浅谈活动目录的商业价值与特性

 

活动目录的商业价值与特性

 

 

摘要

     

随着信息化时代的到来，人类愈来愈感觉到信息产业所带来的巨大的经济效益。对于在商业运做中保持竞争力而言，网络化计算变得比以往任什么时候候都更为重要。为此，就要求现代化的操做系统具备管理存在于构成网络环境所需分布式资源中的一致性和关联性的机制。目录服务提供必定空间，用于存储与基于网络的实体相关的信息，例如应用程序、文件、打印机和人员等。同时，该服务也提供用于命名、描述、定位、存取、管理、备份、以及保证独立资源信息安全性的一致性方法。

 

关键字: 活动目录，域，域控制器，对象，组织单位，站点

Abstract

 

Keywords: Active Directory, Domain, Domain Controller, Object, Organizational Unit, Site

 

目录

活动目录的商业价值与特性... - 1 -

摘要... - 1 -

目录... - 2 -

1.活动目录概述... - 2 -

    1.1 什么是活动目录... - 3 -

    1.2 为何要提供目录服务... - 4 -

    1.3安装活动目录所须要的软件和硬件平台。... - 5 -

2. 活动目录的商业价值与特性... - 6 -

    2.1 提升了企业用户的工做效率... - 6 -

          2.1.1企业网络打印机的部署... - 6 -

         2.1.2 用户信息方便、快速查询... - 10 -

         2.2加强了整个网络系统的安全性... - 12 -

          2.2.1加强员工安全策略的设置... - 12 -

         2.2.2防病毒服务器的部署... - 14 -

    2.3更容易访问文件的方法；更可靠，更少的宕机时间..19 -

         2.3.1 DFS文件服务器的部署... - 19 -

         2.3.2 使用基于域的DFS负载均衡... - 21 -

    2.4 减小了IT管理负担与成本... - 24 -

        2.4.1利用GPO实现软件分发策略... - 24 -

        2.4.2 用户端管理... - 25 -

        2.4.3 任务的委派... - 27 -

     2.5 与应用程序的集成... - 29 -

          2.5.1 与Windows 网路服务集成... - 29 -

         2.5.2 与应用集成... - 30 -

3 活动目录成功使用的案例分析... - 32 -

     3.1 微软Windows Server 2003平台帮助李宁公司优化IT管理... - 32 -

     3.2 微软Windows Server 2003帮助华北戴尔特公司搭建高效的IT系统... - 36 -

     3.3 微软Windows Server 2003平台帮助北京西伯尔通讯科技有限公司快速发展... - 39 -

4 总结与展望... - 42 -

参考文献... - 43 -

 

1. 活动目录概述

 

1. 1 什么是活动目录

活动目录是Windows 2000网络体系结构中一个基本且不可分割的部分。它在Windows NT 4.0操做系统的域结构基础上改进而成，并提供了一套为分布式网络环境设计的目录服务。活动目录使得组织机构能够有效地对有关网络资源和用户的信息进行共享和管理。另外，目录服务在网络安全方面也扮演着中心受权机构的角色，从而使操做系统能够轻松地验证用户身份并控制其对网络资源的访问。同等重要的是，活动目录还担当着系统集成和巩固管理任务的集合点。

总的来讲，活动目录的这些功能使组织机构能够将标准化的商业规则贯彻于分布式应用和网络资源当中，同时，无需管理员来维护各类不一样的专用目录。以下图（1-1）所示：

图（1-1）

活动目录提供了对基于Windows的用户帐号、客户、服务器和应用程序进行管理的惟一点。同时，它也帮助组织机构经过使用基于Windows的应用程序和与Windows相兼容的设备对非Windows系统进行集成，从而实现巩固目录服务并简化对整个网络操做系统的管理。公司也可使用活动目录服务安全地将网络系统扩展到Internet上。活动目录所以使现有网络投资升值，同时，下降为使Windows网络操做系统更易于管理、更安全、更易于交互所需的所有费用。

 

1.2 为何要提供目录服务

对更增强大、透明且高度集成的目录服务的不断需求是由爆炸性增加的网络计算所致使的。随着局域网（LAN）、广域网（WAN）规模与复杂性的不断提升和这些网络不断被连入Internet，以及应用程序对网络的依赖程度不断加强并不断被连接到协做企业网中的其它系统上，对目录服务的需求也日渐增多。基于下列缘由，目录服务成为扩展的计算机系统中最重要的部件之一。

 

集中管理：活动目录集中组织和管理网络中的资源信息。活动目录比如一个图书馆的图书目录，图书目录存放了这个图书馆的图书信息，便于管理。Windows 2003的活动目录就是Windows网络这个“图书馆”的一个“目录”，经过它能够方便地管理各类网络资源。

便捷的网络资源访问：活动目录容许用户一次登录网络就能够访问网络中的全部该用户有权限访问的资源。而且，用户访问网络资源时没必要知道资源所在的物理位置。活动目录容许快速、方便地查询网络资源。网络资源主要包含用户账户、组、共享文件夹、打印机等。

可扩展性：活动目录具备强大的可扩展性。目录能够随着公司或组织的增加而一同扩展，容许从一个网络对象较少的小型网络环境发展成大型网络环境。

目录服务兼任管理工具和用户工具。随着网络中对象数量的增长，目录服务变得必不可少。目录服务在一个庞大的分布式系统中发挥着网络集线器的做用。致力于这些需求，Windows 2000 服务器版引入了活动目录——即一套用于改进Windows网络操做系统管理、安全性和互操做性的完整的目录服务集。

