核心基础结构优化实施者资源指南 从合理化到动态.docx

核心基础结构优化实施者资源指南 从合理化到动态.docx

《核心基础结构优化实施者资源指南 从合理化到动态.docx》由会员分享，可在线阅读，更多相关《核心基础结构优化实施者资源指南 从合理化到动态.docx（93页珍藏版）》请在冰点文库上搜索。

核心基础结构优化实施者资源指南从合理化到动态

IO指南-从合理化到动态

摘要

基础结构优化的目标在于按照逻辑顺序构建一种高效、安全且优化的IT基础结构和服务。

优化的IT基础结构建立在IT标准的基础之上，并确保符合这些标准。

在每个优化级别对IT基础结构所做的改进可以大大降低成本、增加安全性并提高可用性和易管理性。

这是三个资源指南中的第三个指南，它解释了从定义的四个IT服务级别的其中一个级别转变为下一更有效且简化的服务级别所需的关键IT功能。

本文档简单描述了四个级别并介绍了Microsoft®核心基础结构优化模型中的各个功能。

它随后介绍了关于规划、构建、部署和管理这些功能的高级概念，并且提供了相关资源的链接，其中可以找到更详细且切实可行的内容。

您可以使用本指南中包含的信息来帮助您从合理化级别转变为动态级别。

IO资源指南概述-从合理化转变为动态

本文档提供实施Microsoft基础结构优化模型（下列各节中有所说明）中重点讲述的IT功能的技术路线图。

我们建议使用本指南中概述的步骤来熟悉基础结构优化模型中的工具、过程和概念。

这些资源指南并不是用于部署新的IT服务或功能。

其目的是简要介绍在实施这些功能及服务时可用于为您的IT部门带来更高效率、组织和收益率的高级别考虑事项、步骤、过程和Microsoft工具。

本页内容

 目标读者 

 基础结构优化概念 

 核心基础结构优化功能 

 核心基础结构优化模型级别 

 核心基础结构优化功能概述 

目标读者

本文档是专门为负责规划、部署和操作IT系统和数据中心的IT专业人士以及那些想要实施基础结构优化模型的技术和过程概念的人员而设计的。

 页首 

基础结构优化概念

Microsoft基础结构优化（IO）是围绕三个信息技术模型构建的：

核心基础结构优化、应用程序平台基础结构优化和业务生产效率基础结构优化。

其中每个IO模型包含四个级别的过程成熟度，还包含与每个成熟度级别的要求逻辑分组相同的能力分类。

核心IO侧重于IT服务及组件的基本要素；应用程序平台IO侧重于软件开发的最佳方案；业务效率IO侧重于最大限度地提高通信、协作和最终用户生产效率所需的基础结构。

下表重点说明了每个IO模型的功能。

模型

功能

核心基础结构优化模型（核心IOM）

身份和访问管理

台式机、设备和服务器管理

数据保护和恢复

安全和网络

安全过程

应用程序平台基础结构优化模型（APIOM）

用户体验

SOA和业务流程

数据管理

开发

商业智能

业务效率基础结构优化模型（BPIOM）

协作和沟通

企业内容管理

商业智能

基础结构优化概念通过转向一个安全、已定义且高度自动化的环境，帮助客户为其IT基础结构节省了大量成本。

它按逻辑顺序规定功能，有助于组织以可测量且可实现的速度提高级别。

当基本的IT基础结构成熟时，安全性会从易受攻击提高到极具前瞻性，并且管理过程从大多情况下需要手动响应转变为高度自动化且具有前瞻性。

Microsoft及其合作伙伴提供了技术、流程和过程来帮助客户迈向基础结构优化之路。

流程从零碎或不存在状态转变为经过优化且可重复状态。

当从基础级别转变为标准化级别、合理化级别直至最后转变为动态级别时，客户能够使用技术来改善其业务灵活性并增加业务价值。

本指南后面部分将定义这些级别。

基础结构优化模型是由麻省理工学院（MIT）信息系统研究中心（CISR）的行业分析人员开发出来的，其中借助了Microsoft自身与其企业客户的经验。

Microsoft创建基础结构优化模型的关键目标在于开发一种简单的方式来使用灵活的并且可轻松用作技术能力和业务价值基准的成熟框架。

