XXXX IT 基礎(chǔ)架構(gòu)規(guī)劃方案 Version

　1.1.0

　 目

　錄 1

　項(xiàng)目建設(shè)目標(biāo) ....................................................................................................................... 3

　1.1 總體目標(biāo) ......................................................................................................................... 3

　1.2 具體目標(biāo) ......................................................................................................................... 4

　1.2.1IT 基柮架構(gòu) ........................................................................................................ 4

　1.2.2 虛擬化平臺(tái) ........................................................................................................ 5

　1.2.3 數(shù)據(jù)庫平臺(tái) ........................................................................................................ 5

　1.2.4 信息溝通平臺(tái) ................................................................................................... 5

　1.2.5 企業(yè)培訓(xùn)通道 ................................................................................................... 6

　1.2.6 文檔體系 ............................................................................................................. 6

　1.2.7 企業(yè)內(nèi)外門戶 ................................................................................................... 6

　2 項(xiàng)目建設(shè)內(nèi)容 ............................................................................................................................ 6

　3 項(xiàng)目實(shí)施規(guī)劃 ............................................................................................................................ 8

　3.1 虛擬化平臺(tái)設(shè)計(jì) ........................................................................................................... 8

　3.2 活動(dòng)目錄（AD）平臺(tái)設(shè)計(jì) ....................................................................................... 9

　3.2.1 活動(dòng)目錄（AD）概述 .................................................................................... 9

　3.2.2 活動(dòng)目錄（AD）設(shè)計(jì) ................................................................................. 10

　3.3 文件服務(wù)器設(shè)計(jì) ........................................................................................................ 16

　3.4 系統(tǒng)補(bǔ)丁管理 ............................................................................................................. 17

　3.5 郵件平臺(tái)設(shè)計(jì) ............................................................................................................. 18

　3.5.1 郵件需求概述 ................................................................................................ 18

　3.5.2 郵件平臺(tái)架構(gòu)設(shè)計(jì) ....................................................................................... 19

　4 項(xiàng)目服務(wù) .................................................................................................................................. 21

　4.1 服務(wù)概述 ..................................................................................................................... 21

　4.2 項(xiàng)目計(jì)劃 ...................................................................................................................... 22

　4.3 任務(wù)劃分 ...................................................................................................................... 22

　4.4 交付清單 ...................................................................................................................... 23

　5 建議配臵 .................................................................................................................................. 23

　5.1 軟件配臵 ...................................................................................................................... 23

　5.2 系統(tǒng)配臵 ...................................................................................................................... 24

　6 項(xiàng)目服務(wù)費(fèi)用 ......................................................................................................................... 25

　1 1 項(xiàng)目建設(shè)目標(biāo)

　1 1.1 總體目標(biāo)

　本方案采用基于微軟的企業(yè)基礎(chǔ)架構(gòu)解決方案，企業(yè)活動(dòng)目錄架構(gòu)其實(shí)就是一個(gè)企業(yè)目錄管理服務(wù)平臺(tái)。他可以將企業(yè)不同系統(tǒng)之間的資源以目錄集成的方式進(jìn)行統(tǒng)一管理，集成電子商務(wù)運(yùn)營，包括數(shù)據(jù)、應(yīng)用程序、業(yè)務(wù)流程以及門戶等各個(gè)方面。如下圖基于微軟的基礎(chǔ)架構(gòu)平臺(tái)，讓所有的系統(tǒng)在共享功能方面由一個(gè)獨(dú)立的目錄系統(tǒng)進(jìn)行統(tǒng)一管理，形成一個(gè)強(qiáng)壯靈活的現(xiàn)代企業(yè) IT 架構(gòu)，能更好的滿足企業(yè)發(fā)展的需求。

　 通過 AD，Exchange，Skype，SharePoint，SQL Server 系統(tǒng)或信息工具的導(dǎo)入，將為 XXXX 建立一完善的、高效的、安全的信息化平臺(tái)，為 XXXX 的管理及長期發(fā)展保駕護(hù)航，為高層的決策分析提供了精確而快速的數(shù)據(jù)報(bào)表，為員工的日常工作提供了統(tǒng)一溝通平臺(tái)，提升了工作效率，減少工作失誤，降低企業(yè)整體營運(yùn)成本。

　2 1.2 具體目標(biāo)

　1.2.1 IT 基柮架構(gòu)

　通過 AD 域的創(chuàng)建，對所有網(wǎng)絡(luò)及電腦進(jìn)行統(tǒng)一規(guī)劃，建了一個(gè)安全且統(tǒng)一的 IT 架構(gòu)，不僅提升網(wǎng)絡(luò)了的速度，而且提升了數(shù)據(jù)安全管理及網(wǎng)絡(luò)安全級別，避免了人為失誤或網(wǎng)絡(luò)病毒，導(dǎo)致企業(yè)重要數(shù)據(jù)流失或系統(tǒng)癱瘓，造成本不必要的成本損失。

　2 1.2.2 虛擬化平臺(tái)

　構(gòu)建一套多個(gè)物理 CPU 的虛擬化管理平臺(tái)（請根據(jù)授權(quán)方式?jīng)Q定是服務(wù)器或者 CPU 數(shù)），前期建議采用兩臺(tái)宿主機(jī)+SAN 存儲(chǔ)的方案實(shí)現(xiàn)。借助虛擬基礎(chǔ)架構(gòu)軟件的體系結(jié)構(gòu)，創(chuàng)建一個(gè)以軟件形式實(shí)現(xiàn)的統(tǒng)一硬件映像，用以運(yùn)行操作系統(tǒng)和應(yīng)用程序。公司能夠通過該軟件虛擬化計(jì)算、存儲(chǔ)和網(wǎng)絡(luò)系統(tǒng)，并對其進(jìn)行集中管理。產(chǎn)品提供的企業(yè)級虛擬機(jī)可以提高服務(wù)器的利用率、性能和系統(tǒng)運(yùn)行時(shí)間，從而降低提供企業(yè)服務(wù)的成本和復(fù)雜性。通過利用現(xiàn)有的技術(shù)，該軟件可以降低推廣新應(yīng)用程序的風(fēng)險(xiǎn)和平臺(tái)成本。可以通過該軟件體系結(jié)構(gòu)提高企業(yè)效率、增強(qiáng)靈活性和加快響應(yīng)速度來降低 IT 成本。

