在一个网络环境中,如何为每一台计算机安装同样或者是满足一部分用户需求的软件,想一下就知道这是一件很麻烦的事情。比如安装Office,网络管理员总不能拿着一张光盘到处跑,在每台计算机上逐个安装吧?这样的工作效率肯定不能令人满意。IntelliMirror管理技术在Microsoft Windows 2000操作系统中首次推出时就是一套强大的功能,它又在其后继产品WindowsXP中得到增强。IntelliMirror采用基于策略的变化和配置管理,使用户的数据、软件和设置始终跟随他们贯穿于整个分布式计算环境,无论他们在线与否。
IntelliMirror核心有三个功能:用户数据管理、用户设置管理和软件安装与维护。三个功能可以分开也可以共同使用。
以策略为基础的IntelliMirror管理带有两个重要的好处:业主花更低的总成本来管理桌面环境。由于公司可以部署和管理自定义的桌面配置,因此它们可在为各个用户提供支持方面花更少的钱。用户可以灵活地处理自己的工作,而不必花时间亲自配置系统。
提高新授权用户的工作效率。由于用户无论在哪里登录,其应用程序、数据和设置都可用,因此他们能够完成更多的工作。应用程序也可以进行远程安装和升级。为充分利用Intellimirror节约成本的优点,公司首先需要部署Active Directory服务。
WindowsXP的现状
WindowsXP提供了增强的策略设置管理,允许管理员进行调整、管理或只是关闭不希望使用的功能。
新的策略设置。WindowsXP中有200多个新的策略设置。公司可以选择自己需要使用的功能,例如远程协助、Windows Media Player和错误报告。尽管WindowsXP带有能提高工作效率的新用户界面,但如果企业需要统一的桌面配置,它仍可还原为Windows传统界面。管理员可以在Windows2000 Server环境中使用基于Windows XP的计算机,从而为运行Windows XP的客户机管理新的策略设置。这些策略设置在任何Windows2000计算机上将被忽略。
新的工具。管理员可以在MMC或GPResult上以命令行的形式运行“策略的结果集”工具,从而确定计算机上有效的策略。在“帮助和支持中心”,用户可以生成一个报告,从而了解计算机上组策略的应用方式。该报告可以进行打印、保存,也可与支持人员共享。

支持快速网络登录。默认情况下,WindowsXP在启动和登录时并不等待网络完全初始化。任何已有的用户都能使用缓存的凭证进行登录,从而缩短登录时间。由于计算机不会等待网络完全启动,因此组策略将在网络可用后,通过后台方式加以应用。
支持新方案:加密文件系统(EFS)和脱机文件现在可以协同工作。这样即可加密膝上机中用于重定向数据的缓存,以确保在膝上机被盗情况下也不会泄露隐私。由于分布式文件系统(DFS)和脱机文件能协同工作,因此,您可以使用DFS来管理服务器共享的逻辑名称空间,同时仍可实现数据的脱机使用。
改进的用户界面。在组策略控制台上,利用Web视图集成更易于了解、管理和核查策略设置。单击策略将立即显示相应的文本,用于解释其功能和支持的环境,例如仅支持WindowsXP或支持Windows2000。
WindowsXP的未来
WindowsXP是为Windows.NET Server作准备的。Windows.NET Server是新一代的Windows2000 Server。除WindowsXP中已包含的工具和功能外,它还提供了一套新的工具和功能,以便于管理员管理组策略。在Windows.NET Server域中,WindowsXP客户组策略的管理、控制和使用具有下列特点:
策略的结果集。Microsoft RSoP工具为管理员提供了一个功能强大灵活的基础工具,用于组策略的计划、监控和疑难解决。RSoP计划模式允许管理员预测出组策略变化对目标用户或计算机造成的影响。登录模式(在没有WindowsNET Server时仍可用)使管理员可以确定特定计算机中当前有效的策略。
RSoP管理控制单元
如需运行RSoP管理控制单元,请依次执行以下操作步骤:
通过Windows XP以管理员身份登录到您所属的域中。
依次点击开始、运行,并输入MMC。Microsoft管理控制台将被启动。
