多级互联域系统的运行维护系统的制作方法

多级互联域系统的运行维护系统的制作方法
【专利摘要】一种多级互联域系统的运行维护系统，包括：域系统维护模块，用于分别对多级互联域系统的根域和子域进行域系统维护，对域林的域控服务器进行运行监控和备份恢复处理，以及对域增强管理模块进行运行维护；域应用维护模块，用于通过子域网络对多级互联域系统进行域使用维护、组策略维护以及域系统变更审计处理；域增强管理模块，用于利用相应域管理增强软件增强域系统维护模块多级互联域系统的域控服务器的运行监控和备份恢复处理功能，以及增强域应用维护模块对多级互联域系统的域使用维护、组策略维护和域系统变更审计处理功能。上述多级互联域系统的运行维护系统，可有效解决多级互联域系统在运行维护中存在安全性、可控性和易用性比较差的问题。
【专利说明】多级互联域系统的运行维护系统
【技术领域】
[0001]本发明涉及计算机网络和信息【技术领域】，特别是涉及一种多级互联域系统的运行维护系统。
【背景技术】
[0002]域系统是微软公司推出的集中式目录管理服务，多级互联域系统是大型企业部署的大规模、多层次的域系统，是企业最重要的基础服务之一。多级互联域系统的维护是一项重要而复杂的工作，然而由于域系统自身管理功能较弱，无法满足大型企业多级互联域系统复杂多变的运行维护需求。
[0003]域系统是微软公司推出的集中式目录管理服务，域系统已在大型企业广泛使用，是企业最重要的基础服务之一。由于大型企业一般规模都比较庞大，大型企业域系统往往是个面向全省、甚至全国的多级互联域系统，多为单林多域的多级互联域系统，整个域林包括一个根域和多个子域，每个子域中包含多台域控服务器。
[0004]多级互联域系统的运行维护是一个重要而复杂的工作，在多级互联域系统的运行维护过程中，需要由不同的人员参与进来，如一线服务人员、二线运维人员、三线技术支持人员等，来完成不同类型的维护工作，如计算机管理、用户管理、组策略管理、系统管理、故障排除等。
[0005]域系统功能强大，但自身管理功能较弱，特别是在多级互联运行模式下，域系统的运行监控、分级维护、组策略维护、操作审计、报告报表、备份恢复等功能方面存在较大欠缺，无法满足大型企业多级互联域系统安全运行维护的需要。
[0006]微软公司推出了一系列的工具和软件来管理域系统，国外一些公司(如Zoho、NetIQ)也推出了一些域系统的增强管理软件，但这些软件都存在不够系统、不够全面的问题。
[0007]例如,ADManager Plus和ADAudit Plus是Zoho公司推出的域增强管理软件。其中=ADManager Plus是一款简单易用的域管理和报告解决方案，能够帮助域管理员和帮助台技术人员进行日常维护工作。利用基于Web的直观的用户界面，该软件可处理多种复杂的任务，例如批量处理用户帐户和域对象、给帮助台技术员指派基于角色的访问权限等、并可以生成丰富的报表，满足顺应性审计的需求。ADAudit Plus是一款基于Web的域变更审计和报告解决方案，帮助审计和跟踪域中的所有变更，详细记录变更历史。审计诸如创建，删除和编辑用户、计算机、组和域策略等变更。ADManager Plus和ADAudit Plus解决了多级互联域系统下日常维护和变更审计的问题，但是，ADManager Plus和ADAudit Plus无法独立完成多级互联域系统下的所有运维管理工作。
[0008]再如，NetIQDirectory and resource Administrator 是 NetIQ 公司推出的域增强管理软件，其包括了细粒度的管理访问控制、细粒度的管理权限委派、集中管理的域活动行为日志、可控的用户域自我服务等功能。同样地,与ADManager Plus和ADAudit Plus类似,NetIQ Directory and resource Administrator也只是解决了多级互联域系统下日常管理和变更审计的问题，无法独立完成多级互联域系统下的所有运行维护工作。
[0009]综上现有多级互联域系统下的运行维护技术，存在着多级互联域系统存在的安全性、可控性和易用性比较差的问题。