　3 1.2.3 數(shù)據(jù)庫平臺(tái)

　構(gòu)建 SQL Server 高可用或者 Oracle RAC 實(shí)現(xiàn)負(fù)載均衡/并行處理平臺(tái)，可以大用戶量的并發(fā)訪問分擔(dān)到多臺(tái)節(jié)點(diǎn)機(jī)上并行處理和單個(gè)用戶重負(fù)載的運(yùn)算分擔(dān)到多個(gè)節(jié)點(diǎn)機(jī)上做并行處理。

　4 1.2.4 信息溝通平臺(tái)

　在 AD 域的基礎(chǔ)上，架構(gòu) Exchange 郵件服務(wù)器與 Skype 溝通平臺(tái)，讓全使用統(tǒng)一的郵件平臺(tái)，對內(nèi)不僅可以對所有郵件進(jìn)行管理，同時(shí)也統(tǒng)一了企業(yè)對外形象；而通過 Skype 的使用，為 XXXX 建立了一個(gè)的內(nèi)部溝通平臺(tái)，而且可以對外溝通，不僅可以提升溝通速度，更是降低了分公司之間及與總部間的所有電話溝通成本，以及對外的部分電話溝通成本。

　5 1.2.5 企業(yè)培訓(xùn)通道

　企業(yè)培訓(xùn)對一個(gè)公司的長期有力的發(fā)展至關(guān)重要，但因?yàn)榉止净蜣k事處分布在全國或全球各地，導(dǎo)致無法做到統(tǒng)一培訓(xùn)，或企業(yè)文化不能有效傳承，而通過 Skype 的相關(guān)功能，建立遠(yuǎn)程培訓(xùn)體系，不僅培訓(xùn)方便，加強(qiáng)了培訓(xùn)體制，更是節(jié)約了不少的培訓(xùn)成本。

　6 1.2.6 文檔體系

　每個(gè)企業(yè)皆有非常重要的數(shù)據(jù)或資料需要做分類歸檔，不僅要方便查看，而且在規(guī)定時(shí)間內(nèi)絕不允丟失，而通過 Sharepoint 的文檔管理功能，可以對企業(yè)所有重要文檔進(jìn)行分類管控，配合權(quán)限管理，形成一個(gè)完善文檔管理體系，同時(shí)也可以通過關(guān)鍵字或模糊查詢等功能，對所需文檔快速調(diào)取。

　7 1.2.7 企業(yè)內(nèi)外門戶

　企業(yè)的對外門戶或網(wǎng)站，是企業(yè)形象最重要的表現(xiàn)形式之一，企業(yè)門戶的專業(yè)與否，直接影響到顧客對企業(yè)實(shí)力與品牌的認(rèn)可，同時(shí)零售顧客可以通過企業(yè)的商務(wù)網(wǎng)站直接進(jìn)行訂購或得到相應(yīng)服務(wù)，而企業(yè)內(nèi)部門戶，是企業(yè)員工的重要工作平臺(tái)，同時(shí)也是企業(yè)向員工展現(xiàn)企業(yè)文化、制度、新聞等，能讓員工對企業(yè)更有認(rèn)同感與歸屬感，而通過 SharePoint 的建立企業(yè)門戶強(qiáng)功能，完成可以達(dá)成這一目標(biāo)。

　2 2 項(xiàng)目建設(shè) 內(nèi)容

　IT 構(gòu)架猶如建樓，基礎(chǔ)是重中之重，從硬件層面構(gòu)架之后，需要進(jìn)行關(guān)鍵性維護(hù)的是活動(dòng)目錄系統(tǒng)，這個(gè)是用戶賬戶，企業(yè)安全，信息安全的基礎(chǔ)，在此

　之上，是用戶經(jīng)常能夠涉及到的郵件系統(tǒng)，內(nèi)部溝通系統(tǒng)，再上端的就是信息化IT 所能夠面臨的，應(yīng)用/業(yè)務(wù)平臺(tái)的關(guān)聯(lián)，數(shù)據(jù)，信息的一致，多種應(yīng)用之間信息的交互。所以規(guī)范的企業(yè) IT 信息架構(gòu)應(yīng)如下表所示：

　根據(jù)我們初步評估及調(diào)研，針對 XXXXIT 基礎(chǔ)架建設(shè)建議分為三個(gè)階段，本方案主要討論第一階段建設(shè)內(nèi)容。如下：

　第一階段：

　AD 活動(dòng)目錄、文件服務(wù)器、企業(yè)郵件和服務(wù)器平臺(tái)創(chuàng)建，初步完成構(gòu)建 IT 基礎(chǔ)架構(gòu)構(gòu)建，實(shí)現(xiàn)企業(yè)信息化規(guī)范管理。

　第二階段：企業(yè)內(nèi)部日常辦公的應(yīng)用系統(tǒng)規(guī)劃和部署，構(gòu)建統(tǒng)一溝通平臺(tái)和企業(yè)內(nèi)部知識(shí)庫體系，以保障企業(yè)內(nèi)部的基礎(chǔ)架構(gòu)的完善性和高效性。