在文件菜单中,单击“添加/删除管理单元”。当添加/删除管理单元对话框出现后,单击“添加”。
在“可用独立管理单元”对话框中,选择“策略结果集”并单击“添加”。关闭对话框,回到“添加/删除管理单元”窗口,点“确定”。
在“控制台1”窗口中单击菜单“操作”/“生成RsoP数据”,起动“策略的结果集向导”,当RSoP向导欢迎页面出现后,单击下一步。当“模式选择”页面出现后,单击下一步。
当“计算机选择”页面出现后,可以浏览希望显示设置信息的计算机。否则,向导将查看RSoP以确定从哪台计算机上开始运行。单击下一步。
当“用户选择”页面出现后,可以选择查看哪个用户的策略设置信息。(在当前示例中,如图3所示,管理员选择了名为New的用户。)单击下一步。完成。
WMI筛选。Windows Management Instrumentation(WMI)允许管理员根据策略设置的配置、角色或其它标准而调整特定桌面上所应用的策略设置。例如,IPSec的使用应仅限于那些已进行NIC优化的计算机。
跨林支持。不管林目录如何,管理员都可以管理整个ActiveDirectory中的组策略。这样可以提高灵活性,尤其是在大的公司内。跨林支持可扩展到文件夹重定向、漫游用户配置文件、交互式登录及RsoP。
用户数据和设置管理的改进。管理员可以自动配置WindowsXP桌面,以满足用户在业务角色、组成员关系及位置方面的特别需要。改进之处包括简化的文件夹重定向及更强大的漫游功能。
软件限制策略。管理员可以远程识别软件,并能禁止它在用户PC机上运行。
桌面安全管理
1998年,美国国家安全局制定了《信息保障技术框架》(Information Assurance Technical Framework,IATF),提出了“深度防御策略”,把防御分成几个领域,包括:网络与基础设施防御、网络边界防御、局域计算环境(包括本地终端、打印机、服务器等等)防御和支撑性基础设施的深度防御。
从国内网络安全建设的实际情况看,传统的安全防护以企业网络边界和核心作为防护重点。但网络环境日趋复杂,随着以计算机终端为主要目标的蠕虫***、***破坏、******等各种安全事件的泛滥,以往围绕网络部署的安全措施已显得力不从心。
热点终端
计算机终端作为信息存储、传输、应用处理的基础设施,其自身安全性涉及到系统安全、数据安全、网络安全等各个方面,任何一个节点都有可能影响整个网络的安全。而计算机终端广泛涉及每个计算机用户,由于其分散性、不被重视、安全手段缺乏的特点,已成为信息安全体系的薄弱环节。因此,有越来越多的用户和厂商开始调整安全防护战略,将着眼点重新回归到计算机终端安全上来,这使得终端安全成为市场上的热门话题。
对终端安全的关注,缘于以下几个方面的原因:
1.防病毒技术未能解决的问题,引发了终端安全领域的拓展。传统意义上的终端安全主要依赖于防病毒技术,而终端安全事件的屡屡发生导致了用户对防病毒软件的不信任,以至于引发了防病毒软件是否卖“过期药”的激烈讨论,这也推动了终端安全领域向更广泛的领域延伸。对企业级用户来说,防病毒软件已经满足不了他们的需求。如果客户端数量非常多的话,防病毒软件通常很难管理到桌面。而网管员们则越来越希望能进一步加强对桌面的控制,达到集中控管。
2.计算机终端拥有广泛的用户群。无论是企业级用户还是个人用户,绝大多数人都直接使用计算机终端(PC或笔记本电脑)进行办公、业务处理、个人事务处理、上网等。对终端安全关注的人数更为广泛,影响的范围也更大。
3.企业级用户计算机终端安全的涉及面广。企业级用户的计算机终端安全涉及到终端本身的系统安全使用、数据信息保护、应用正常运转,由于往往在网络环境中工作,还面临来自内部网络或Internet的安全威胁。此外,终端遭受病毒感染、蠕虫***、******时,很容易通过网络进行扩散,从而影响到网络中其他终端和业务系统的安全。
4.面向终端的安全措施效果明显。传统的安全方案主要围绕网络实现,例如:在网络边界,采用防火墙对网络连接和访问的合法性进行控制;在网络传输上,采用***检测系统监视******和非法网络活动;在主机设备,采用主机加固措施加强主机防护能力,等等。但当我们的视角必须关注到计算机终端本身的安全时,发现面向终端的安全保护和控制措施来得更直接,效果也更好。计算机防病毒系统防止系统和数据遭受破坏,应用也最为广泛;补丁管理弥补系统漏洞,防止蠕虫、******;终端访问控制防止网络***,避免***跳转***,防止网络资源滥用;资产管理可以让企业全面、及时掌握终端资产状况,便于管理;操作许可限制能够更好地通过技术控制贯彻IT制度的落实。