【发明内容】

[0010]基于此，有必要针对多级互联域系统存在的安全性、可控性和易用性比较差的问题，提供一种多级互联域系统的运行维护系统。
[0011]一种多级互联域系统的运行维护系统，包括:域系统维护模块、域应用维护模块以及域增强管理模块；
[0012]所述域系统维护模块，用于分别对多级互联域系统的根域和子域进行域系统维护，对域林的域控服务器进行运行监控和备份恢复处理，以及对域增强管理模块进行运行维护；
[0013]所述域应用维护模块，用于通过子域网络对多级互联域系统进行域使用维护、组策略维护以及域系统变更审计处理；
[0014]所述域增强管理模块，用于利用相应域管理增强软件增强域系统维护模块多级互联域系统的域控服务器的运行监控和备份恢复处理功能，以及增强域应用维护模块对多级互联域系统的域使用维护、组策略维护和域系统变更审计处理功能。
[0015]上述多级互联域系统的运行维护系统，域系统维护模块对多级互联域系统进行域系统维护、域系统运行监控以及域系统备份恢复处理；域应用维护模块通过子域网络对多级互联域系统进行域使用维护、组策略维护、域系统变更审计处理，域增强管理模块利用不同的域增强管理软件来增强多级互联域系统的可管理性。实现全面的多级互联域系统维护，可有效解决多级互联域系统在运行维护中存在的安全性、可控性和易用性比较差的问题。
【专利附图】

【附图说明】
[0016]图1为一个实施例的多级互联域系统的运行维护系统的维护模式架构示意图；
[0017]图2为一个实施例的多级互联域系统的运行维护系统的部署拓扑结构图。
【具体实施方式】
[0018]下面结合附图对本发明的多级互联域系统的运行维护系统的【具体实施方式】作详细描述。
[0019]本发明的多级互联域系统的运行维护系统，包括:域系统维护模块、域应用维护模块以及域增强管理模块。
[0020](I)所述域系统维护模块，用于分别对多级互联域系统的根域和子域进行域系统维护，对域林的域控服务器进行运行监控和备份恢复处理，以及对域增强管理模块进行运行维护。
[0021]在一个实施例中，域系统维护模块进一步包括:域系统维护系统、域系统运行监控系统以及域系统备份恢复系统。
[0022]所述域系统维护系统，用于执行域控服务器增加删除、域控服务器迁移、域系统配置更改、域故障分析处理。
[0023]通过上述域系统维护处理功能，可以由专业IT人员，如系统维护人员、厂家技术支持人员等，来完成对多级互联域系统的域控服务器增加删除、域控服务器迁移、域系统配置更改、域故障分析处理等维护处理。
[0024]所述域系统运行监控系统，用于对域系统的运行状态进行监控，对域系统的关键运行指标进行监控。
[0025]通过上述域系统运行监控处理功能，可以由系统管理员、系统监控人员等，来完成对域系统的运行状态监控，对域系统的关键运行指标进行监控等等维护处理。
[0026]所述域系统备份恢复系统，用于域的备份、域系统或对象恢复。
[0027]通过上述域系统备份恢复处理功能，可以由系统管理员、系统备份人员等，来完成域的备份、域系统或对象恢复等维护处理。
[0028]由于大规模多级互联域系统的管理工作量很大，通过将域的维护工作进行划分，从而可以委派给不同的人员完成，如域系统管理工作通常是由专业IT人员完成，如系统监控人员、系统维护人员、厂家技术支持人员等，可以最大化地发挥多级互联域系统的作用，并降低域系统管理员的工作量，提高域维护工作的安全性和可控性。
[0029](2)所述域应用维护模块，用于通过子域网络对多级互联域系统进行域使用维护、组策略维护以及域系统变更审计处理。
[0030]在一个实施例中，域应用维护模块进一步包括:域使用维护系统、组策略维护系统以及域系统变更审计系统。
[0031]所述域使用维护系统，用于执行用户账号维护、计算机账号维护、组维护、组织单元维护、联系人维护。
[0032]通过上述域使用维护处理功能，可以由委派的非专业IT人员，如人力资源部门操作人员、IT客服人员、或基层单位兼职信息员等，来完成用户账号管理、计算机账号管理、组管理、组织单元管理、联系人管理等维护处理。
