正在阅读：直面问答 微软基础架构优化模型及解决方案直面问答 微软基础架构优化模型及解决方案

　　这四个会比较简单，让很多企业IT能更好的运用，如果太多步骤的话，可能会觉得遥遥无期。所以你看到我们内部IT用的时候也是以同样的理念为这做好准备。在四个状态的过程当中，第一先谈谈员工。在普遍状态的时候，IT员工是常常困扰于系统维护的，这就是十年前的我。我开始来工作的时候，常常每天都有六、七个人在排队等着我，我一到办公室就有人等着我，说我有这个需求你可以帮我实现吗？如果到了标准化的时候，你会看到我们的IT员工能够逐步为IT提供非常有规划的服务。如果到了合理化阶段的时候，你会看到IT员工是比较高效的，就像我目前这样，我不需要直接面对我的用户，反而是面对我自己的客户和伙伴的时间会更多了。用户能用正确的工具来访问他所需要的任何信息。刚才Dixon(何迪生）有谈到，我们有1800个应用程序，如果我们没有办法做到那样的时候，我们1800个应用程序是没办法用得上的。所以我们的用户是不需要找IT他就能够很快的把任务完成。到了动态的阶段，你看到IT会变成一个战略的资源。用户会把IT看成最有价值的合作伙伴。

　　打个比方。我们在谈到远程登录VPN，如果你把它做成动态的阶段，我们所提供不单单是信息保障的安全，也是提高生产力的手段。我们做到VPN的时候，如果你是做普通IT进接过程，IT管理人员每天都需要去看VPN的服务器是不是还能用的。如果它有标准化的时候，开始会说我的VPN服务器是99.9%的能够用的时间，每个月可能有8分钟、7分钟的宕机，其他时间都能用的。微软的考核标准规定我们75%的用户在一分钟登录，你看到不同点吗？你看到我们有上千万的用户需要每个月登录。我们常常在每个月为公司节约3000多万分钟的生产力。你想想3000多万分钟的生产力为公司带来的效率是多么大的？这是一个非常明显的例子。可以在一个很普通的基础架构里面，如何的把它演进成动态的阶段。

　　在流程管理方面你也可以看到，你在一个非常普通的阶段，没有在意流程的存在，IT系统是非常的复杂。到了标准化的时候，终于会有一些安全的策略，有安全的镜像，能够检测哪个机器是不标准的。到合理化的时候，你看到IT跟企业的目标紧密结合的，我们所提供的生产力的提高是与企业的目标紧密结合的。到了动态化你可以看到我流程进行主动化的不同的改进。我们目前已经创立了一个机制，能够很快的知道哪一个流程会出现问题。微软IT除了用MOF，也用了行业常用的标准，包括六个标准差来探讨一些我们内部架构的问题。当然最主要一点，就是通过Microsoft Operation Framework的管理。

　　在技术管理的层面你会看到不同的状态会出现不同的状况，如果是在普通的阶段和合理的阶段，你会看到他们不知道桌面的更新状况，所以很多IT的人如果要打补丁的时候是自己去打补丁的。我曾经见过一个新加坡的客户公司有3000台机器，在这个状态之下，当遇到一个非常大的病毒的时候，所有的人都不用工作了，全去打补丁，因为一打不了补丁，整个公司就瘫痪了。而在微软里面我们不只自动身份验证，授权管理，还有自动化。我们有自我防护、监控和隔离的功能，已经采用了NAP，Windows Vista 和 Windows Server 2008。

　　谈到基础优化的活动目录的管理，你可以看到我们的身份验证是从2000年逐步的开始，我们用了活动目录AD，目前我们已经达到了动态阶段，已经能够单点登录，也能够双重验证。大家都知道什么是双重验证吗？就好象我用的这个卡。这个卡这边有一个芯片，我们叫智能卡。智能卡里有Windows很小的操作系统。里面存储的就是PKI证书。跟银行用的U盾类似。我们为什么会选择用这样的卡呢？这个卡里面有照片，有我的名字，你放双重验证的时候，放入读卡器的时候会问你，就像U盾一样，问你的密码。你必须拿到这个卡，你必须通过我来给你密码，安全性就提高了。我们是达到这样的阶段。

　　如果说谈到用户的授权，其实在各种状态之下它有不同的使用方式。如果在很初步的阶段，你可以看到IT只是“消防队”。用户是自己管理，当然他的安全性不高，包括他们有自己的服务器自己管理，他们没有用组策系列的方式来管理，如果是到了标准阶段。到了合理化的时候，你可以把活动目录衍生，OU（Organization Union）和SG(Security Group)，在活动目录里面有两个非常大的特质，你能够把它分组化。打个比方。Dixon(何迪生）他是市场行销部，在市场行销部里面他们会有一个SG。如果有1800个应用程序，如果是一个新的同事刚刚加入微软，加入市场行销部。在市场行销部里面你会看到他怎么知道他需要用哪1800个里面的应用程序呢？那是非常困难的。所以如果在非常初级阶段的IT管理模式里面，用户要自己去找答案。如果是在我们这样的架构里面他不需要。我们能做些什么呢？我们在行销部的秘书那，就可以把这个人在活动目录里面把新人加入了SG里面，一加入了之后这个人就能够得到跟Dixon(何迪生）一样的授权。所以Dixon(何迪生）能用的应用程序，他也能够用。所以你看到生产力在应用方面已经提高了很多。对信息保安有问题吗？没有问题，因为我们都说是同一个组的，都能够被授权用的就能够用。

　　在配置服务方面你可以看到，我们微软IT已经做到自助服务和自动化。在这两个管理里面，UG管理里面我们IT是放手不做的，我们已经授权给了每个部门的主管。因为部门的主管会知道他要授权给谁，IT是不知道的，IT只是听口令，命令，说我要给这个人授权，给那个人授权。以前的IT有集中式的管理也出现这样的毛病。它的毛病是什么呢？就是之前我谈到的，部门主管叫IT授权，你可以想像到有一天企业庞大了，部门的主管其实是不知道他已经授权给了谁，尤其是经历了三年到五年的状态之下，他根本都不知道他已经给了谁授权。所以在这样的状态之下，你的信息安全是不是出现了问题。因为那个人可能已经离职了，也可能调了部门，不在你这个部门工作了，你可以想象那个破坏性是多大。到我们这个阶段，微软我们的基础架构优化里面，我们能够用我们的用户提供这样的方便，他是管理人的话，主管的话，他在每半年会收到一个报告，你的这些群组管理是给了谁授权，你认为你应不应该给这些人授权。他肯定会知道应该不应该给那个人授权，安全保障性是非常的好。