户身份具有唯一标识符。

口令策略

建议建立强壮口令策略，包括至少6位以上的口令，口令复杂性（大写，小写，字母和特殊字符至少包含其中的三类），定期口令修改等。

绑定用户IP地址

使用的静态IP，分部门和区域划分VLAN。

关闭管理工具

为了避免用户自己使用管理工具误操作对系统安全和稳定造成的损害，可以通过组策略，关闭用户对一些管理工具的访问。

建议关闭：

∙控制面板（全部控制工具或者一部分）；

∙对网络配置的修改（IP配置）；

∙管理控制台（MMC）；

∙注册表编辑器；

∙其他需要关闭或者限制的工具。

配置Windowsupdate

所有计算机的自动更新都指向企业内部的WSUS服务器。

对打印设备进行权限控制

可以针对用户进行打印设备的权限控制。

IE设置

可以通过组策略对用户的InternetExplorer进行集中式设置，建议设置项为：

∙设置代理服务器；

∙修改收藏夹；

∙调整安全设置（如禁止ActiveX控件和JavaScript脚本运行）。

通过以上设置，可以配置用户使用代理服务器访问Internet，限制用户访问某些网站，避免用户受到网页蠕虫的攻击等，极大地提高安全性。

控制应用程序

通过组策略，还可以限制特定用户运行指定的应用程序，或者只能运行制定的应用程序。

外观管理

根据企业形象的需要，可以对用户的壁纸进行统一管理，自动使用指定的壁纸。

类似的，可以对用户的桌面外观，风格进行统一配置。

审核策略

开启对用户账户登录，用户账户管理和管理权限使用等事件的审核。

禁止外部人员访问服务器

对于可能有外部人员访问企业网络（比如供应商的雇员），为了提高安全性，可以通过设置安全策略，调整：

∙关闭GUEST账户；

∙设置“从网络上访问此计算机”的权限；

∙来限制未加入域的计算机和未登录到域的用户，对指定服务器的访问，如在访问服务器时，需要输入有效域用户账户和口令，或者直接提示不允许访问。

这将消除潜在威胁。

控制对重要服务器的访问

对某些非常重要的服务器，可以通过安全策略，对“从网路访问”、“本地登录”、“匿名访问”进行限制，只允许经过授权的合法用户访问。

备份和恢复策略

建立定期备份ActiveDirectory数据的机制。

B、应用在严格管理部门的策略

●最小化权限

为普通用户授予Users权限，为需要完成某些管理工作的用户账户委派完成工作所需的最小范围内的最小权限。

该权限用户即使中毒后，病毒获得的也是受限账户的权限，即使它可以运行，如果不能提升权限，就难以对系统造成大的破坏。

限制用户安装、卸载程序及设备

User权限无法装载和卸载设备及软件

禁止用户本地登录

收回本地管理员用户密码，组策略限制用户交互式登录

禁止USB端口使用

通过脚本限制用户使用USB存储设备，但是不影响USB鼠标键盘的使用。

限制网络用户在本地的权限。

●高级的权限

为高级用户授予PowerUser权限,为需要完成某些管理工作的用户账户委派完成工作所需的最小范围内的高级权限。

该权限用户拥有大部分管理权限，但也有限制。

因此，PowerUser可以运行经过验证的应用程序，也可以运行旧版应用程序；

用这类账户登陆系统时，病毒仍然受到一些限制。

PowerUsers可以完成：

✓除了Windows2000或WindowsXPProfessional认证的应用程序外，