[0033]所述组策略维护系统，用于执行组策略的创建、编辑、审核、应用。
[0034]通过上述组策略维护处理功能，可以由组策略管理员、安全管理员、桌面终端维护人员等，来完成组策略的创建、编辑、审核、应用等维护处理工作。
[0035]所述域系统变更审计系统，用于对域系统变更审计、域系统使用审计。
[0036]通过上述统变更审计处理功能，可以由安全管理员或安全审计员，来实现对域系统变更审计、域系统使用审计等维护处理工作。
[0037]由于在域应用管理工作中，通过将域使用维护处理工作由子域的相关单位信息中心技术员、人力资源部门操作人员、IT客服人员、部门(或基层单位)兼职信息员等人员来完成；组策略维护处理工作由子域相关单位信息中心安全管理员或组策略管理员来完成；域系统变更审计工作由子域相关单位信息中心安全审计员来完成。可以最大化地发挥多级互联域系统的作用，并降低域系统管理员的工作量，提高域管理维护工作的安全性和可控性。
[0038](3)所述域增强管理模块，用于利用相应域管理增强软件增强域系统维护模块多级互联域系统的域控服务器的运行监控和备份恢复处理功能，以及增强域应用维护模块对多级互联域系统的域使用维护、组策略维护和域系统变更审计处理功能。
[0039]在一个实施例中，域增强管理模块进一步包括:域系统运行监控增强系统、域备份恢复增强系统、域日常维护增强系统、组策略维护增强系统以及域变更审计增强系统。
[0040]所述域系统运行监控增强系统，用于利用域管理增强软件提供域系统运行监控系统图形化视图的功能，并通过snmp协议、WMI协议或安装在域控上的代理程序获取各域控系统的运行状态，对整个多级互联域的运行状态进行监控，并在出现异常时产生告警，其中，监控内容包括域的复制关系和状态、域的信任关系和状态、域控角色操作主机的运行状态、域控关键服务的运行状态、域控服务器关键性能指标、域数据库完整性、域可用性。
[0041]通过上述域系统运行监控增强系统，可以由系统监控人员来实现对整个多级互联域的运行状态进行监控，如域的复制关系和状态、域的信任关系和状态、域控角色操作主机的运行状态、域控关键服务的运行状态、域控服务器关键性能指标、域数据库完整性、域可用性等。
[0042]所述域备份恢复增强系统，用于利用域管理增强软件提供域系统备份恢复系统集中对所有域控服务器进行自动备份的功能，在制定好备份策略后对域进行备份，并使用备份数据进行域控裸机系统恢复、域应用全恢复或域对象恢复。
[0043]通过上述域备份恢复增强系统，可以由管理员使用备份数据进行域控裸机系统恢复、域应用全恢复或域对象恢复等。
[0044]所述域日常维护增强系统，用于利用域管理增强软件为域使用维护系统提供简单易用的图形化操作界面(浏览器或GUI)，并通过图形化操作界面提供用户账号管理、计算机账号管理、组管理、组织单元管理、联系人管理的处理界面。
[0045]通过上述域日常维护增强系统，可以为非IT专业的操作员提供诸如用户账号管理、计算机账号管理、组管理、组织单元管理、联系人管理等维护处理方案，从而可由系统管理员可将大量繁琐的域日常维护工作委派给不同的人员完成。
[0046]所述组策略维护增强系统，用于利用域管理增强软件为组策略维护系统提供扩展的组策略管理控制台，并通过组策略管理控制台对组策略对象进行更改和改进控制，存储组策略的副本，并对存储的组策略进行编辑、对比、审核、批准、应用、回退、备份、恢复。
[0047]通过上述组策略维护增强系统，实现了组策略管理控制台(GPMC)的功能扩展，提供了全面的更改、改进控制组策略对象(GPO)的维护方式，实现组策略的维护功能。
[0048]所述域变更审计增强系统，用于利用域管理增强软件，并通过域相关协议将域系统变更审计系统连接到域控服务器上，收集域的相关变更数据，审计和跟踪域中的变更信息，对变更信息进行记录并生成报表，包括创建、删除和编辑的目录变更，其中，目录变更内容包括用户、计算机、组和域策略的变更。
[0049]通过上述域变更审计增强处理方式，实现了域变更审计变更数据的跟踪和记录，并可以产生便于普通用户理解的报表。