　第三階段：進(jìn)行企業(yè)內(nèi)部信息和業(yè)務(wù)的整合，完善企業(yè)內(nèi)部信息管理，項(xiàng)目管理體系。

　3 3 項(xiàng)目 實(shí)施規(guī)劃

　1 3.1 虛擬化平臺(tái)設(shè)計(jì)

　XXXX 總部數(shù)據(jù)中心整體規(guī)劃 2 個(gè)集群節(jié)點(diǎn)+存儲(chǔ)的架構(gòu)，將所有的虛擬機(jī)VHD 文件放在存儲(chǔ)中。為了滿足高可用的需求，可以將兩個(gè)物理宿主機(jī)配臵成故障轉(zhuǎn)移群集的模式，實(shí)現(xiàn)運(yùn)行在宿主機(jī)器上的虛擬機(jī)可以自動(dòng)切換，以防止其中一臺(tái)宿主機(jī)發(fā)生故障影響業(yè)務(wù)應(yīng)用系統(tǒng)。

　如下圖是群集部署架構(gòu)圖：

　群集節(jié)點(diǎn)服務(wù)器1，運(yùn)行Hyper-v虛擬機(jī)群集節(jié)點(diǎn)服務(wù)器2，運(yùn)行Hyper-v虛擬機(jī)

　ISICS 存儲(chǔ) ， 存儲(chǔ)虛擬機(jī)配置文件及 VHD 數(shù)據(jù)域控制器 、 DNS 服務(wù)器 通過微軟 Hyper-V 技術(shù)實(shí)現(xiàn)的包括管理服務(wù)器，生產(chǎn)服務(wù)器，存儲(chǔ)，管理網(wǎng)絡(luò)，生產(chǎn)網(wǎng)絡(luò)，和存儲(chǔ)網(wǎng)絡(luò)平臺(tái)。如下圖應(yīng)用程序虛擬化架構(gòu)平臺(tái)：

　管理服務(wù)器系統(tǒng)資源池生產(chǎn)網(wǎng)絡(luò)…………SCCM SCVMM生產(chǎn)服務(wù)器系統(tǒng)資源池管理網(wǎng)絡(luò)AD管理服務(wù)器 （ 虛擬機(jī) ）生產(chǎn)服務(wù)器 （ 虛擬機(jī) ）存儲(chǔ) 存儲(chǔ)光纖交換機(jī)存儲(chǔ)網(wǎng)絡(luò)存儲(chǔ)網(wǎng)絡(luò)光纖交換機(jī)

　根據(jù)上述設(shè)計(jì)架構(gòu)，可以滿足企業(yè)日后擴(kuò)展需求，可以任意增加服務(wù)器虛擬化群集節(jié)點(diǎn)，來滿足服務(wù)器應(yīng)用增長的需求。

　2 3.2 活動(dòng)目錄（ AD ）平臺(tái)設(shè)計(jì)

　1 3.2.1 活動(dòng)目錄 （ AD ）

　概述

　活動(dòng)目錄（AD）為我們提供了一個(gè)安全的邊界，它為我們企業(yè)的用戶、設(shè)備、提供了統(tǒng)一的身份認(rèn)證，只有合法被許可的用戶和設(shè)備才能與我企業(yè)的網(wǎng)絡(luò)和資源進(jìn)行通訊、共享企業(yè)資源。

　 活動(dòng)目錄（AD）主要提供以下功能：基礎(chǔ)網(wǎng)絡(luò)服務(wù)、服務(wù)器及客戶端計(jì)算機(jī)管理、用戶服務(wù)、資源管理、桌面配臵、應(yīng)用系統(tǒng)支撐。

　2 3.2.2 活動(dòng)目錄 （ AD ）

　設(shè)計(jì)

　根據(jù) AD 物理結(jié)構(gòu)主要是規(guī)劃站點(diǎn)拓?fù)洌紤]到 XXXX 的地理分布情況，應(yīng)該使用單域多站點(diǎn)拓?fù)鋪硪?guī)劃 AD 物理結(jié)構(gòu)。

　由于單域結(jié)構(gòu)，域中 DC 直接要進(jìn)行數(shù)據(jù)復(fù)制，所以如集團(tuán)總體 AD 架構(gòu)和郵件系統(tǒng)規(guī)劃把北京、長沙和上海三個(gè)地方把設(shè)臵為分站點(diǎn)，這樣做的的好處：

　1、優(yōu)化 AD 的復(fù)制；DC 之間要同步 AD 數(shù)據(jù)，假如不劃分站點(diǎn)，這個(gè)同步每時(shí)每刻都在進(jìn)行，而且數(shù)據(jù)是不壓縮的。如果劃分了站點(diǎn)就可以控制站點(diǎn)到站點(diǎn)間的 AD 復(fù)制。

　2、優(yōu)化客戶端的登錄，當(dāng)劃分了站點(diǎn)以后，DNS 會(huì)替客戶端找本站點(diǎn)內(nèi)的DC，這樣就加快了身份驗(yàn)證過程。經(jīng)過上面的規(guī)劃和配臵后用戶的身份驗(yàn)證都

　會(huì)點(diǎn)本地站點(diǎn)內(nèi)的 DC 完成，比如說，長沙分公司的用戶會(huì)去長沙站點(diǎn)內(nèi)的 DC去做身份驗(yàn)證，上海分公司的用戶會(huì)去上海站點(diǎn)內(nèi)的 DC 去做身份驗(yàn)證。

　注：其實(shí) AD 站點(diǎn)的劃分就是通過 IP 子網(wǎng)來實(shí)現(xiàn)的，所以在劃分 AD 站點(diǎn)之前首先要規(guī)劃好公司的網(wǎng)絡(luò)地址。