 

1.3 安装活动目录所须要的软件和硬件平台。

建立域必须先安装一台域控制器（DC），DC上存储着域中的资源信息，如名称、位置和特性描述等信息。经过在一台服务器上安装活动目录，就会将这台计算机安装成DC。

一台计算机要安装成DC，必须具有如下几个条件：

* 安装者必须具备本地管理员权限

* 操做系统版本必须知足条件（Windows Server 2003 除Web版外都知足）

本地至少有一个分区是NTFS文件系统

* 有TCP/IP设置（IP地址、子网掩码等）

* 有相应的DNS服务器支持

* 有足够的可用空间

当知足以上几个条件后，就能够安装活动目录了。

 

2. 活动目录的商业价值与特性

 

2.1 提升了企业用户的工做效率

 

2.1.1企业网络打印机的部署

 

1、企业所面临的问题：

* 普通用户不会安装。

* 安装过程当中不知道打印机的IP，打印服务器等安装信息。

* 一台物理打印机坏了，不知道若是链接到另外一台物理打印机上。

 

2、通常的解决方法：

* 管理员帮助安装。

* 远程运行脚本。（须要必定的技术）

* 借助昂贵的管理软件实现。（第三方软件）

 

3、AD环境下实现的方法：

（1）、管理员在打印服务器上安装多台打印机，网络拓扑图以下图（2-1）。（具体安装过程略）

图（2-1）

注意：

一、可设置多台打印机链接到一台打印设备上。

二、打印优先级的设置要合理。

三、打印机的共享名以及注释要代表打印机的物理位置，其次属于哪一个部门。

四、打印机使用的权限要设置合理，好比说公司里各个部门主管对本部门的物理打印机具备管理权限，只须要将各部门主管加入到一个创建好的全局组，而后将全局组加入本地域组Print Operators中。注：对于DC上安装的打印机，Print Operators组里的组或用户默认具备管理的权限。以下图（2-2）所示：

图（2-2）

 

其次要对其它全部员工设置打印的权限。可使用AGDLP规则。好比说将公司里各个部门里的员工加入各自对应的全局组，而后将各个部门的全局组加入到一个本地域组，而后给本地域组赋予打印的权限。以下图（2-3）所示：

图（2-3）

 

（2）、在活动目录中发布打印机。打印机发布到活动目录后，就能够进行统一组织和管理。其余域用户在加入域的客户机上能够经过“网上邻居”中的“搜索 Active Directory”来进行搜索，为了提升查找速度，能够在活动目录的对象中设置针对“打印机”进行搜索。（注：若是“网上邻居”中没有“搜索 Active Directory”,则须要设置资源管理器的“工具”→“文件夹选项”→“常规”→“任务”，勾选“在文件夹中显示常规任务”）

 

（3）、在成员客户机上添加网络打印机。域用户搜索到全部打印机以后，能够选中所须要的打印机，好比说，你是工程部里的员工，你只须要从搜索的选项中选择工程部里的打印机，而后单击鼠标右键，选择“链接”便可。不须要记忆打印服务器的IP地址了。办公效率显然获得提升。（注：为了查看是否已安装上了网络打印机，能够在“开始”→“设置”→“控制面板”→“打印机和传真”里进行查看。）若是你是一位售前人员，常常在公司里各个部门里走动。只要有必定的权限也能够经过搜索活动目录链接到其余打印机上。以下图（2-4）

图（2-4）

 

4、安装AD以后的优点：

* 域用户不须要太深的技术，就能够经过简单的方法快速部署网络打印机。

* Print Operators组里的组或管理者可以更加方便地管理本地打印机和网络打印机。

* 因为打印机的具体信息都储存在AD数据库中，提升了查询的速度。

 

2.1.2 用户信息方便、快速查询

 

1、企业所面临的问题：

2 主管或员工须要快速查询其余员工的电话号码或其它信息。

2 须要根据简单的关键字，好比“姓名”进行查找。

2、通常的解决方法：

2 使用excel、word或者其它的软件作电子表，查找方法不是很灵活。

2 使用内部网站发表电话表，不过要随时更新，带来很多麻烦。

2 将须要的资料打印出来分发到各个部门，查找起来更为不便。

3、AD环境下实现的方法：

（1）、安装Exchange邮件服务器，为全部域用户创建邮件帐户，所有用户的邮件名称能够以姓名拼音填写。好比说域用户名叫郝俊峰，域名为benet.com，就能够命名为： [email]haojunfeng@benet.com[/email]

（2）、域中用户除了普通查找其它同事的信息外，还能够经过Outlook Express里的联系人进行查找。管理员查找工程部主管的信息，除了在活动目录里进行查找以外，还能够直接用鼠标经过双击联系人“工程部主管”进行查看。同时，工程部主管也能够随时更新本身的信息。以下图（2-5）所示：

图（2-5）

 

安装AD以后的优点：

2 管理人员或者员工不须要再花费大量的时间去查用户资料。

2 用户的资料能够获得随时更新，避免了及时联系不到同事所带来的没必要要的麻烦。

2 避免了打印过多的资料，节约了成本。

2.2 加强了整个网络系统的安全性 2.2.1加强员工安全策略的设置

1、企业所面临的问题：

2 用户使用的账号密码过于简单、不符合复杂性要求。

2 默认状况下，任何人均有彻底访问权限。

2 用户常常忘记密码，给网络管理员带来了必定的负担。

 