使用此模型的第一步就是评估模型内IT基础结构的当前成熟度级别。

这有助于确定您的组织需要哪些功能以及应按照什么顺序部署这些功能。

本文档重点介绍从IT基础结构和过程的合理化级别转变为核心基础结构优化模型中的动态级别。

此系列的其他资源指南重点介绍从核心基础结构优化模型中的较低级别进行转变所需的功能。

 页首 

核心基础结构优化功能

核心基础结构优化模型定义了五个功能，它们是构建更加灵活的IT基础结构的初始要求。

这五个功能是每个成熟度级别的基础。

身份和访问管理

描述客户应如何管理人员和资产身份、管理和保护身份数据应实施的解决方案以及如何管理公司移动用户、客户和/或防火墙的外部客户访问资源。

台式机、设备和服务器管理

描述客户应如何管理台式机、移动设备和服务器以及如何跨网络部署修补程序、操作系统和应用程序。

数据保护和恢复

提供结构化且严格的备份、存储和还原管理。

随着信息和数据存储日益增多，组织保护信息并在必要时提供经济且省时的恢复所面临的压力也在不断增大。

安全和网络

描述客户实施其IT基础结构以帮助确保防止XX访问信息和通信所应该考虑的问题。

在维持对公司资源访问的同时，还提供一种机制用于防止IT基础结构受到攻击和感染病毒。

安全过程

对如何在达到很高的可靠性、可用性和安全性的同时经济高效地设计、开发、操作和支持解决方案提供切实可行的最佳方案指导。

虽然满足可靠、可用且安全性很高的IT服务的需求需要坚实的技术，但仅凭技术是不够的；还需要完善的过程和人员（技巧、角色和责任）。

本文档在各个章节都介绍了安全过程和IT过程（基于ITIL/COBIT的管理过程）。

 页首 

核心基础结构优化模型级别

除了功能之外，核心基础结构优化模型还为每个功能定义了四个优化级别（基础、标准化、合理化和动态）。

这些优化级别的特点如下：

优化级别1：

基础

基本的IT基础结构的特点是具有手动、本地化的过程；中央控制程度最低；不存在或未强制实施IT策略和安全标准、备份、映像管理和部署、符合性以及其他常见IT实践。

由于缺乏工具和资源，应用程序和服务的整体运行状况处于未知状态。

通常，所有修补程序、软件部署和服务都是手动提供。

优化级别2：

标准化

标准化基础结构引入了下列控制：

使用标准和策略来管理台式机和服务器；控制计算机引入网络的方式；使用ActiveDirectory®目录服务来管理资源、安全策略和访问控制。

处于标准化状态的客户已经意识到了基本标准和某些策略的价值，但还有待进一步提高。

通常，所有修补程序、软件部署和桌面服务都是通过中等接触（成本为中到高）提供的。

这些组织都有一份合理的硬件和软件清单，并且开始管理许可证。

通过锁定的外围改善安全措施，但是内部安全仍面临风险。

优化级别3：

合理化

在合理化基础结构中，管理台式机和服务器所涉及的成本最低，并且过程和策略经过优化，开始对业务的支持和壮大发挥着很大作用。

安全极具前瞻性，对威胁和挑战的响应也很快速且受到控制。

使用零接触部署有助于最大限度地减少成本、缩短部署时间并降低技术难度。

映像数量最小，用于管理台式机的过程几乎是完全自动的。

这些客户拥有一份详细的硬件和软件清单，他们只购买他们所需的许可证和计算机。

无论是台式机、服务器、防火墙还是Extranet，均具有严格的策略和控制，可极具前瞻性地预防安全问题。

优化级别4：

动态

使用动态基础结构的客户已经充分意识到基础结构在帮助有效地开展业务并领先竞争对手方面所带来的战略价值。

可以完全控制成本；用户和数据、台式机以及服务器之间具有集成；用户与部门之间的合作很普遍；移动用户不管身在何方，都几乎可以享受现场级别的服务和功能。

过程已完全自动化，通常已融入技术本身，这样使得能够根据业务需求调整和管理IT。

技术方面的额外投资可以为企业带来特殊、迅速且可测量的收益。

通过使用自行设置软件和类似于隔离的系统来确保修补程序管理以及与建立的安全策略的符合性，动态基础结构组织能够自动化过程，从而帮助改善可靠性、降低成本并提高服务级别。