　3.2.2.1 OU 設(shè)計(jì) OU 設(shè)計(jì)以地理、組織、對象、項(xiàng)目或管理為基礎(chǔ)。我們選擇的 OU 設(shè)計(jì)主要基于單位組織結(jié)構(gòu)。OU 的主要功能就是為了管理而劃分組織；管理員可以使用 OU 為組織創(chuàng)建層級管理結(jié)構(gòu)。

　? 總部綜合參考行政部門劃分和組織架構(gòu)、崗位級別劃分。

　? 按區(qū)域劃分和人員級別和特殊部門（如財(cái)務(wù)等）劃分。

　? 方便統(tǒng)一部署組策略，原則：組策略盡量應(yīng)用在最高級別的 OU 單元，組策略的數(shù)量在滿足需求的前提下越少越好。

　? 所有服務(wù)器另外建一個(gè)單獨(dú)的 OU。

　具體結(jié)構(gòu)如下圖

　 2 3.2.2.2 組策略設(shè)計(jì) A A 、 全域安全性策略

　默認(rèn)域管理員賬戶

　將默認(rèn)域管理員賬戶 administrator 改名，分配強(qiáng)口令。在日常管理工作中不使用該賬戶。同時(shí)禁用 Guest 帳戶。

　域和企業(yè)管理員組

　嚴(yán)格控制 Domain Admins 和 Enterprise Admins 組成員。

　域管理員組 審慎分配域管理員權(quán)限，對于并非需要域管理員才能完成的操作，通過權(quán)限委派來實(shí)現(xiàn)。

　日志策略

　在域控制器上配臵日志文件足夠的尺寸，根據(jù)需要調(diào)整/關(guān)閉日志覆蓋。

　身份鑒別 通過口令/ USB 等方式驗(yàn)證用戶，用戶身份具有唯一標(biāo)識(shí)符。

　口令策略

　建議建立強(qiáng)壯口令策略，包括至少 6 位以上的口令，口令復(fù)雜性（大寫，小寫，字母和特殊字符至少包含其中的三類），定期口令修改等。

　綁定用戶 P IP 地址

　使用的靜態(tài) IP，分部門和區(qū)域劃分 VLAN。

　關(guān)閉管理工具

　為了避免用戶自己使用管理工具誤操作對系統(tǒng)安全和穩(wěn)定造成的損害，可以通過組策略，關(guān)閉用戶對一些管理工具的訪問。建議關(guān)閉：

　? 控制面板（全部控制工具或者一部分）； ? 對網(wǎng)絡(luò)配臵的修改（IP 配臵）； ? 管理控制臺(tái)（MMC）； ? 注冊表編輯器； ? 其他需要關(guān)閉或者限制的工具。

　配臵 Windows update

　所有計(jì)算機(jī)的自動(dòng)更新都指向企業(yè)內(nèi)部的 WSUS 服務(wù)器。

　對打印設(shè)備進(jìn)行權(quán)限控制

　可以針對用戶進(jìn)行打印設(shè)備的權(quán)限控制。

　IE 設(shè)臵

　可以通過組策略對用戶的Internet Explorer進(jìn)行集中式設(shè)臵，建議設(shè)臵項(xiàng)為：

　? 設(shè)臵代理服務(wù)器；

　? 修改收藏夾；

　? 調(diào)整安全設(shè)臵（如禁止 ActiveX 控件和 JavaScript 腳本運(yùn)行）。

　通過以上

　設(shè)臵，可以配臵用戶使用代理服務(wù)器訪問 Internet，限制用戶訪問某些網(wǎng)站，避免用戶受到網(wǎng)頁蠕蟲的攻擊等，極大地提高安全性。

　控制應(yīng)用程序

　通過組策略，還可以限制特定用戶運(yùn)行指定的應(yīng)用程序，或者只能運(yùn)行制定的應(yīng)用程序。

　外觀管理

　根據(jù)企業(yè)形象的需要，可以對用戶的壁紙進(jìn)行統(tǒng)一管理，自動(dòng)使用指定的壁紙。類似的，可以對用戶的桌面外觀，風(fēng)格進(jìn)行統(tǒng)一配臵。

　審核策略

　開啟對用戶賬戶登錄，用戶賬戶管理和管理權(quán)限使用等事件的審核。

　禁止外部人員訪問服務(wù)器

　對于可能有外部人員訪問企業(yè)網(wǎng)絡(luò)（比如供應(yīng)商的雇員），為了提高安全性，可以通過設(shè)臵安全策略，調(diào)整：

　? 關(guān)閉 GUEST 賬戶；

　? 設(shè)臵“從網(wǎng)絡(luò)上訪問此計(jì)算機(jī)”的權(quán)限；

　? 來限制未加入域的計(jì)算機(jī)和未登錄到域的用戶，對指定服務(wù)器的訪問，如在訪問服務(wù)器時(shí)，需要輸入有效域用戶賬戶和口令，或者直接提示不允許訪問。這將消除潛在威脅。

　控制對重要服務(wù)器的訪問

　對某些非常重要的服務(wù)器，可以通過安全策略，對“從網(wǎng)路訪問”、“本地登錄”、“匿名訪問”進(jìn)行限制，只允許經(jīng)過授權(quán)的合法用戶訪問。

　備份和 恢復(fù)策略

　建立定期備份 Active Directory 數(shù)據(jù)的機(jī)制。

　B B 、 應(yīng)用在嚴(yán)格管理部門的策略

　? 最小化權(quán)限

　為普通用戶授予 Users 權(quán)限，為需要完成某些管理工作的用戶賬戶委派完成工作所需的最小范圍內(nèi)的最小權(quán)限。該權(quán)限用戶即使中毒后，病毒獲得的也是受限賬戶的權(quán)限，即使它可以運(yùn)行，如果不能提升權(quán)限，就難以對系統(tǒng)造成大的破壞。