2、通常的解决方法：

2 由网络管理员给用户指定密码，或是用户把密码集中起来告诉给网络管理员进行修改。

2 数千台计算机的密码修改会引来安全问题。

2 用户常常把一些复杂的密码写在小纸条上，而后贴在本身的电脑桌上或其余隐蔽的地方，形成了一些不安全的隐患。

 

3、AD环境下实现的方法：

（1）、普通域用户的域安全策略的设置。打开“开始”→“程序”→“管理工具”→“域安全策略”→“安全设置”→“账户策略”，而后设置密码策略，账户锁定策略以及Kerberos策略。以下图（2-6）

图（2-6）

好比说能够设置域用户密码必须符合复杂性要求，密码长度最小值为7位，账户锁定阈值为5次（避免了一些***远程试探密码）等等。除此以外还有设置用户的一些权利分配，好比说不容许普通域用户更改系统时间，远程关机等等。

（2）、在默认域安全设置里更改加入域的全部计算机管理员用户名（针对客户机生效），以下图（2-7）所示，避免了一些***猜想用户名的手段。同时也能够取消在启动登录时显示上一次登录的用户名。以下图（2-8）所示。

图（2-7）

图（2-8）

 

4、安装AD以后的优点：

* 管理员只须要在域安全策略里进行设置就可让全部加入域的成员计算机生效，减小了管理负担。

* 除此以外，还有更多的域安全设置，管理员能够针对企业的需求自行选择。

 

2.2.2防病毒服务器的部署

 

1、企业所面临的问题：

* 单机版的防病毒软件查杀病毒能力较差，得不到及时的更新。

* 企业中一台计算机感染就可能致使其它全部计算机感染。

* 管理员不能集中管理，只能逐一查杀病毒。

 

2、通常的解决方法：

* 管理员从网上下载更新的病毒库，而后分发给每台客户机进行病毒库的更新。

* 常常地还原系统，恢复到正常的状态。

 

3、AD环境下实现的方法：

当前的网络防病毒系统有好多，这里以一款主流的网络防病毒系统Symantec AntiVirus 9.0企业版为例进行介绍，更多的介绍它如何和活动目录结合在一块儿的。

（1）、首先安装Symantec AntiVirus服务器程序，其次安装Symantec系统中心，再次配置网络防病毒系统为一级服务器，最后安装Symantec AntiVirus 客户端。（具体详细过程略）图（2-9）是Symantec AntiVirus服务器组

图（2-9）

 

（2）、启动病毒历史记录和事件日志管理，能够集中查看网络上的病毒和其余威胁活动以及扫描状况。以下图（2-10）所示：

图（2-10）

 

（3）、Symantec AntiVirus 预设了使用于大多数用户的防病毒策略，用户能够根据我的须要调整设置，能够设置为自动防御、手动扫描、调动扫描等，以下图（2-11）、（2-12）、（2-13）所示：

图（2-11）

图（2-12）

图（2-13）

 

（4）、可针对服务器和客户端的防病毒策略进行设置，好比说启用客户端自动防御功能，并锁定该功能，不容许客户进行配置和更改等等。以下图（2-14）所示：

图（2-14）

 

（4）、利用Symantec 系统中心为服务器以及客户端实施病毒升级，防病毒服务器能够链接到Symantec系统中心的LiveUpdate 服务器下载新的病毒定义，服务器在网络非繁忙阶段将其推送到它们管理的防病毒客户端。

 

4、安装AD以后的优点：

* 防病毒服务器与活动目录结合能够部署多台防病毒服务器而后链接到多台防病毒客户端，更加有利于病毒库更新以及客户端的病毒的查杀工做的进行。

* 扫描策略的设置不须要管理员的干预就能够在规定的时间给客户端查杀病毒，增长了必定的灵活性。

* 服务器和客户端的防病毒策略的设置能够禁用普通用户一些功能的设置，更加有利于客户端的管理。

 

2.3 更容易访问文件的方法；更可靠，更少的宕机时间 2.3.1 DFS文件服务器的部署

 

1、企业所面临的问题：

* 在大多数环境中，共享资源在多台服务器上的各个共享文件夹中。要访问资源，用户必须记住多条共享文件夹的路径，很不方便。

* 因为多台服务器上共享资源过多，缺少集中的管理，管理上带来太多的不便。

2、通常的解决方法：

* 用户访问多台服务器上的共享资源时，必须输入每台服务器的IP地址或者计算机名，好比说 \\172.16.3.5\或\\benet-pc1\

* 网络管理员管理共享资源时，需链接到每台服务器进行管理，带来了不便，同时也为服务器的安全形成了必定的隐患。

3、AD环境下实现的方法：

（1）、在任何一台域成员服务器上建立基于域的DFS根目录。具体建立方法为：“开始”→“程序”→“分布式文件系统”→“操做”→“新建根目录”→而后按照新建根目录向导进行建立。

注意：

一、选择根目录类型为域根目录。（域根目录支持自动复制并使用Active Directory 存储DFS配置。）

二、建立完根目录以后，而后新建链接，将全部共享的目录所有挂载上去就能够了。

三、用户能够经过访问DFS根目录就能够访问其余全部挂载上

的共享文件。以下图（2-15）所示。每一个部门的资料在每一个部门的服务器上。只是逻辑上链接到了一块儿。

图（2-15）

 

