关键技术
» 活动目录（AD） » 操作系统自动部署（MDT） » 域隔离(IPSec)
方案的优势 具体方案和案例
平台级整体解决方案
» 账户、计算机、网络通信全面保护 » 资源集中管理和维护 » 行业标准易于扩展
采用Windows 2008 内置功能和免费扩展工具 Windows系统最佳实践 挑战并提升IT基础管理水平
关键技术
» 活动目录（AD） » 操作系统自动部署（MDT） » 域隔离(IPSec)
方案的优势 具体方案和案例
一个企业一个域 一个分支机构一个站点 一个部门一个OU 一个岗位一个组 一个员工一个账户
组策略管理
授权 用户配置文件
AD 账户信息来源 组的规划 计算机命名规范 客户机登陆和使用权限限制 加入域脚本 应用程序兼容性调整 组策略设置和维护（客户机配置和安全性管理） 关联服务：DNS、WSUS、DFS、IPSec、时间 服务、证书服务等
优点：

Clg编录文件
File 1 File2
降低存储成本 管理维护方便
Image 3 Image Image 2 1
Clg编录文件
File 1 File 3
Install 1
Install 2
统一部署： 灵活的部署控制 降低IT重复工作量 降低部署、维护成本 提高安全性
新装 旧操作系统 提取用户状态 (USMT) 备份计算机 (ImageX)
具备统一部署基础架构的机构: 完善的部署流程提高部署可靠性 灵活的镜像版本控制方便维护存储 免接触的全自动部署降低重复工作量 软件标准化降低维护管理成本
以MSF架构为指导
以WIM镜像为基础
以MDT2010为架构核 心
以统一管理为目标
完善的 流程
统一的 镜像
集中部 署
软件标 准化
WIM映像格式： 基于文件的映像格式 在一个文件中存储多个映像 可离线编辑 应用镜像时不需要删除原有文件 安装到任意大小的分区
微软的目录服务（LDAP）解决方案 统一管理网络资源的平台 存储网络资源记录的数据库
传统的工 作组模式
先进的 域模式
用户和计算机的集中管理中心 网络资源的安全授权中心 企业应用系统的整合中心 与第三方产品的区别：工具&平台
只读 AD DS 数据库 只读域名系统 (DNS) 单向复制 凭据缓存 管理员角色分隔 細颗粒的密码策略
关键技术
» 活动目录（AD） » 操作系统自动部署（MDT） » 域隔离(IPSec)
方案的优势 具体方案和案例
物理网络 网络服务（DHCP、WINS、DNS） 目录服务（AD） 安全Internet访问 文件服务 其他辅助架构
» » » » » » » » 补丁服务 证书服务 打印服务 终端服务 协作服务 消息服务 备份服务 防病毒服务
任务序列
重装
替换

Windows PE
实施新映像 (Setup.exe) 注入驱动和更新
新操作系统
安装应用程序 恢复用户状态 (USMT)
驱动程序 B 库
A 操作系统 WIM通用镜 像
C 系统和软件 全自动部署
终端信息 数据库
磁盘规划
E
D
公用应用 和非公用 应用程序
应用程序分类如下： 白名单：企业授权可以安装的软件 黑名单：企业明确禁用的应用软件 灰名单：企业可以忽略的应用软件 标准化设计如下： 白名单：通过MDT新机部署时安装，或通过SCCM软 件分发实现 黑名单：通过SCCM定期执行删除操作，或通过域策 略执行限制操作 灰名单：不操作，列入SCCM报表以便分析