[0050]对于域增强管理模块使用的域管理增强软件，可以包括如下:
[0051]AD 域运行监控软件:Microsoft SCOM for Active Directory。
[0052]AD 域备份恢复软件:Symantec Backup Exec for Active Directory。
[0053]AD 域日常管理软件:Zoho ADManager Plus。
[0054]组策略管理软件！MicrosoftAdvanced Group Policy Management。
[0055]AD 域变更审计软件:Zoho ADAudit Plus0
[0056]参见图1所示，图1为一个实施例的多级互联域系统的运行维护系统的维护模式架构示意图。
[0057]具体的，多级互联域系统的域系统维护处理在根域所在的信息中心完成，信息中心集中对域林中所有的域控服务器(包括根域和子域)进行控制和维护，如图中所示，通过域系统维护模的域系统维护系统、域系统运行监控系统和域系统备份恢复系统对根域和子域进行维护(图中只给出了子域1，其它子域连接方式相同)。域系统维护主要包括域控服务器增加删除、域控服务器迁移、域系统配置更改、域运行监控、域备份恢复、域故障分析处理、域增强管理模块的运行维护等。
[0058]上述域系统维护由专业IT人员完成，如系统监控人员、系统维护人员、厂家技术支持人员等来完成。在域系统维护中，系统监控人员可以通过域监控系统对整个域林中的所有域控服务器的运行进行集中监控；系统维护人员可以通过域备份恢复系统对整个域林中的所有域控服务器进行备份；系统维护人员及厂家技术支持人员可以通过远程桌面连接、KVM连接、服务器虚拟化平台客户端连接等方式对域控服务器进行维护操作。
[0059]多级互联域系统的域应用维护可以由子域相关单位人员完成。域应用维护包括了域使用维护、域组策略维护、域系统变更审计等工作。在域应用维护工作中，域使用维护工作可以由子域相关单位信息中心技术员、IT客服人员、基层单位信息维护员等人员通过域日常维护系统完成；组策略维护工作可以由子域的信息中心安全维护员或组策略维护员通过组策略维护系统完成；域系统变更审计工作可以由子域相关单位信息中心安全审计员通过域变更审计系统完成。域应用维护的所有操作可以通过相应维护系统软件完成的，维护人员无需直接访问和登录域控服务器。
[0060]在一个实施例中，所述域增强管理模块还包括域维护权限分配系统，用于在域系统运行监控系统中为系统监控人员分配监控相关操作的权限，在域系统备份恢复系统中为系统备份人员分配制定备份任务和查看备份任务完成情况的权限，在域使用维护系统中为操作员分配用户维护、计算机维护、组维护、OU维护的权限，在组策略维护系统中为安全管理员或组策略管理员分配组策略创建、编辑、审核、应用的权限，在域系统变更审计系统中为安全审计员分配查询变更操作，生成审计报告的权限。
[0061]在上述域维护权限分配中，除系统管理员在进行系统维护时需要具有域管理员权限及域增强管理系统自身的管理员权限外，其它相关系统的管理人员在域中只需分配给其普通用户权限即可，其所需的域管理及操作权限在域增强管理模块的相应的增强系统上进行分配即可。
[0062]在一个实施例中，参见图2所示，图2为一个实施例的多级互联域系统的运行维护系统的部署拓扑结构图。所述域运行监控增强系统、域日常维护增强系统、组策略维护增强系统集中部署在根域的信息中心；所述域备份恢复增强系统、域变更审计增强系统分布部署于各个子域所在的网络中。