四、注意各部门文件夹权限的设置。好比说你时财务部的员工，想访问经理部内部资料，就会出现下面图（2-16）所示的结果。

图（2-16）

 

（2）、管理员可在AD中发布DFS根目录，而后经过管理DFS根目录来管理其余服务器上共享的文件。

注意：若是企业规模比较大，每一个部门员工比较多，能够为每一个部门建立一个基于域的DFS根目录。

4、安装AD以后的优点：

* 用户不须要再记忆过多的服务器路径就能够经过根目录进行访问，给工做上带来了许多便利。

* 管理员只须要管理域DFS根目录就能够管理全部服务器上的共享文件夹，管理上更加驾轻就熟。

 

2.3.2 使用基于域的DFS负载均衡

1、企业所面临的问题：

* 网络中的文件服务器在有的时候不当心宕机了，管理员每每须要很长的时候才能恢复文件服务器的正常运做。

* 企业员工在文件服务器宕机以后不能及时访问共享的文件，给工做带来不便。

2、通常的解决方法：

* 管理员从备份中恢复服务器，恢复中资源不可用。

* 普通用户花时间处处找资料，耽误工做时间。

3、AD环境下实现的方法：

（1）、在搭建好的域DFS根目录上选择“新建根目录目标”而后按向导选择另一台服务器做为根目录目标。（也能够选择多台服务器）

（2）、创建好以后，根目录里共享的文件就能够在根目录目标所选择的服务器里进行自动文件复制。以下图（2-17）所示：

图（2-17）

 

（3）、从下图（2-18）能够看出全部文件服务器上存放的共享目录都存在于两台DFS服务器根目录里。

图（2-18）

 

4、安装AD以后的优点：

* 基于域的DFS根目录在多个服务器之间具备自动复制文件的功能，给数据备份带来了方便。

* DFS根主服务器宕机了，其余的DFS根副服务器能够接替DFS根主服务器的工做，不会影响员工的正常访问。管理员也有足够的时间去维护。

* 用户能够经过网上邻居搜索活动目录，找到本身所须要的共享目录。

* 当用户须要在文件服务器上下载文件时，活动目录站点和DFS能够自动帮用户选择最近的服务器下载。

 

2.4 减小了IT管理负担与成本 2.4.1利用GPO实现软件分发策略

 

1、企业所面临的问题：

* 网络管理员在布置域中的软件时，经常会遇到要在多台计算机上对软件进行安装、修复、卸载和升级操做。若是在每台计算机上重复这些操做，工做量大，还容易出错。

* 普通用户在使用软件时每每误操做形成软件不能正常使用。

* 一些普通用户不会安装软件，也不知道须要的软件在哪？

2、通常的解决方法：

* 管理员对每台机子进行安装、修复、卸载和升级操做。

* 管理员写安装步骤或是给用户进行培训。

* 电话支持。

3、AD环境下实现的方法：

（1）、管理员将员工必需安装的软件包（必须时.msi文件，以及必要的相关安装文件，安装其余格式的文件必需经过第三方软件实现）经过GPO指派出去。

（2）、其它域用户只要登录到域上，指派的软件包就会自动安装，并出如今“开始”菜单里。以下图（2-19）所示：

图（2-19）

（2）、也能够选择“发布”软件包。当用户登录到计算机时，发布的程序显示在“控制面板”→“添加或删除程序”中。用户根据本身的须要选择安装那个软件。不过指派比发布更具备强制性。

4、安装AD以后的优点：

* 管理员只须要指派所须要的软件，即可强制安装到指定的成员计算机或OU上。

* 对于发布的软件包，用户在控制面板里能够自行选择安装所须要的软件，给用户带来更多的使用空间。

 

2.4.2 用户端管理

1、企业所面临的问题：

* 用户端的管理能够说是网络管理中成本至关高的一部分，给企业经济上带来必定的负担。

* 各类用户的需求，占用管理员大量的时间。

* 效率低，不易维护。

2、通常的解决方法：

* 给每台客户机进行设置安全策略。

* 公司严格制定一些规章制度进行管理。

3、AD环境下实现的方法：

（1）、针对每一个部门创建属于他们本身的OU，而后为每一个OU创建一个全局组，将部门里的全部域用户加入到全局组里，最后将全部全局组加入到本地域组里，而后给本地域组赋予权限将影响到全部的域成员。（AGDLP规则）。以下图（2-20）所示：

图（2-20）

（2）、组策略的设置。好比说要禁用用户修改公司的主页，使用“控制面板”，“运行“窗口，“安全设置”，“修改桌面背景”……好比说针对发展部门设置的组策略：阻止更改桌面墙纸。组策略生效以后，全部发展部门里的员工用本身的域账户登录到域控制器时，都不能更改桌面墙纸。以下图（2-21）所示：