 页首 

核心基础结构优化功能概述

下图列出了各个功能通过优化级别进行改进的基本要求。

图1.各个优化级别的功能要求

有关详细信息（包括客户案例研究和业务价值信息），请访问

自我评估

Microsoft开发了一种自我评估工具，您可以用来确定您当前的优化级别。

我们建议您在继续本指南之前先使用此工具。

该工具是以本指南中提供的资料为基础。

要访问自我评估工具，请访问

以下章节提供了每个核心功能的相关问题，可以引导您查看本规划指南的相关章节。

您的问题的答案将指定哪些章节包含适用于您的组织的指南。

以下章节中的许多要求都具有与其相关联的最小属性。

如果您的组织满足本节所述的各个要求以及要求属性，即表明您已经实现动态级别。

此时，您的组织已经实施了持续的改善方法来确定如何超过您的IT组织的动态级别达到更高级别的组织成熟度。

您可以打印本章节作为记分卡，用于确定在您所在组织中需要实施哪些要求和属性。

功能：

身份和访问管理

动态优化级别要求跨异类类似系统集中管理用户设置以及跨组织和平台边界联合管理身份。

在转变为动态级别之前，本指南假定已经满足了合理化级别的要求，包括存在基于目录的工具、台式机和服务器配置和安全策略的强制实施过程、信息保护过程和基础结构以及在台式机上实施的被管理的本地策略和安全模板。

要求：

身份和访问管理

是

否

跨80%或更多的异类系统进行集中且自动化的用户帐户设置（例如，发布新帐户、更改密码、同步权限或支持访问业务应用程序）。

属性：

∙定义您所在组织的当前身份对象设置工作流，并且定义要改善或优化的区域。

∙识别用于管理对象身份生命周期的技术。

∙实施合并的解决方案以自动化常见用户帐户设置工作流。

有关详细信息，请参阅本文档中的自动设置用户帐户，或访问以下网站：

∙Microsoft身份和访问管理系列中的设置和工作流

∙WindowsServer2003技术库

∙Microsoft身份和访问管理系列

要求：

身份和访问管理

是

否

实施基于联合目录的工具，以向外部客户、服务提供商以及业务合作伙伴启用经过身份验证的访问。

属性：

∙验证是否需要向外部实体提供经过身份验证的访问。

∙确定允许外部访问所定义的资源的战略和策略。

∙实施技术来确保定义的外部用户安全地访问定义的服务。

有关详细信息，请参阅本文档中的基于联合目录的服务以对外部用户进行身份验证，或访问以下网站：

∙WindowsServer2003ActiveDirectory技术中心

∙ActiveDirectory联合服务（ADFS）

∙WindowsServer2003技术库

∙Microsoft身份和访问管理系列

功能：

台式机、设备和服务器管理

动态优化级别要求您的组织具有合适的过程和工具对移动设备进行自动化服务管理，并使它们在易管理性和安全性方面与台式机接近同步。

此外，动态级别要求在生产中使用虚拟化以便合并和平衡服务器工作负荷。

在转变为动态级别之前，本指南假定已经满足了合理化级别的要求，包括自动化硬件和软件资产管理、自动化台式机和服务器的修补程序管理、自动化操作系统映像部署、使用具有最新软件和操作系统的薄映像进行桌面映像合并、针对开始在生产中使用虚拟化技术拟定了计划。

要求：

台式机、设备和服务器管理

是

否

有工具用于为主要IT服务（如电子邮件）执行自动的基础结构容量规划。

属性：

∙为自动容量规划识别主要IT候选服务。

∙创建容量模型来自动执行容量规划，或者实施了容量规划工具。

有关详细信息，请参阅本文档中的基础结构容量规划，或访问以下网站：

∙Microsoft操作框架中的容量管理

∙MicrosoftSystemCenterCapacityPlanner2006

要求：

台式机、设备和服务器管理

是

否

通过被管理的台式机和便携式计算机几乎同步管理移动设备并访问IT服务和应用程序。

属性：

∙采用安全的技术，使得能够通过移动设备访问主要的业务线应用程序（如LOB应用程序、CRM、供应链）。

∙为移动设备建立并定义一组标准的基本映像。

∙实施自动解决方案来持续更新移动设备中的配置设置和/或应用程序。

∙为移动设备部署自动隔离解决方案。

∙为移动设备实施自动修补程序管理解决方案。

∙为移动设备实施自动资产管理解决方案。

有关详细信息，请访问本文档中的动态移动设备管理和访问，或访问以下网站：

∙使用MicrosoftExchangeServer2003SP2部署基于WindowsMobile的设备分步指南

∙MicrosoftTechNetWindowsMobile中心

∙WindowsMobile解决方案提供商

要求：

台式机、设备和服务器管理

是

否

实施虚拟化以根据资源需求或业务规则在服务器之间转移工作负荷。

属性：

∙向虚拟机部署一部分生产IT服务或应用程序。

∙积极管理和优化共享硬件设备上的系统资源。

有关详细信息，请参阅本文档中的实施虚拟化，或访问以下网站：

∙合并和迁移LOB应用程序的解决方案加速器

∙合并和迁移LOB应用程序的解决方案加速器中的实施指南

∙TechNet上的MicrosoftVirtualServer2005R2

∙SystemCenterVirtualMachineManager2007

功能：

安全和网络

动态优化级别要求您的组织跨客户端和服务器边缘实施集成的威胁管理和迁移、针对定义的服务实施真正的服务级别监视（从数据中心延伸到最终用户），并为未应用修补程序或被感染的计算机实施隔离解决方案。