[0063]目前，大型企业级互联域系统的域控服务器主要是Windows Server 2003或Windows Server 2008，各下级子域的域控服务器都是部署于本地的数据中心网络，并在本地进行维护。为提高域系统的安全性、可控性和可用性，采用集中运行、集中维护方式能够一定程度上满足需求，即所有域控服务器都部署在总公司数据中心，由总公司的信息中心集中进行维护，但由于受网络带宽限制，该方式仍然具有较大的局限性。为此，在多级互联域系统的运行维护系统具体部署中，通过采用了“分布部署，集中维护”的方式，将跨广域网的各子域的域控服务器部署在子域所在网络中，即各下级子域(对应企业总公司的下级单位)的域控服务器部署位置不变，仍放置于级子域的数据中心网络，但域系统基础运维工作则统一由根域的域控服务器(对应企业总公司)集中完成，各下级子域则完成域使用维护、组策略维护、域系统变更审计维护等。从而提高了大规模多级互联域系统的安全性、可控性和易管理性，又不影响域系统的性能和可用性。提升域用户的访问速度，避免域访问数据对大型企业广域网性能造成影响。
[0064]一般情况下，由于大型企业的多级互联域系统的用户遍及各下级单位的网络，若采用大集中的方式将所有子域的域控服务器集中部署在总公司的信息中心，则用户的域访问数据可能会影响到大型企业广域网的性能，以及在网络繁忙时域用户的访问速度会很低。
[0065]上述实施例，通过分布部署，集中维护的架构，将跨广域网的各个子域的域控服务器部署在子域所在的网络中，实现分布部署，集中维护的功能，通过将跨广域网的各子域的域控服务器部署在子域所在网络中，可以提升域用户的访问速度，避免域访问数据对大型企业广域网性能造成影响。
[0066]基于以上运行模式中，位于总公司的系统管理员、厂家技术支持人员可通过域系统维护模块的域系统维护系统、域系统运行监控系统、域系统备份恢复系统，利用远程桌面连接、KVM连接、服务器虚拟化平台客户端连接等方式对位于各下级单位网络的各个下级子域的域控服务器进行统一维护。而位于下级单位人员则可通过域增强管理模块的域系统运行监控增强系统、域备份恢复增强系统、域日常维护增强系统、组策略维护增强系统、域变更审计增强系统，调用域管理增强软件完成域使用维护、组策略维护、域系统变更审计等操作，无需连接登录到域控服务器上。
[0067]本发明的多级互联域系统的运行维护系统，通过将域的管理工作分解为系统管理和应用管理，并进一步通过分级管理，权限委派功能，可以最大化地发挥多级互联域系统的作用，并降低域系统管理员的工作量，提高域系统维护工作的安全性和可控性。通过多级互联域系统的运行维护系统，可以将不同的域管理任务分配给不同的人员，为不同的人员分配不同的域操作的权限。同时，多级互联域系统的维护处理细分为域系统维护和域应用维护两部分，其中系统维护包括域系统维护、域运行监控、域备份与恢复等，域应用维护包括了域日常维护、组策略维护、域变更审计等，同时，通过使用不同的增强软件来增强多级互联域系统的可管理性。提高了多级互联域系统维护的效率，提高级互联域系统维护的安全性。
[0068]综合上述实施例，本发明的多级互联域系统的运行维护系统，适用于大规模多级互联域系统的维护管理。基于“分级维护，权限委派；分布部署，集中维护”的方式，建了一个多级互联域系统维护系统。在该系统中，为提高多级互联域系统维护的效率，提高级互联域系统维护的安全性，实现将不同的域维护任务分配给不同的人员，为不同的人员分配不同的域操作权限。同时，将多级互联域系统的维护操作由域系统维护模块和域应用维护模块来实现，域系统维护模块对多级互联域系统进行域系统维护、域系统运行监控以及域系统备份恢复处理；域应用维护模块通过子域网络对多级互联域系统进行域使用维护、组策略维护、域系统变更审计处理；可有效解决多级互联域系统在运维管理中存在的安全性、可控性和易用性比较差的问题，可满足大型企业多级互联域系统安全运行维护的需要，可有效解决大型企业多级互联域系统在运行维护中存在的问题，提高大型企业多级互联域系统维护的安全性、可控性和易用性。目前，本发明的技术已在广东电网内部进行了试点应用，取得了良好的技术效果，具备很好的应用前景。
[0069] 以上所述实施例仅表达了本发明的几种实施方式，其描述较为具体和详细，但并不能因此而理解为对本发明专利范围的限制。应当指出的是，对于本领域的普通技术人员来说，在不脱离本发明构思的前提下，还可以做出若干变形和改进，这些都属于本发明的保护范围。因此，本发明专利的保护范围应以所附权利要求为准。
【权利要求】