图（2-21）

也能够针对发展部计算机进行策略的设置。（注意：全部策略的设置遵循LSDOU原则）

4、安装AD以后的优点：

* 管理员只须要在活动目录上设置相应的组策略，便会影响到必定范围内的用户或计算机。

* 策略设置以后，普通用户在每台计算机上也只是有仅需的权限，只有这样，才能将更多的时间用在工做上。

2.4.3 任务的委派

1、企业所面临的问题：

* 部门主管但愿对本部门的员工信息进行管理。

* 分公司管理员须要管理分公司的IT信息。

2、通常的解决方法：

* 管理员会创建一些额外的管理用户对员工信息进行管理。（权限不易控制，将会引发很多的麻烦）

* 普通员工常常会打电话寻求帮助。

3、AD环境下实现的方法：

（1）、利用活动目录的委派功能为每个部门主管委派必定的权限。好比说：建立、删除以及管理用户账户……以下图（2-22）、（2-23）所示：

图（2-22）

图（2-23）

（2）、管理员若是想取消某个主管的权限，能够先启用“Active Directory用户和计算机”→“查看”→“高级功能”，右击制定的OU“属性”→“安全”→“高级”→“权限”，选择委派了任务的账户条目，单击“删除”按钮便可。

4、安装AD以后的优点：

* 为管理员分担管理上的负担，也提升了工做效率。

* 各部门主管具备了必定的权限，可以更好的管理本部门里的域用户。

 

2.5 与应用程序的集成

2.5.1 与Windows 网路服务集成

1、企业所面临的问题：

* 众多服务管理较复杂。

* 某些服务的管理问题，如DHCP、DNS……。

2、通常的解决方法：

* 独立地管理各服务，给管理者形成了必定的负担。

* 服务功能较单一,不能和其余服务紧密地结合到一块儿。

3、AD环境下实现的方法：

（1）、安装DHCP服务器，而后利用管理员权限在活动目录里进行正式注册。注册以后，其它用户安装的DHCP服务器，只要没有在活动目录里注册，就会被屏蔽掉。

（2）、在安装活动目录的过程当中同时安装DNS，DNS在此过程当中起到两大做用：一、定位DC。二、域名的命名采用DNS标准

4、安装AD以后的优点：

* 经过与AD集成为网络服务提供额外的控制功能。

* 经过活动目录更好的管理Windows网络服务。

2.5.2 与应用集成

1、企业所面临的问题：

* 众多应用管理较复杂

* 应用管理如何优化，好比说Exchange、ISA、Live Communication、SMS、第三方软件SAP……

2、通常的解决方法：

* 经过网络邮件服务器进行邮件的存储，安全性较低，没法管理。

* 下载一些功能简单的网络防火墙进行网络的过滤。如天网、瑞星网络防火墙等

* 经过简单的聊天工具进行技术的交流，如腾讯的QQ、电信的飞信等。

3、AD环境下实现的方法：

（1）、经过活动目录将Exchange和Live Communication集成在一块儿，而后能够发送电子邮件的时候，你就能够看到对方是否在线。若是对方在线就能够发送及时消息。在此过程当中，能够利用活动目录进行聊天存档，远程管理等。以下图（2-24）所示：

图（2-24）

 

（2）、经过活动目录利用ISA Service防火墙制定Web服务器发布规则、邮件服务器发布规则，FTP服务器的发布规则以及其它一些服务器的发布规则。以下图（2-25）所示：

图（2-25）

 

（3）、全部的应用服务均可以放到活动目录里集中存储，而后经过一些活动目录管理工具对它们进行集中管理。如图（2-26）

图（2-26）

 

4、安装AD以后的优点：

2 经过活动目录与应用集成简化管理。

2 极大的下降了管理和运营成本。

2 普通用户使用各个服务器提供的服务更加灵活、方便。

 

3 活动目录成功使用的案例分析

3.1 微软Windows Server 2003平台帮助李宁公司优化IT管理

1、背景状况

李宁公司成立于 1991 年，为中国领先的体育用品的创造企业，也是一种健康生活方式的传播者、推进者。李宁牌系列产品赢得了众多荣誉，成为 1991 年以来中国体育表明团参加历次重大国际比赛的专用装备，李宁牌服装和运动鞋系列不只被推选为中国明星产品，并且被评为全国服装行业十大名牌之一。

李宁公司自 2004 年 6 月 28 日正式在香港主板市场上市后，公司步入了一个新的快速发展阶段，巩固了在中国的体育用品市场中的领导地位。

李宁公司不只是体育用品行业的领导者，在信息化建设上，也是同行业的领航者。 1999 年 2 月，李宁公司率先在服装行业中开始建设先进的 ERP 系统，对主要的关键业务优化了流程，下降了管理成本，并将业务系统化。 2002 年，李宁公司开始进行 E-POS 系统建设，在原有的销售点 POS 的基础上进一步改形成电子化的零售管理系统。

信息技术的实施，目的在于简化企业的经营管理流程，并有效下降企业的总体拥有成本（ TCO ），从而增长企业利润，加强企业的市场竞争力。企业在 IT 系统发展到必定规模以后，每每会陷入 IT 管理的困难。为此，计世资讯（ CCW Research ）的研究人员，访问了李宁公司的 IT 管理人员，试图经过对李宁公司优化计算环境，提升 IT 价值的经验进行总结和分析，为更多的企业用户改善 IT 管理提供参考。

2、解决方案

2008 年奥运会在中国的举办，为中国本土的体育用品供应商提供了史无前例的发展契机，为了应对业务迅速发展的挑战，李宁公司加大了信息化建设的力度，这其中也包括对公司总体办公环境的管理改善。目前，李宁公司的总体 IT 应用环境很是庞大，包括多种业务系统，以及分布在全国各分支机构的数千台 PC 和其余终端。庞大的 IT 应用环境使得公司在 IT 管理上也十分复杂，系统补丁的更新、硬件和软件资源的部署、各个部门及员工的权限分配和管理都成了一个很是棘手的问题。