一体化终端安全
网络边界的终端安全到底如何定义?游龙科技给出的定义是:计算机终端安全是指围绕桌面台式电脑、笔记本电脑等终端设备而实行的安全保护技术和管理控制措施,全面实现桌面设备管理自动化,涵盖软件分发、补丁管理、资产管理、应用程序管理、外设管理和远程控制功能,并提供灵活的警报系统、丰富的报表报告和周密的系统设置,帮助企业用户实现高效、智能的桌面管理。
目前桌面管理软件市场上的国际知名品牌如CA、HP、Microsoft,国内著名品牌如SiteView DM。这些产品都有其各自的优势,但作为企业用户,应该明确自己最需要的是什么。
CAUnicenter TNG框架下的包括ShipIT、AimIT以及ControlIT在内的一系列产品是桌面管理软件的典型代表。ShipIT通过一个中央控制点对软件和文件进行自动分发、安装和升级。AimIT用于管理异构IT环境下资产的综合性解决方案,提供系统级的策略管理。ControlIT用于控制远程Windows 3.X、95、98、NT、200、2003和XP计算机安全可靠的应用程序。
HPOpen View Desktop Administrator(DTA)基于DTA的解决方案帮助管理员管理与控制企业的桌面和软件环境。在资产管理方面,提供企业台式系统环境全面详尽的硬件与软件信息目录。在软件分发方面,DTA简化软件安装过程和自动执行软件分发。在远程管理方面,该产品使管理员或热线支持工作人员能够对用户的台式系统进行远程故障排除和控制。
Microsoft SMS2.0提供了良好的规划工具,其中包括硬件和软件清单、软件计量以及2000年问题适应性的检查和报告。SMS2.0的软件计量工具用来分析、监视和控制服务器和工作站上应用程序的使用情况。SMS集中的软件分发工具与清单信息紧密集成在一起,增加了软件配置成功的可能性。
SiteView DM是一种以综合服务为基础的全面服务管理解决方案。不仅吸取了最佳实践经验,还采用了模块化设计。借助SiteView DM,网络管理人员能够实施世界级服务桌面,最终改善服务支持、服务供应的管理。同时,网络管理人员还能够深入了解企业服务、基础设施元素与用户之间的各种关系。

服务器桌面管理界面SMI
虽然台式机系统的可管理性也变得更高,但是,由于服务器在业务中的重要作用和极高的正常运行时间要求。为满足这些要求,特制服务器在每一层都具有仪表化可管理性,也就是说,从处理器到主板到BIOS和固件,乃至操作系统,都应该具有内建的可管理智能。
该配置应该符合桌面管理界面(SMI)2.0(一种工业标准可管理性规范)。符合DMI的配置可确保所收集的信息可被大量管理应用程序使用。服务器还应支持能够远程访问服务器的插卡模块。
当您将服务器的内建装置和远程可管理性支持与可管理客户机管理软件结合起来时,企业就可获得创造一个可管理和保护计算环境的综合性、集成战略的基础。与管理软件结合,特制服务器的可管理性支持以下功能,如:
远程监视与控制。技术支持人员可监视服务器的状态,控制各种服务器参数并响应网络上发生的问题,而且无需离开其办公桌。这不仅提高了正常运行时间,而且还可极大地缩短了解决问题所需的时间,减少派遣技术人员到服务器所在地的需要,提高了可用于服务器管理的信息质量。
从家里即可安装的能力。除了网络上规则的带内远程连接,特制服务器还可提供一个带外连接器,这样,如果网络一旦瘫痪,技术支持人员就可以通过调制解调器连接到服务器上。如果在下班时间发生了问题,技术人员甚至可以从家里控制系统。这样,通过简化服务器管理工作,又可以显著减低了TCO。
远程资产管理。特制服务器可以报告部件和配置信息。您再也不必派遣技术人员带着笔和纸检查并记录服务器的组件,服务器可通过软件报告其配置,这样就节省了时间和工作,提高了可用于资产管理的数据质量。由于支持人员无需离开办公桌就完全就可以了解全部情况,不论是以及配置是否满足新软件的要求。
远程桌面连接RDC的背景