　限制用戶安裝、卸載程序及設(shè)備

　User 權(quán)限無法裝載和卸載設(shè)備及軟件

　禁止用戶本地登錄

　收回本地管理員用戶密碼，組策略限制用戶交互式登錄

　禁止 USB 端口使用

　通過腳本限制用戶使用 USB 存儲(chǔ)設(shè)備，但是不影響 USB 鼠標(biāo)鍵盤的使用。

　限制網(wǎng)絡(luò)用戶在本地的權(quán)限。

　? 高級的權(quán)限

　為高級用戶授予 Power User 權(quán)限, 為需要完成某些管理工作的用戶賬戶委派完成工作所需的最小范圍內(nèi)的高級權(quán)限。該權(quán)限用戶擁有大部分管理權(quán)限，但也有限制。因此，Power User 可以運(yùn)行經(jīng)過驗(yàn)證的應(yīng)用程序，也可以運(yùn)行舊版應(yīng)用程序；用這類賬戶登陸系統(tǒng)時(shí)，病毒仍然受到一些限制。

　Power Users 可以完成：

　? 除了 Windows 2000 或 Windows XP Professional 認(rèn)證的應(yīng)用程序外，還可以運(yùn)行一些舊版應(yīng)用程序。

　? 安裝不修改操作系統(tǒng)文件并且不需要安裝系統(tǒng)服務(wù)的應(yīng)用程序。

　? 自定義系統(tǒng)資源，包括打印機(jī)、日期/時(shí)間、電源選項(xiàng)和其他控制面板資源。

　? 創(chuàng)建和管理本地用戶帳戶和組。

　?

　啟動(dòng)或停止默認(rèn)情況下不啟動(dòng)的服務(wù) ? 最大的權(quán)限

　為特殊用戶授予 Administrators 權(quán)限, 該權(quán)限對計(jì)算機(jī)/域有不受限制的完全訪問權(quán)。

　3 3.3 文件 服務(wù)器設(shè)計(jì)

　用戶通過登錄腳本可以進(jìn)行網(wǎng)絡(luò)驅(qū)動(dòng)器映射，使用戶無論登錄哪臺(tái)計(jì)算機(jī)均可訪問自己的共享目錄；

　1 1 、共享文件規(guī)劃

　設(shè)臵 4 類共享文件夾，如下表所示：

　共享名稱 文件夾名稱 說明 Public

　公用文件夾 存放企業(yè)公用文檔及發(fā)布公用文檔 Department

　部門文件夾 存放各部門文檔 Users

　個(gè)人文件夾 存放個(gè)人文檔 Temp

　臨時(shí)文件夾 存放各種臨時(shí)文檔

　2 2 、文件夾權(quán)限分配

　? 管理層可以瀏覽所有的文件夾

　? 各個(gè)部門能瀏覽自己所屬部門，并可修改自己所屬文件夾，部門經(jīng)理能瀏覽并修改自己部門所有的文件夾

　? 公共文件夾由行政部或 IT 部修改，其他所有人都能瀏覽

　? 臨時(shí)文件夾所有用戶都有讀取的權(quán)限，創(chuàng)建者有修改權(quán)限

　4 3.4 系統(tǒng)補(bǔ)丁管理

　實(shí)施有效的安全策略對所有企業(yè)都十分關(guān)鍵。補(bǔ)丁管理是成功的安全策略的最重要組成部分之一。補(bǔ)丁管理是一個(gè)流程，為組織提供對中間軟件發(fā)布到生產(chǎn)環(huán)境中的部署和維護(hù)的控制。它有助于組織保持運(yùn)營的效率和效力，彌補(bǔ)安全漏洞并保持生產(chǎn)環(huán)境的穩(wěn)定性。

　無法在其操作系統(tǒng)和應(yīng)用程序軟件內(nèi)確定和維護(hù)已知的信任級別的組織可能存在很多安全漏洞。如果這些安全漏洞被利用，則可能會(huì)導(dǎo)致收益和知識(shí)產(chǎn)權(quán)受到損害。最低限度減少這些威脅要求企業(yè)：

　? 正確配臵 IT（信息技術(shù)）環(huán)境中的計(jì)算機(jī)。

　? 使用最新的軟件。

　? 安裝推薦的安全更新。

　通過在內(nèi)部網(wǎng)絡(luò)中配臵 WSUS 服務(wù)器，所有 Windows 的更新都能集中下載到這個(gè)服務(wù)器中，內(nèi)部網(wǎng)絡(luò)中的客戶機(jī)就可以通過 WSUS 服務(wù)器得到更新。配合瑞星前瞻性漏洞評估，能夠搶在病毒和蠕蟲之前首先發(fā)現(xiàn)系統(tǒng)中的安全缺口，它

　不僅能夠?qū)Π踩呗缘囊恢滦赃M(jìn)行掃描（包括 Microsoft 安全補(bǔ)丁），而且能夠及時(shí)發(fā)現(xiàn)系統(tǒng)中隱藏的設(shè)備、未受到保護(hù)的設(shè)備以及容易受到攻擊的設(shè)備。而且升級操作系統(tǒng)補(bǔ)丁的時(shí)間可以縮短到幾分鐘，效果十分明顯，且只要一臺(tái) WSUS服務(wù)器就可保證全網(wǎng)絡(luò)內(nèi)操作系統(tǒng)的自動(dòng)升級。這既節(jié)省了資源，又避免了資源浪費(fèi)，并且提高了效率。

　5 3.5 郵件平臺(tái)設(shè)計(jì)