为了优化公司 IT 系统的管理，李宁公司于 2005 年，在微软公司及其合做伙伴 恒逸软件（上海）有限公司 的支持下，在企业中部署了 Windows Server 2003 平台，并参照 IT 管理的最佳实践经验，进行了 IT 系统的优化和整合。

1. 增强补丁和防病毒管理

公司使用微软的 SMS 软件来对统一管理补丁和防病毒软件， SMS 软件自动完成公司内部数千台 PC 以及终端的软件更新、补丁部署以及防病毒软件的管理工做，大大简化了以往由信息管理人员才能完成的工做

2. 实施统一的域和权限管理

公司在微软 Windows Server 2003 的系统平台上，使用 AD （活动目录）对域和用户权限进行统一管理。方案采用单域设计，即在全国范围内只设置一个管理域，由 2 台位于北京的域控制器（ DC ）管理。单个域的设计能够简化域的管理，下降了投入成本。

3. 简化应用软件复杂性

李宁公司在简化 IT 系统的复杂性方面，下了很大力气。公司的服务器平台采用 Windows Server 2003 ，统一采购并部署了微软的桌面系统和办公软件 Office 等应用软件，前端和后端的产品因为都由微软公司提供，大大下降了软件应用的复杂性。

4. 利用系统管理软件

恒逸软件为李宁公司部署了 SMS （ Systems Management Server ）， 实施资产管理、安全补丁的分发、应用部署、 移动设备管理和应用使用状况追踪等，替代这些以往由信息管理人员手工来完成的工做。

5. 选择外包服务

在外包服务上，李宁公司将办公环境中的软、硬件维护都外包给专业的 IT 技术服务商，李宁公司本身的 IT 人员，投入到能创造更大价值的业务系统开发、实施和优化中，合理的配置了 IT 资源。

3、优点与收益

经过实施上述的系统优化、整合和增强管理的工做，李宁公司利用 Windows Server 2003 平台，在 IT 管理方面，获得了明显的改进，包括：

大大提升了网络性能和安全性

公司采用了微软的 Windows Server 2003 进行网络管理，经过单一的域管理，能够明确安全界限，能够统一实施安全机制策略，从而能够有效防止机密信息的泄漏。经过单点网络登陆，管理员能够管理分散在网络各处的目录数据和组织单位，只有通过受权的网络用户才能够访问网络指定位置的资源。同时， SMS 软件的应用，使得软件更新和防病毒软件自动、按期的进行，也提升了系统的安全性能。所以，该方案的实施大大提升了公司网络的性能和安全性。

简化操做，提升了工做效率

经过创建 AD 和 SMS ，使公司的信息管理人员简化了平常的操做，提升了工做效率。据李宁公司的相关人员介绍，在设立域管理器以前，公司在全国各地的服务器管理起来十分复杂，常常出现混乱的情况。在通过系统优化和整合以后，不只能够把全国范围内的服务器进行统一管理，并且在各个区域、部门和人员的权限分配和处理上明显简化了管理流程。系统平台和应用软件都采用微软的产品，也使得用户下降了使用的复杂性，提升了员工的工做效率。

下降了总体拥有成本

系统的实施简化了操做，下降了公司的总体拥有成本。统一的权限设置和自动进行的补丁和防病毒管理，大大节省了公司的维护 IT 系统方面的人员支出，而且为终端用户提供了更稳定的工做环境。另外，因为目前有众多熟悉微软公司产品的 IT 服务供应商，李宁公司能够在较低的成本支出状况下，获得专业的服务，这是 Linux 没法比拟的优点。

 

3.2 微软Windows Server 2003帮助华北戴尔特公司搭建高效的IT系统

 

1、背景状况

华北戴尔特印刷包装有限公司（如下简称华北戴尔特）成立于1999年，是唐山第一包装有限公司与英国DELAT印刷包装有限公司合资组建的大型印刷包装企业。

通过几年的快速发展，华北戴尔特已成为国内印刷品和印刷服务的领先厂商，公司占地面积27000平方米，员工接近300人，为国内同行业规模最大的厂商之一，客户涉及众多国内外知名企业。华北戴尔特近几年管理水平获得不断的提高，于2005年经过了ISO9001质量管理体系认证；2006年又经过了ISO14001环境管理体系认证。

华北戴尔特的信息化建设开始于2001年，当时只是在公司内部使用PC和一些简单的应用软件。随着公司规模的不断扩大，在2005年11月初，公司全面启动了ERP项目。开始经过应用IT技术来帮助企业得到持续的竞争能力和扩大自身业务发展，由于IT技术能够帮助公司准确地把信息传达给客户，并帮助公司控制生产流程，实现及时交货。

业务的发展和IT系统的扩大，对华北戴尔特公司的IT系统平台提出了新的需求。如何选择并搭建公司的IT系统基础平台，能够高效、成熟、低成本地知足公司的信息处理要求呢？华北戴尔特公司开始进行解决方案的规划。