在转变为动态级别之前，本指南假定已经满足了合理化级别的要求，包括服务器和台式机上具有由策略管理的本地防火墙、部署了安全的无线网络、实施了IPsec解决方案、存在公钥基础结构（PKI）和证书服务以及通过与分支机构链接的虚拟专用网（VPN）和优化的广域网（WAN）进行远程访问。

要求：

安全和网络

是

否

跨客户端和服务器边缘进行集成威胁管理和迁移。

属性：

∙评估服务器边缘安全威胁，并且评估威胁缓解解决方案。

∙实施技术解决方案来跨客户端和服务器边缘抵御基于Internet的威胁。

有关详细信息，请访问本文档中的威胁管理和迁移，或访问以下网站：

∙MicrosoftTechNet上的ISAServerTechCenter

∙Microsoft的IntelligentApplicationGateway（IAG）2007

∙WindowsServerSystem参考体系结构防火墙服务实施指南

要求：

安全和网络

是

否

台式机、应用程序和服务器基础结构的启用了模型的服务级别监视。

属性：

∙定义台式机、应用程序和服务器基础结构服务模型。

∙评估用于跨定义的服务监视连接和组件的可用性的技术。

∙实施自动化解决方案来定义和监视服务级别。

有关详细信息，请访问本文档中的启用了模型的服务级别监视，或访问以下网站：

∙MicrosoftTechNet上的SystemCenterOperationsManager2007

∙OperationsManager2007联机帮助和文档库

∙Microsoft操作框架中的服务级别管理

要求：

安全和网络

是

否

未应用修补程序或被感染的计算机的自动隔离解决方案。

属性：

∙评估为远程和现场用户启用网络隔离的技术。

∙为远程用户实施VPN隔离解决方案。

有关详细信息，请参阅本文档中的自动隔离服务，或访问以下网站：

∙MicrosoftTechNet上“在Microsoft虚拟专用网络中实现隔离服务规划指南”