　1 3.5.1 郵件 需求 概述

　新郵件系統(tǒng)需支持 500 用戶，個(gè)人存儲(chǔ)空間 1G，VIP 用戶存儲(chǔ)空間 10G，在每封郵件限制附件大小 20M，收發(fā)單封郵件的相應(yīng)時(shí)間不超過 5 秒，郵件遞送時(shí)間（內(nèi)部）不超過 2 分鐘。當(dāng)公司網(wǎng)絡(luò)不能訪問 Internet 網(wǎng)時(shí)，應(yīng)保證內(nèi)部的郵件能夠互收發(fā)。

　訪問方式

　提供多種訪問方式如常用客戶端 Outlook、Fox mail，Web（主流瀏覽器），移動(dòng)設(shè)備 PUSHMAIL；支持 SMTP、POP3、IMAP4 等協(xié)議。

　備份及 恢復(fù)功能

　支持傳統(tǒng)流備份和卷復(fù)制備份。備份方式應(yīng)支持完全備份、副本備份、差異備份和增量備份。

　防垃圾郵件功能 支持連接篩選、收件人和發(fā)件人篩選、發(fā)件人 ID、內(nèi)容篩選、附件篩選、客戶端規(guī)則匯集到服務(wù)器端、發(fā)件人信譽(yù)等多種方式防犯垃圾郵件。

　防病毒功能

　可以內(nèi)臵或引用第三方多引擎防病毒軟件，防病毒軟件應(yīng)能針對文件頭對郵件附件進(jìn)行過濾，不但對郵箱存儲(chǔ)進(jìn)行查殺，還應(yīng)可以對 SMTP 進(jìn)行病毒查殺。

　管理與監(jiān)視功能 支持多級授權(quán)管理功能，支持郵件的跟蹤和監(jiān)視。

　用戶分類功能 可以針對特定用戶設(shè)定客戶端訪問方式、郵箱存儲(chǔ)限制、郵箱傳遞限制等功能。

　個(gè)人信息管理功能 如聯(lián)系人管理，日程管理，任務(wù)管理等日常工作中的個(gè)人信息管理功能。

　擴(kuò)展功能

　語音郵件, 接收傳真、短信和即時(shí)通信的離線消息等統(tǒng)一消息傳遞功能

　2 3.5.2 郵件平臺(tái)架構(gòu) 設(shè)計(jì)

　核心交換郵件平臺(tái)前端CAS VM 01MailBox VM 01CAS VM 02MailBox VM 02Win 2012 DC 01+ + WSUS匯聚交換Hyper-V宿主機(jī)AWindows ServerHyper-V宿主機(jī)BWindows Server 郵件系統(tǒng)存儲(chǔ) 郵件歸檔存儲(chǔ)Win 2012 VM DC 02心跳網(wǎng)絡(luò)存儲(chǔ)網(wǎng)絡(luò)郵件歸檔

　VM防垃圾郵件設(shè)備備份

　VM文件服務(wù)

　VM架構(gòu)說明：

　1、在保證配臵達(dá)標(biāo)的情況下，服務(wù)器可采用物理機(jī)也可采用虛擬機(jī)。如上述虛擬化平臺(tái)建議采用兩臺(tái)宿主機(jī)構(gòu)建虛擬化平臺(tái)（根據(jù)需要可以擴(kuò)充節(jié)點(diǎn)數(shù)），并針對 Exchange 場景優(yōu)化相關(guān)模塊。

　2、客戶端訪問服務(wù)器為郵件客戶端（Outlook Anywhere 模式）和OWA(Outlook Web App)用戶提供電子郵件的訪問。同時(shí)它還負(fù)責(zé)處理客戶端和Exchange 之間的通信。它為用戶提供通過 HTTP/HTTPS、POP3、IMAP4、ActiveSync 等方式訪問郵箱的服務(wù)。Exchange 客戶訪問服務(wù)器之間通過配臵 DNS輪訓(xùn)或者 NLB 實(shí)現(xiàn) Exchange 客戶訪問的分擔(dān)負(fù)載和高可用性。

　3、郵箱服務(wù)器實(shí)現(xiàn)了與郵件存儲(chǔ)的交互。郵箱服務(wù)器通過對郵件存儲(chǔ)的操作，實(shí)現(xiàn)郵件用戶的郵件收發(fā)、日歷訪問和郵箱系統(tǒng)對郵件存儲(chǔ)的日常管理維護(hù)。郵箱服務(wù)器通過 Exchange 自帶的高可用性特性—DAG 實(shí)現(xiàn)數(shù)據(jù)實(shí)時(shí)備份，郵件存儲(chǔ)的高可用性。

　4、目錄服務(wù)主要實(shí)現(xiàn)郵箱用戶信息的統(tǒng)一管理和身份認(rèn)證。需要部署目錄服務(wù)器，是全公司辦公網(wǎng)系統(tǒng)管理統(tǒng)一基礎(chǔ)架構(gòu)平臺(tái)的組成部分，實(shí)現(xiàn)全公司統(tǒng)一用戶信息管理，統(tǒng)一的、強(qiáng)制化的桌面安全策略管理及執(zhí)行等。

　5、垃圾郵件網(wǎng)關(guān)（可利用 Exchange 邊緣服務(wù)器或硬件反垃圾郵件設(shè)備），提供 Internet 郵件流、反垃圾郵件、防病毒及電子郵件策略等服務(wù)。

　6、歸檔服務(wù)平臺(tái)，提供郵件數(shù)據(jù)的歸檔查詢和審計(jì)功能等（建議采用硬件或者專業(yè)軟件歸檔）。

　7 、數(shù)據(jù)備份平臺(tái)，提供郵件系統(tǒng)平臺(tái)自動(dòng)備份和恢復(fù)功能等（可選模塊）。

　4 4 項(xiàng)目服務(wù)