2、解决方案

华北戴尔特之前的系统平台为Windows NT Server4.0，已经没法知足公司的业务发展须要。在进行系统规划时，公司考察了两种不一样的方案，一种是将NT 4.0升级为Windows Server2003；另一种是采用Linux平台。Linux平台的采购成本比较低，彷佛更有吸引力，可是，考虑到公司的IT人员对Linux产品不熟悉，基于Linux的成熟的解决方案也较少，最终公司选择了易用性强、维护简便、具备丰富的解决方案和合做伙伴支持的Windows Server 2003，开始将Windows NT Server 4.0升级，并基于此平台，构建公司的信息系统。

在微软合做伙伴北京元恒时代公司（如下简称元恒时代）的支持下，2005年12月，华北戴尔特成功将系统平台由NT4.0升级为Windows Server 2003。公司的数据存储采用SQL Server2000，桌面系统采用Windows XP。

华北戴尔特具备多台运行Windows Server 2003平台的服务器，其中有一台做为域控制器，为整个公司的系统服务。在进行此服务器系统升级前，元恒时代协助公司检查了原先服务器的硬件配置和NT 4.0系统的补丁状况。在系统升级后，元恒时代又帮助公司扩展了网络的AD（活动目录），应用新的组策略。在一个星期的运行过程当中，元恒时代对网络情况进行了详细的监控，重点检查了域控制器策略、安全设置、本地策略、数字签署通讯中的组策略和账户锁定等设置，确认用户由NT 4.0平滑升级至Windows Server 2003。

3、优点与收益

系统平台安全可靠

Windows Server 2003为制造行业提供了安全稳定的系统平台。在使用了Server2003后，华北戴尔特的网络管理员贾海风说：“Server2003的安全性能和系统稳定性比NT4.0有了很大提升，系统的漏洞比之前少了不少，系统也很是稳定，几乎不多须要从新启动。”

系统性能获得明显提高

Windows Server 2003的性能比NT4.0有了很大提升，不只支持网络负载平衡，能够在群集中各个结点之间平衡传入的IP 通信；集成的AD（活动目录）更能够有效、快速地为各个部门和用户分配相关权限；Server2003还集成了IIS6.0（Internet Information Service），能够更安全地在Web 上执行各类业务。

系统操做简便，易于管理，提升了工做效率

“咱们当初选择了将系统升级为Windows Server2003，没有选择Linux平台，主要缘由就是Server2003操做简单，管理人员比较熟悉，上手很快，管理起来也很方便。” 贾海风说，“公司目前的IT系统已经具备了必定的规模，目前咱们的网络管理人员仅有两人，就能够保障系统的安全运转。”Windows Server 2003新增了Microsoft 软件更新服务 (SUS)和服务器配置向导等自动管理工具来帮助实现自动部署；新的组策略管理控制台 (GPMC) 也使得管理组策略更加容易。

大大下降了用户的使用成本

与Unix/Linux平台相比，Windows Server 2003平台应用程序兼容性很是好，并且有众多的应用软件和合做伙伴支持，大大下降了用户建设和应用IT系统的总体拥有成本，尤为是对于制造行业用户。

 

 

3.3 微软Windows Server 2003平台帮助北京西伯尔通讯科技有限公司快速发展

 

1、背景状况

北京西伯尔通讯科技有限公司（如下简称西伯尔通讯）成立于2003年，注册资金4000万。公司主要从事面向3G的核心增值服务、基于WCDMA和CDMA-EVDO的移动通讯设备及无线通讯模块等业务。公司在管理方面十分规范，于2005年经过ISO9001国际质量管理体系认证，现有员工600多人。

西伯尔通讯的信息化建设在开始阶段只是PC的简单应用，随着公司业务的拓展和市场形式的变化，原有的系统已经难以知足公司的须要，主要表如今两个方面：

一是国内的电信增值市场竞争激烈。随着我国加入WTO，国外的电信运营商也进入到国内的电信市场，本来竞争激烈的电信增值市场竞争将更加激烈。

西伯尔通讯自身的业务也在不断扩展，公司在近年取得了良好的销售业绩，自身规模也在逐渐扩大，原有的信息平台难以适应公司快速发展的须要。

在这种状况下，西伯尔通讯决定从新组建公司的信息化平台，努力搭建一个快速、有效、简便易用的平台。

2、解决方案

在平台的选择上，西伯尔通讯通过了慎重的考虑，决定采用Windows Server 2003做为系统平台。公司信息管理部门的吴东志说：“咱们选择了Windows Server 2003，是由于咱们一直在使用Windows平台，对其比较熟悉，并且系统平台维护起来比较简便，系统很是稳定。”

在微软的合做伙伴北京元恒时代公司的支持下，西伯尔通讯于2005年初，搭建了以Windows Server2003为平台的信息化系统，前端的桌面使用微软的Windows XP和Office办公软件。在Windows Server 2003平台上，公司还使用ISA Server 2000做为防火墙，员工上网统一经过ISA Server 2000。

做为通信服务提供商，西伯尔通讯在开发各类项目时，尤为是中小项目时，采用的也是微软的开发工具。产品研发部门的刘彩俊说：“咱们在产品开发上，前端使用ASP.net，后台数据库使用SQL Server2000，产品开发的周期短，开发人员不多，可是项目开发顺利，容易实现，开发的界面友好，用户很容易接受。”

3、优点与收益

西伯尔通讯搭建了以Windows Server2003为平台的系统，大大提升了公司的信息管理水平，同时使用微软产品来进行项目开发也为用户提供了良好的产品体验，实现了共赢。具体来讲，为公司带了如下收益：