∙WindowsServer2003指南中的网络访问隔离控制

∙MicrosoftTechNet上的虚拟专用网网站

功能：

数据保护和恢复

动态优化级别要求您的组织具有可以管理台式机上的数据备份和恢复的过程和工具。

在转变为动态级别之前，本指南假定已经满足了合理化级别的要求，包括为所有处于中央、中枢和分支位置的被管理的服务器定义备份和恢复服务。

要求：

数据保护和恢复

是

否

通过服务级别协议（SLAs）为80%或更多的台式机实施定义的备份和还原服务。

属性：

∙建立台式机的备份和恢复服务目标。

∙为组织中的台式机定义和实施合适的备份和还原服务，并建立SLA。

有关详细信息，请参阅本文档中的为台式机管理备份，或访问以下网站：

∙WindowsXPProfessional资源工具包：

备份和恢复数据

∙MicrosoftDataProtectionManager2006规划指南 

∙WindowsServer系统参考体系结构备份和恢复服务

功能：

安全性和基于ITIL/COBIT的管理过程

动态优化级别要求您的组织优化并不断改善其提供的IT服务。

在合理化级别，服务级别协议适用于服务器监视以及备份和恢复服务。

在动态级别，SLA已扩展到所有被管理的IT服务，并且使用生物特征扫描或等效扫描访问高度敏感的数据或关键数据，采用高级的二元身份验证使得安全性变得更加复杂。

要求：

安全性和基于ITIL/COBIT的管理过程

是

否

建立安全过程和技术，为高度敏感的数据启用高级的二元身份验证（如生物特征扫描）。

属性：

∙为高度敏感的数据开发和实施高级的二元身份和访问管理策略。

有关详细信息，请参阅本文档中的高级的二元用户身份验证，或访问以下网站：

∙使用智能卡进行安全访问规划指南

∙MicrosoftTechNet安全中心

要求：

安全性和基于ITIL/COBIT的管理过程

是

否

实施最佳方案以便进一步优化您的IT组织。

属性：

∙实施最佳方案“可用性管理”。

∙实施最佳方案“财政管理”。

∙实施最佳方案“基础结构工程设计”。

∙实施最佳方案“IT服务持续性管理”。

∙实施最佳方案“劳动力管理”。

有关详细信息，请参阅本文档中的优化过程，或访问以下网站：

∙MicrosoftTechNet上的Microsoft操作框架（MOF）

准备实施核心IO要求

《核心基础结构优化实施者资源指南：

从合理化到动态》指南中详细的功能和要求章节将向您展示帮助实施核心基础结构优化动态级别的要求所需的过程和技术的高级上下文。

这些章节提供了重点领域的上下文详细信息，介绍了过程和技术，也提供了整个相关实施指南的链接。

Microsoft核心IO要求目录服务以MicrosoftWindowsServer®产品中的ActiveDirectory为基础。

如果功能满足定义的要求，Microsoft合作伙伴和第三方解决方案就可以用来满足模型中的所有要求。

分阶段方法

Microsoft推荐了一种分阶段方法，可以满足各个IO功能的要求。

四个阶段如下图所示。

图2.IO功能的四个阶段

在“评估”阶段，您可以确定您所在组织内的当前功能和资源。

在“识别”阶段，您可以确定哪些必须完成以及您想并入什么功能。

在“评估和计划”阶段，您可以确定要实施“识别”阶段所述的功能需要执行哪些操作。

在“部署”阶段，您可以执行在前一阶段制定的计划。

解决方案传播

《核心基础结构优化实施者资源指南：

从合理化到动态》指南中详细的功能和要求章节将着重介绍截至文档的发布日期Microsoft提供的指导和技术。

我们期待这些技术及其相关指导不断发展。

当本指南编写出来时，某些产品或技术也会随之发布；在这种情况下，会对相关产品作简要描述，并提供对应MicrosoftTechNet网站的超链接。

有关任何产品更新以及本文档中提及的功能，请定期访问 MicrosoftTechNet。

实施服务

本文档中所述的项目的实施服务均由Microsoft合作伙伴和Microsoft服务部门提供。

要获得有关实施《核心基础结构优化实施者资源指南》中着重介绍的核心基础结构优化项目的帮助，请联系您附近的Microsoft合作伙伴或访问 Microsoft服务网站了解详细信息。

IO功能：

身份和访问管理-从合理化到动态

本页内容

 简介 

 要求：

跨异类系统进行集中且自动化的用户帐户设置 

 要求：

外部客户和业务合作伙伴基于目录的身份验证 

简介

身份和访问管理是一种核心基础结构优化功能，也是基础结构优化模型中实施许多功能的基础。

下表列出了在“身份和访问管理”中转变为动态级别的高级别挑战、适用的解决方案和优点。

挑战

解决方案

优点

业务挑战

用户仍然需要服务台来访问资源－无用户设置

组织的身份不清楚

IT挑战

虽然身份集中管理，设置和配置也都方便管理，但无多系统单一登录功能

用户仍然每天收到多次身份验证提示

项目

实施集中管理用户设置的解决方案

跨组织和平台边界实施联合身份管理解决方案

业务好处

提供多系统单一登录功能可降低管理成本和提高用户效率

防火墙内的各种身份存储库相互连接且受信任，允许设置身份工作流

IT好处

密码管理集中

身份帐户设置的取消和生命周期管理自动进行

支持成本和用户停机时间减少

持续的身份和访问管理侧重于Microsoft身份和访问管理系列中所述的以下功能：

∙身份和访问管理的基础

∙基本概念  

∙平台和基础结构

∙身份生命周期管理

∙身份聚合和同步

∙Intranet和Extranet的密码管理

∙设置和工作流

∙访问管理和单一登录

∙Intranet访问管理

∙Extranet访问管理 

注意，在任何组织中，上述功能都是身份和访问管理服务的重要部分。

有关详细信息，请参阅 Microsoft身份和访问管理系列。

基础结构优化模型中身份和访问管理的标准化和合理化级别涵盖统一目录服务以及自动的强制实施配置和安全策略这些关键领域。

动态级别通过实施自动用户帐户设置和第三方对网络资源的安全访问来扩展这些功能。

 页首 

要求：

跨异类系统进行集中且自动化的用户帐户设置

目标读者

如果80%或更多的异类系统中没有用于用户帐户设置的集中和自动工具，则应阅读本章节。

概述

当今的大型组织用于设置系统、为计算机网络用户提供信息的过程通常很复杂，且设计拙劣。

例如，在有些组织中，新信息工作人员需要长达两周的时间才能访问电子邮件和工作所需的应用程序。

在身份设置中常见的这种繁锁的手动过程会不但增加管理开销，拖延员工工作，而且通常导致网络环境不安全。

手动管理设置任务速度缓慢，并且通常不能一致地实施访问和身份验证策略。

没有