　4.1

　服務(wù)概述

　服務(wù)范圍

　1. XXXXIT 基礎(chǔ)架構(gòu)所包含的系統(tǒng)平臺(tái)部署和維護(hù)服務(wù)。本次項(xiàng)目涉及底層虛擬化平臺(tái)部署、AD 基礎(chǔ)架構(gòu)搭建、文件服務(wù)器、補(bǔ)丁服務(wù)器、Exchange 高可用平臺(tái)部署、郵件歸檔及備份和整體運(yùn)維服務(wù)。

　2. 除了對現(xiàn)有虛擬化服務(wù)器產(chǎn)品和平臺(tái)提供技術(shù)支持服務(wù)外，還將為XXXX 提供微軟 AD\郵件系統(tǒng)\虛擬化管理系統(tǒng)的顧問、咨詢等增值附加服務(wù)，提升貴單位 IT 運(yùn)維管理質(zhì)量。

　3. 提供生產(chǎn)環(huán)境基礎(chǔ)架構(gòu)和郵件系統(tǒng)的管理員運(yùn)維管理培訓(xùn)，以及對普通用戶就某一應(yīng)用使用提供用戶操作使用培訓(xùn)。以提升貴單位對于信息化技術(shù)平臺(tái)的了解和掌握、使用，更好的提升工作效率。

　4. 當(dāng)前生產(chǎn)環(huán)境進(jìn)行系統(tǒng)運(yùn)行狀態(tài)健康性檢查，對于發(fā)現(xiàn)的已存在問題雙方進(jìn)行確認(rèn)，根據(jù)問題數(shù)量以及解決的難易程度確定調(diào)試、維護(hù)時(shí)間。

　服務(wù)方式

　服務(wù)方以服務(wù)問題為電話和郵件主要工具，通過現(xiàn)場、遠(yuǎn)程、電話、郵件等方式，為客戶提供及時(shí)有效的應(yīng)用指導(dǎo)、故障排除等服務(wù)。

　服務(wù)標(biāo)準(zhǔn)

　現(xiàn)場服務(wù)：星期一至星期五，8:00-18:00 熱線服務(wù)：星期一至星期五，8:00-18:00

　星期六和星期日：提供緊急電話服務(wù)（特殊情況可提供現(xiàn)場服務(wù)）。

　2 4.2 項(xiàng)目計(jì)劃

　項(xiàng)目計(jì)劃于從啟動(dòng)開始建設(shè)，預(yù)計(jì)需要 50-60 工作日個(gè)完成交付。時(shí)間進(jìn)度計(jì)劃大致如下：

　3 4.3 任務(wù)劃分

　項(xiàng)目的實(shí)施方法是結(jié)合多年積累的項(xiàng)目實(shí)施經(jīng)驗(yàn)和行業(yè)客戶業(yè)務(wù)需求而制定的。下面是每個(gè)階段中建議的相關(guān)活動(dòng)和階段工作內(nèi)容說明。（按 2 個(gè)自然月的項(xiàng)目周期進(jìn)行規(guī)劃，可根據(jù)用戶要求靈活調(diào)整）各階段任務(wù)細(xì)則劃分如下：

　階段

　工作概述

　時(shí)限

　啟動(dòng)階段 訪談、調(diào)研、現(xiàn)狀梳理、問題分析、制定團(tuán)隊(duì)分工計(jì)劃

　計(jì)劃階段 詳細(xì)需求分析，系統(tǒng)架構(gòu)方案設(shè)計(jì)、實(shí)施方案設(shè)計(jì)、測試方案設(shè)計(jì)、實(shí)施及接管資源環(huán)境準(zhǔn)備等

　實(shí)施階段 根據(jù)設(shè)計(jì)階段文檔指導(dǎo)進(jìn)行相關(guān)功能模塊開發(fā)、軟件部署、周邊系統(tǒng)聯(lián)調(diào)、平臺(tái)測試等割接上線工作

　交付階段 系統(tǒng)試運(yùn)行跟蹤，對用戶進(jìn)行知識(shí)轉(zhuǎn)移培訓(xùn)，移交系統(tǒng)及文檔、介質(zhì)等交付物

　4 4.4 交付清單

　項(xiàng)目任務(wù)

　交付物

　說明

　啟動(dòng)階段 《初步需求說明書》 項(xiàng)目負(fù)責(zé)人在該階段制定的需求調(diào)研匯總。

　計(jì)劃階段 《需求規(guī)格說明書》 項(xiàng)目負(fù)責(zé)人在該階段制定的項(xiàng)目詳細(xì)需求匯總。

　《技術(shù)方案》 項(xiàng)目組制定的技術(shù)實(shí)現(xiàn)方案。

　項(xiàng)目周報(bào)、月報(bào) 項(xiàng)目計(jì)劃階段日常項(xiàng)目內(nèi)活動(dòng)總結(jié)、工作計(jì)劃等。

　實(shí)施階段 《安裝配臵文檔》 項(xiàng)目實(shí)施階段各功能組件安裝部署操作文檔，指導(dǎo)實(shí)施部署規(guī)范操作。

　《集成實(shí)施方案》 項(xiàng)目總體實(shí)施規(guī)劃方案，由項(xiàng)目成員共同制定完成。

　項(xiàng)目周報(bào)、月報(bào) 項(xiàng)目實(shí)施階段日常項(xiàng)目內(nèi)活動(dòng)總結(jié)、工作計(jì)劃等。

　交付階段 《運(yùn)維手冊》 項(xiàng)目運(yùn)維階供段甲方運(yùn)維人員參考文檔，可作為日常基礎(chǔ)運(yùn)維操作規(guī)范指導(dǎo)及簡單排障參考手冊。