Windows平台操做简单，管理方便

西伯尔通讯的系统平台所有采用Windows Server 2003，Windows平台保证了用户在操做上的简单和便利，提升了管理效率。“应用了Windows Server 2003后，用户感受使用很是便利，操做简单，效率很高，” 西伯尔通讯信息中心的吴东志说：“这种操做的简化，也为公司节省了大量的人力成本，公司的服务器和PC，均由我本身一我的来维护，因为系统平台的稳定，平常的维护工做量并不大。”

网络安全性能可靠稳定

公司采用Windows Server 2003后，网络的安全性能也有了很大的提升，网络的安全性再也不是西伯尔通讯担忧的问题。在用户上网方面，经过设置ISA Server 2000的三个层次和45种报警方式，能够安全可靠地过滤各类信息，系统十分稳定，不多出现问题。

提供了良好的客户体验

对于一家以提供服务的公司来讲，客户对其产品和服务的反映就是对公司最好的评价，在这方面，西伯尔通讯赢得了客户很好的口碑。

公司内部的信息化平台采用了Windows Server 2003，同时在项目开发上也采用了微软的产品，如SQL Server、ASP.net等。公司内部使用微软产品也给项目开发带来了不少经验，在产品开发上也更驾轻就熟，在产品的界面设计、流程规划等方面更能知足客户的需求，为客户带来更好的切身体验，增长了客户产品价值。

“客户对于咱们采用ASP.net和SQL Server设计的产品很是满意，认为界面美观、人性化，操做方便，符合以往的操做习惯，这也给了咱们莫大的信心和鼓舞，咱们从此还会有更多采用微软开发软件进行设计的产品，为用户带来更多、更好的产品体验。” 刘彩俊说到。

更多成功案例请访问： [url]http://www.microsoft.com/china/[/url]

 

4 总结与展望

今天，关于人员、应用程序和资源的信息遍及于大多数企业的信息系统之中。网络已从对互联设备的松散集成发展为由相互依存的资源所组成的复杂生态系统。为此，网络操做系统所要提供的服务将远远不止是简单的文件共享与打印服务。网络操做系统目前须要对分布式网络资源间的关系进行透明化管理。

因为目录服务提供这些基础的网络操做系统功能，它必须与用于管理和提供安全性的操做系统机制紧密结合在一块儿，从而保证网络的完整性和保密性。基于Windows 域中的活动目录服务为管理和保护Windows的用户账号、客户及应用程序提供了一个焦点。此外，活动目录被设计成能与现有系统、应用程序及设备中的非Windows目录相兼容，以提供单一的空间和稳定的方式来管理整个网络基础结构。这样，活动目录经过减小管理员管理目录信息所需的空间以使组织机构现有的投资获得升值，同时，全面下降电算化成本。

 

参考文献

一、 活动目录的介绍：

[url]http://support.microsoft.com/search/default.aspx?mode=a&query=%u6d3b%u52a8%u76ee%u5f55&catalog=LCID%3d2052&2052comm=1&2052mt=1&res=20&spid=3198&range=[/url]

二、 使用活动目录的条件

[url]http://support.microsoft.com/search/default.aspx?mode=a&query=%E5%AE%89%E8%A3%85%E6%B4%BB%E5%8A%A8%E7%9B%AE%E5%BD%95&spid=global&catalog=LCID%3D2052&2052comm=1&2052mt=1&res=20[/url]

三、 活动目录与域的结合

[url]http://support.microsoft.com/search/default.aspx?mode=a&query=%E6%B4%BB%E5%8A%A8%E7%9B%AE%E5%BD%95+%E5%9F%9F&spid=3198&catalog=LCID%3D2052&2052comm=1&2052mt=1&res=20[/url]

四、 打印服务器的部署方法

[url]http://support.microsoft.com/search/default.aspx?mode=a&query=%E6%89%93%E5%8D%B0%E6%9C%8D%E5%8A%A1%E5%99%A8&spid=global&catalog=LCID%3D2052&2052comm=1&2052mt=1&res=20[/url]

五、 域安全策略的设置

[url]http://support.microsoft.com/search/default.aspx?mode=a&query=%E5%9F%9F%E5%AE%89%E5%85%A8%E7%AD%96%E7%95%A5&spid=global&catalog=LCID%3D2052&2052comm=1&2052mt=1&res=20[/url]

六、 防病毒服务器Symantec AntiVirus的部署

[url]www.symantec.com[/url]

七、 活动目录的软件分发策略

[url]http://support.microsoft.com/search/default.aspx?mode=a&query=%E8%BD%AF%E4%BB%B6%E5%88%86%E5%8F%91&spid=global&catalog=LCID%3D2052&2052comm=1&2052mt=1&res=20[/url]

八、 活动目录的任务委派功能

[url]http://support.microsoft.com/search/default.aspx?mode=a&query=%E4%BB%BB%E5%8A%A1%E5%A7%94%E6%B4%BE&spid=global&catalog=LCID%3D2052&2052comm=1&2052mt=1&res=20[/url]

九、DFS文件服务器的部署

[url]http://support.microsoft.com/search/default.aspx?mode=a&query=dfs&spid=global&catalog=LCID%3D2052&2052comm=1&2052mt=1&res=20[/url]