1.一种多级互联域系统的运行维护系统，其特征在于，包括:域系统维护模块、域应用维护模块以及域增强管理模块； 所述域系统维护模块，用于分别对多级互联域系统的根域和子域进行域系统维护，对域林的域控服务器进行运行监控和备份恢复处理，以及对域增强管理模块进行运行维护；所述域应用维护模块，用于通过子域网络对多级互联域系统进行域使用维护、组策略维护以及域系统变更审计处理； 所述域增强管理模块，用于利用相应域管理增强软件增强域系统维护模块多级互联域系统的域控服务器的运行监控和备份恢复处理功能，以及增强域应用维护模块对多级互联域系统的域使用维护、组策略维护和域系统变更审计处理功能。
2.根据权利要求1所述的多级互联域系统的运行维护系统，其特征在于，所述域系统维护模块包括: 域系统维护系统，用于执行域控服务器增加删除、域控服务器迁移、域系统配置更改、域故障分析处理； 域系统运行监控系统，用于对域系统的运行状态进行监控，对域系统的关键运行指标进行监控； 域系统备份恢复系统，用于执行域的备份、域系统或对象恢复。
3.根据权利要求1所述的多级互联域系统的运行维护系统，其特征在于，所述域应用维护模块: 域使用维护系统，用于执行用户账号维护、计算机账号维护、组维护、组织单元维护、联系人维护； 组策略维护系统，用于执行组策略的创建、编辑、审核、应用； 域系统变更审计系统，用于执行对域系统变更审计、域系统使用审计。
4.根据权利要求2和3所述的多级互联域系统的运行维护系统，其特征在于，所述域增强管理模块包括: 域系统运行监控增强系统，用于利用域管理增强软件提供域系统运行监控系统图形化视图的功能，并通过snmp协议、WMI协议或安装在域控上的代理程序获取各域控系统的运行状态，对整个多级互联域的运行状态进行监控，并在出现异常时产生告警，其中，监控内容包括域的复制关系和状态、域的信任关系和状态、域控角色操作主机的运行状态、域控关键服务的运行状态、域控服务器关键性能指标、域数据库完整性、域可用性； 域备份恢复增强系统，用于利用域管理增强软件提供域系统备份恢复系统集中对所有域控服务器进行自动备份的功能，在制定好备份策略后对域进行备份，并使用备份数据进行域控裸机系统恢复、域应用全恢复或域对象恢复； 域日常维护增强系统，用于利用域管理增强软件为域使用维护系统提供简单易用的图形化操作界面，并通过图形化操作界面提供用户账号管理、计算机账号管理、组管理、组织单元管理、联系人管理的处理界面； 组策略维护增强系统，用于利用域管理增强软件为组策略维护系统提供扩展的组策略管理控制台，并通过组策略管理控制台对组策略对象进行更改和改进控制，存储组策略的副本，并对存储的组策略进行编辑、对比、审核、批准、应用、回退、备份、恢复； 域变更审计增强系统，用于利用 域管理增强软件，并通过域相关协议将域系统变更审计系统连接到域控服务器上，收集域的相关变更数据，审计和跟踪域中的变更信息，对变更信息进行记录并生成报表，包括创建、删除和编辑的目录变更，其中，目录变更内容包括用户、计算机、组和域策略的变更。
5.根据权利要求4所述的多级互联域系统的运行维护系统，其特征在于，所述域增强管理模块还包括域维护权限分配系统，用于在域系统运行监控系统中为系统监控人员分配监控相关操作的权限，在域系统备份恢复系统中为系统备份人员分配制定备份任务和查看备份任务完成情况的权限，在域使用维护系统中为操作员分配用户维护、计算机维护、组维护、OU维护的权限，在组策略维护系统中为安全管理员或组策略管理员分配组策略创建、编辑、审核、应用的权限，在域系统变更审计系统中为安全审计员分配查询变更操作，生成审计报告的权限。
6.根据权利要求4所述的多级互联域系统的运行维护系统，其特征在于，所述域运行监控增强系统、域日常维护增强系统、组策略维护增强系统集中部署在根域的信息中心；所述域备份恢复增强系统、域变`更审计增强系统分布部署于各个子域所在的网络中。
【文档编号】H04L12/24GK103716184SQ201310682161
【公开日】2014年4月9日 申请日期:2013年12月13日 优先权日:2013年12月13日
【发明者】吴石松, 王甜 申请人:广东电网公司信息中心