　《培訓(xùn)文檔》 培訓(xùn)階段提供用戶對 Hyper-V、AD 和 Exchange 的功能使用操作手冊，指導(dǎo)乙方 IT 管理員進(jìn)行日常管理操作。

　項(xiàng)目周報(bào)、月報(bào) 項(xiàng)目交付階段日常項(xiàng)目內(nèi)活動(dòng)總結(jié)、工作計(jì)劃等。

　5 5 建議 配臵

　1 5.1 軟件配臵

　實(shí)現(xiàn)本方案中建議的高可用基礎(chǔ)結(jié)構(gòu)和郵件系統(tǒng)平臺(tái)，軟件配臵詳細(xì)列表：

　項(xiàng)目

　安裝軟件配臵

　數(shù)量

　作用

　郵箱存儲(chǔ)服務(wù)器 Windows 2012 R2 標(biāo)準(zhǔn)版 2 郵箱存儲(chǔ)服務(wù)，每臺(tái)支持

　Exchange Server 標(biāo)準(zhǔn)版 500 用戶，按高可用配臵 前端訪問服務(wù)器 Windows 2012 R2 標(biāo)準(zhǔn)版Exchange Server 標(biāo)準(zhǔn)版 2 客戶端訪問支持，支持外網(wǎng)用戶訪問，手持設(shè)備訪問;提供郵件流、分類、路由、傳遞的處理服務(wù)。

　DC 服務(wù)器 Windows 2012 R2 標(biāo)準(zhǔn)版 4 提供域服務(wù)、用戶賬戶管理、域內(nèi)計(jì)算機(jī)管理、組策略及域內(nèi)地址解析服務(wù)。服務(wù)器分布：北京 2 臺(tái)，長沙1 臺(tái)，上海 1 臺(tái) 歸檔服務(wù)器 Windows 2012 R2 標(biāo)準(zhǔn)版 Exchange Server 企業(yè)版 或?qū)I(yè)歸檔軟件 1 提供郵件歸檔功能，后端歸檔容量根據(jù)實(shí)際需求選配 文件服務(wù)器 Windows 2012 R2 標(biāo)準(zhǔn)版 3 提供文件共享和管理服務(wù)，服務(wù)器分布：北京 1 臺(tái)，長沙 1 臺(tái)，上海 1 臺(tái) 備份服務(wù)器 Windows 2012 R2 標(biāo)準(zhǔn)版 SCDPM 1 提供對虛擬平臺(tái)、郵件系統(tǒng)平臺(tái)及 AD 自動(dòng)備份和恢復(fù)功能 宿主機(jī) Windows 2016 數(shù)據(jù)中心版

　2 提供底層虛擬化服務(wù) 2 5.2 系統(tǒng) 配臵

　實(shí)現(xiàn)本方案中建議的高可用基礎(chǔ)結(jié)構(gòu)和郵件系統(tǒng)平臺(tái)，硬件配臵詳細(xì)列表：

　項(xiàng)目

　硬件配臵

　數(shù)量

　備注

　郵箱存儲(chǔ)服務(wù)器 2 四核 CPU，16G 2 可使用虛擬機(jī) 前端訪問服務(wù)器 2 四核 CPU，8G 2 可使用虛擬機(jī) DC 服務(wù)器 2 四核 CPU，4G 4 可使用虛擬機(jī)（建議北京總部建議采用 1 臺(tái)物理+1 臺(tái)虛擬機(jī)的方案）

　歸檔服務(wù)器 2 四核 CPU，12G 1 可使用虛擬機(jī) 文件服務(wù)器 2 四核 CPU，8G 3 可使用虛擬機(jī)（若從節(jié)省資金投入考慮，長沙和上海與DC 服務(wù)器合并在一起）

　備份服務(wù)器 2 四核 CPU，12G 1 可使用虛擬機(jī) 宿主機(jī) 2 八核 CPU，128G 2

　反垃圾郵件設(shè)備

　1 預(yù)算充足建議采用硬件設(shè)備 歸檔設(shè)備

　1 預(yù)算充足建議采用硬件設(shè)備 網(wǎng)絡(luò)

　 現(xiàn)有數(shù)據(jù)中心基礎(chǔ)協(xié)商增補(bǔ) 存儲(chǔ)

　 現(xiàn)有數(shù)據(jù)中心基礎(chǔ)協(xié)商增補(bǔ) 6 6 項(xiàng)目服務(wù)費(fèi)用

　項(xiàng)目

　說明

　服務(wù)費(fèi)用（元）

　AD 服務(wù)器規(guī)劃部署 AD 服務(wù)規(guī)劃設(shè)計(jì)和服務(wù)器端部署實(shí)施

　客戶端加域部署 客戶端加域清理實(shí)施

　文件服務(wù)器規(guī)劃部署 文件服務(wù)器+WSUS 服務(wù)器和客戶端部署實(shí)施

　虛擬化平臺(tái)規(guī)劃部署 虛擬化平臺(tái)規(guī)劃設(shè)計(jì)和部署實(shí)施

　郵件服務(wù)規(guī)劃部署 郵件系統(tǒng)架構(gòu)建設(shè)和部署實(shí)施

　備份服務(wù)器規(guī)劃部署 基礎(chǔ)架構(gòu)平臺(tái)系統(tǒng)自動(dòng)備份規(guī)劃和部署實(shí)施

　培訓(xùn)費(fèi)用 整個(gè)部署實(shí)施過程的培訓(xùn)以及后期維護(hù)的培訓(xùn)

　合計(jì)：

　萬元整

推薦訪問： 架構(gòu) 規(guī)劃 基礎(chǔ)