現在的公司一般都會有很多內部管理系統,比如OA、ERP、CRM、郵件系統等。員工入職之後如果每個系統都創建一個賬號和密碼,首先員工記系統賬號就是一件非常頭疼的事情,如果公司有一百個系統那就得創建一百個賬號(所在的公司就有估計200個系統、8萬員工)。就算我們用日記本把賬號統一記錄起來,可以解決賬號登 ...
現在的公司一般都會有很多內部管理系統,比如OA、ERP、CRM、郵件系統等。員工入職之後如果每個系統都創建一個賬號和密碼,首先員工記系統賬號就是一件非常頭疼的事情,如果公司有一百個系統那就得創建一百個賬號(所在的公司就有估計200個系統、8萬員工)。就算我們用日記本把賬號統一記錄起來,可以解決賬號登錄的問題。每個系統直接肯定會有相關的業務聯繫,在OA系統賬號是A1,在ERP系統賬號是A2,那麼我們如果對用同一員工在不同之間的業務操作。因此我們要考慮公司組織機構、崗位、員工的統一性,保證公司基礎組織架構數據統一,所以就需要創建一個基礎數據管理系統。
企業賬號統一管理的目標就是:公司的組織架構、崗位、員工基礎信息在所有系統中公用;一個賬號可以登錄所有系統,員工離職之後賬號被關閉,賬號不能登錄系統。
1、我們可以使用Active Directory管理公司的組織機構、員工賬號、電腦。員工入職之後在AD創建一個賬號,公司所有系統都是用單點登錄作為各個系統,這樣我們就不用每個系統創建賬號了。網路管理員可以對組織機構的OU目錄、員工設置相關策略設置網路資源的管理許可權。
Active Directory:是微軟非常重要的管理工具,而且微軟的重量級服務產品基本上都需要域的支持。活動目錄(Active Directory)主要提供以下功能:
①伺服器及客戶端電腦管理:管理伺服器及客戶端電腦賬戶,所有伺服器及客戶端電腦加入域管理並實施組策略。 ②用戶服務:管理用戶域賬戶、用戶信息、企業通訊錄(與電子郵件系統集成)、用戶組管理、用戶身份認證、用戶授權管理等,按省實施組管理策略。 ③資源管理:管理印表機、文件共用服務等網路資源。 ④桌面配置:系統管理員可以集中的配置各種桌面配置策略,如:用戶使用域中資源許可權限制、界面功能的限制、應用程式執行特征限制、網路連接限制、安全配置限制等。 ⑤應用系統支撐:支持財務、人事、電子郵件、企業信息門戶、辦公自動化、補丁管理、防病毒系統等各種應用系統。Microsoft Exchange:微軟Microsoft Exchange郵件系統,微軟的重量級產品,可以稱為最好的企業級郵件產品。部署在自己的伺服器上面,儘可能的保證數據安全。
AD RMS:
Windows Server 2008 R2 操作系統的 Active Directory 許可權管理服務 (AD RMS) 是一種信息保護技術,它與支持 AD RMS 的應用程式協同工作,以防止在未經授權的情況下使用數字信息(無論是聯機和離線,還是在防火牆內外)。AD RMS 適用於需要保護敏感信息和專有信息(例如財務報表、產品說明、客戶數據和機密電子郵件消息)的組織。AD RMS 通過永久使用策略(也稱為使用許可權和條件)提供對信息的保護,從而增強組織的安全策略,無論信息移到何處,永久使用策略都保持與信息在一起。AD RMS 永久保護任何二進位格式的數據,因此使用許可權保持與信息在一起,而不是許可權僅駐留在組織網路中。這樣也使得使用許可權在信息被授權的接收方訪問(無論是聯機和離線,還是在防火牆內外)後得以強制執行。AD RMS 可以建立以下必要元素,通過永久使用策略來幫助保護信息:
- 受信任的實體。組織可以指定實體,包括作為 AD RMS 系統中受信任參與者的 個人、用戶組、電腦和應用程式。通過建立受信任的實體,AD RMS 可以通過將訪問許可權僅授予適當的受信任參與者來幫助保護信息。
- 使用許可權和條件。組織和個人可以指定定義了特定受信任實體如何可以使用受許可權保護的內容的使用許可權和條件。讀取、複製、列印、保存、轉發和編輯的許可權都是使用許可權。使用許可權可以附加條件,例如這些許可權何時過期。組織可以阻止應用程式和實體訪問受許可權保護的內容。
- 加密。加密是通過使用電子密鑰鎖定數據的過程。AD RMS 可加密信息,使訪問建立在成功驗證受信任實體的條件之上。一旦信息被鎖定,只有在指定條件(如果有)下授予了使用許可權的受信任實體可以在支持 AD RMS 的應用程式或瀏覽器中對信息解除鎖定或解密。隨後應用程式將強制執行已定義的使用許可權和條件。
(備註:之後我會摘取組織機構基礎數據管理系統的相關功能分析給大家參考。)