远程桌面连接(RDC,Remote Desktop Connection)是网络管理人员进行网络远程管理和维护微软家族操作系统的有力工具,最初出现在Windows2000 Server之中,当时叫做终端服务客户(TSC,Terminal Services Client),较成熟的版本是远程桌面连接RDC4.0,在Windows2003 Server推出的时候,相应推出了RDC5.0。自从WindowsXP开始,RDC作为为软操作系统的集成部件被微软捆绑销售。今年,在微软最新推出的操作系统Vista中,微软将最新的RDC6.0进行了捆绑,而且在Vista的宣传中进行了着力宣传,据说最新版本的RDC6.0不仅支持所有市面上流行的微软老版本操作系统,而且新增了若干令人疯狂的新功能,究竟是否如此呢?微软RDC6.0新功能微软公司在Vista推广资料中着力宣传了RDC6.0的下述主要改进功能:(1)网络身份验证。以往RDC连接到服务器是在服务器系统出现登录界面的时候输入帐户信息,新版的RDC6.0则可以在输入账号信息后再进行连接。(2)资源重定向。可对网络资源进行重定向操作。(3)TS服务器和TS终端程序的改进。对远程服务的服务器和终端程序都进行了一定的改进,曾加了许多新的方便用户使用和操作的功能,比如远程的复制和粘贴等功能。(4)穿越内网的功能。以往的RDC对于内网的管理比较繁琐,无法便捷地穿越内网,RDC6.0增加了TS网关服务器的概念,这样可使远程管理顺利穿越服务器的防火墙的安全过滤而达到平滑穿越内网的目的。(5)视频改进。新的RDC6.0支持32位真彩色和字体平滑显示功能,提高了远程显示质量。(6)SSL加密与数据传输方式的改变。采用SSL这种加密方式,而使得数据传输减少被窃听的机会。RDC6.0综合评价每个新的软件版本微软都会倾力加以改进,然而为了Vista的利润和前途,微软在宣传中也着力进行了带有夸张性的宣传,通过分析RDC6.0的宣传材料就可以看出,微软实际上并没有针对RDC6.0投入过多的资金和精力加以改进,经过安装试用发现,许多所谓的新功能存在很多名不副实的地方。(1)虽然新版的RDC6.0在网络安全性、兼容性、功能、性能等方面进行了着力的改进,但是,对于具体的用户关心的应用边便捷性方面,新版的RDC只在远程剪贴板上有所改进,其它很多不方便的地方仍然没有明显改观。(2)很多新功能由于需要新版操作系统的支持而成了摆设。比如登录时的提前验证机制、SSL加密对数据安全性的保护等功能,都需要Windows2003 Server或Vista操作系统的支持,而在Windows2000 Server和WidowsXP下都成为了聋子的耳朵----摆设。
桌面管理自动化
遥望新一代数据中心,桌面管理自动化是梦想成真时一个绝对不能遗忘的部分。在这片IT的“神经末端”地带,已经诞生的新型自动化工具将帮助您实现井然有序的终端管理。
JardenCS是一家美国的消费者解决方案供应商。该公司的最终用户服务经理HerbSchmoll坚定地认为,桌面系统是IT管理自动化必不可少的部分。他指出,就像自动化可以改善网络和服务器的运营一样,它也必然会对桌面管理产生正面的影响。因此他强调,企业需要在员工队伍中设立专门的“桌面设计师”。
这一举措已通过JardenCS公司得以实现。在这家公司,一位桌面设计师已经成功地帮助公司规划出自动化补丁管理流程,并调查了应用虚拟化的使用情况。桌面设计师使用的主要工具是Altiris客户端管理套件,这一系列的工具与传统的桌面管理产品有很大区别。该种套件可以执行软件分发、IT资产管理、远程控制、PC备份和配置管理等功能。
Schmoll说:“Altiris这样的工具对桌面管理的影响非常大,我们可以利用它实现服务器和网络小组所具备的诸多功能。事实上,服务器和网络管理只是在复杂程度上比桌面管理要高一些,但其基本原理是相同的。”

以JardenCS的自动补丁管理系统为例。Altiris公司在集成商BlueWillow集团的帮助下建立了一个“打包服务器”网络,用于向JardenCS全球的21个办公地点分发WindowsXP和Office补丁。
除了一个地点外,所有的地点中运行WindowsXP的桌面计算机都可以充当本地的打包服务器,桌面机上存储着从Altiris通知服务器(Notification Server)发送来的补丁文件。只有位于美国总部的450台桌面计算机才从服务器一级的机器上下载打包服务器文件。
用户的机器会定期与通知服务器沟通,了解是否需要安装新的补丁。如果需要,它会向本地子网中的打包服务器索取相应的下载补丁。这种自动化流程对用户来说是完全透明的,甚至连下班后的机器重启都是自动处理的。
在JardenCS,桌面设计师将负责确定员工桌面机的整体状态,例如运行哪个版本的操作系统和应用,实施哪些策略和过程,用户是否以Guest的身份访问等。而大多数的企业并不会让一个人来做出所有这些决策。但可以肯定的是,这种作法对于新一代数据中心的全面自动化将会起到绝对的促进作用。
Schmoll还举了另一个例子。他说,最近公司的网络小组推出了一种带个人防火墙的×××客户端。这种个人防火墙禁用了远程控制软件,而远程控制软件又是桌面小组为用户提供支持时需要使用的关键工具。如果有了桌面设计师,他就可以去说服网络运营经理,指出用户支持小组需要使用远程控制工具,而且这种工具不会对个人防火墙产生危害,况且这种个人防火墙只是提高了系统的安全性,它所提供的功能并不是特别关键的。最后,当两个小组在产品需求方面达成共识之后,网络小组就会删除这种个人防火墙。Schmoll认为,有了桌面设计师,IT部门将在桌面管理方面拥有更大的主动管理能力,并且能够制定更加合理、严谨的管理策略。
应用如水般流淌
有了桌面设计师担当自己的技术专家,Schmoll就可以让自己解放出来,专心进行IT应用的设计与规划工作。而在将桌面管理的任务成功分解之后,他的下一步目标就是应用的虚拟化了。Schmoll一直认为,这种面向新一代数据中心的技术是优化软件发布流程的最佳途径。
Altiris已经开始在其保护工具中提供应用虚拟能力,该工具使用的是一种专业的文件系统层技术,它能够持续跟踪应用的文件系统和注册“痕迹”。每个文件系统层都可以包含一个完整的应用,或者其他文件及数据集。据Altiris公司称,这些软件层可以删除、存档、移植到其他机器上,也可以使用用户选项和数据加以恢复,所有这一切并不会触及下层的Windows安装。
Schmoll认为,应用虚拟将加快桌面设备个人化的速度。另外,应用虚拟还会使临时的应用访问变得更加容易。根据以往的经验,Schmoll提醒那些尚未深入发掘桌面管理潜力的用户:“桌面机也是计算机,网络的管理者必须牢记这一点。”
惠普刀片PC解决方案中,使用Altiris管理软件作为刀片PC和瘦客户机的整合系统管理。该管理系统是业界顶尖的进行客户端管理的管理软件,可以对刀片PC和瘦客户机的操作系统进行远程的安装和升级,操作系统打补丁;各种软件包安装;对终端配置(如IP地址,机器名,桌面)进行远程配置;并支持进行远程管理和故障解决功能。
从部署的角度讲,Altiris管理软件支持客户按照需求定制一套或N套适合的系统映像;定制完成后可以通过一次性群组分发功能远程推送安装到所有刀片或瘦客户机上面。系统的部署不再需要到现场直接对每台刀片PC和瘦客户机终端进行系统的安装,软件的安装,系统配置的调整;所有的工作都可以通过部署在核心机房的Altiris管理服务器实现,刀片PC只需要插入机柜;瘦客户机仅需要运送到现场,接电接网线即可;甚至不需要进行首次的网络配置和机器名配置。同时,Altiris是业界很少支持首次系统部署同时分配SID功能的系统管理软件;所以客户可以很方便的进行部署;SID Generation功能可以自动实现首次安装系统自动分配SID号。
对于日常维护,Altiris管理软件支持远程唤醒、系统重启、关机等电源级别的操作,极大的方便了系统的日常使用;仅仅需要管理按照客户的需求配置任务既可实现。管理系统可以针对单机,客户机群,预先定制的各种工作组进行分块的系统管理。其管理功能非常强大,而且,Altiris作为惠普全球的合作伙伴,针对惠普的瘦客户机和刀片式PC还专门定制了脚本进行日常管理;客户的系统管理员仅仅需要进行简单的配置和脚本的托拽即可顺利完成日常的管理。其管理功能远非国内自有开发的客户机管理软件所能企及。
2007年4月,赛门铁克圆满完成了对Altiris的收购。Altiris是业内面向服务的管理软件领先提供商,主要帮助IT企业轻松管理多样化的IT资产,确保资产安全并提供相应服务。通过此次收购,赛门铁克将更好地帮助客户管理和实施端点上的IT策略、识别和防御威胁、修复资产并提供服务。