2008环境中使用和管理BYOD,桌面管理员常见的终端管理问题

简单、集中式管理企业数据和应用程序的数据中心时代已经过去了。企业的IT管理员正面临着多种终端设备的爆炸式增长,而问题也伴随而来。新技术如移动设备、虚拟化和云计算已经被加入到原有的终端安全、开销和控制的考虑范围之内。这个终端管理问题集就这些问题做了部分解答。

许多公司已开始让员工“带自己的电脑上班(BYOD)”,这项举措最明显的好处就是,IT管理员可以将工作重心集中在管理数据中心的应用程序和工作负载上,而将终端设备的控制交给最终用户。在这种情况下,管理员能够更多地集中在后端以服务器为中心的管理上,而不用去关心那些台式机或笔记本电脑。

在允许用户使用自己的设备并将其接入到内部网络进行工作方面,企业收到了立竿见影的效果。“携带个人设备(BYOD)”的提议确实已经开启,不过,这在很多情况下会让Windows
服务器管理员们有点措手不及。

推荐专题:SA,神仙与装机男:运维的工作到底啥样儿?

尽管如此,许多工程师开始注意到在管理这些桌面,应用程序和会话时所遇到的困难。问题很快就变成:在现有的Windows服务器环境中,我们如何才能管理好所有的用户、虚拟环境以及虚拟会话?

传统的工作模式中,服务器工程师的任务是保护其环境免受恶意攻击、数据丢失、入侵和基于服务器主机的危险。而现在,管理员则必须处理一些外来设备,并允许它们访问内部资源。无论用户使用什么样的终端设备,它都需要放在Windows服务器上。

你的终端设备是否安全?

使用Windows和Citrix助力你的管理

调整现有的Windows 服务器安全实践

在考虑终端安全问题之前,管理员应了解敏感数据所在。消费扩张趋势的结果之一就是用户可以在许多管理员不可控的设备上访问数据。比如ipad和其他的苹果移动设备已经进入了传统的Windows领域。

随着虚拟化技术的飞速发展,IT经理们必须为确保最终用户的工作效率和积极性提供技术支持。当最终用户可以用自己的终端设备进行工作时,他们就能够更容易地操作自己熟悉的设备。更重要的是,因为所有的工作信息和数据都集中保存在数据中心内,所以即使用户的终端丢了也无关紧要。管理这种环境下的用户有很多种方法。企业数据中心都是唯一的,因此为确保Windows
Server 2008的环境能够满足BYOD而进行适当的规划很有必要。

即使在企业环境中接入了一些新型的终端设备,工程师们仍然能够成功地保护环境的安全并有效地管理。下面是一些管理和加强BYOD环境安全的提示和最佳做法。

在关注了数据访问方式之后,管理员就可以决定采用哪种形式的终端安全管理方式最有效,使用桌面、移动设备上的应用程序或者使用硬件设备。管理员应该复查在企业桌面和家庭终端应用的安全、备份策略。

借助Windows Server 2008
R2和Citrix开发的一系列虚拟应用程序和桌面基础设施可以让管理员搭建整个虚拟环境。通过结合这两种技术,工程师可以创建功能强大的虚拟环境,以满足快速增长和多元化最终用户工作负载的需求。

使用组策略(GPO)和活动目录(AD):在服务器管理方面,AD安全组在管理BYOD
环境时将会有很大作为。工程师们能够控制将哪些应用程序、桌面和工作负载传递到最终用户。管理员使用GPO也可以部署相应的客户端到最终用户。这对于无缝连接用户设备和保持一致的客户端工作体验非常重要。正确地使用GPO和AD安全组是有效管理BYOD
环境的第一步。

增强终端安全性的最佳方案

在结合使用这些解决方案的同时,有很多最佳实践可以参考。Windows Server2008
R2和 Citrix 的一些重要的管理步骤包括:

细致的权限监控:当用户登录到他们的环境时,可能会有文件夹映射和重定向。在
BYOD环境中用户可能仍需要一组要使用的文件夹。切记,在这种集中管理的环境中,任何终端设备都不能保存任何实际数据。尽管如此,适当的文件夹和共享管理非常重要。通过监控和管理现有文件夹的权限,可以最大限度地避免用户在使用自己的终端设备访问网络资源时犯错或意外地删除共享。

层次化的终端安全方案包含已经存在的防火墙、杀毒软件和补丁管理程序,它们应该集成一起监控当前状态。即使像IP电话和打印机这种不易引人注目的设备也同样存在安全隐患。

●组策略:在BYOD
环境中,必须要使用组策略。这样就能够通过设置登录参数来确保最终用户具有相应的虚拟桌面。我们可以在Citrix的管理界面或者在组策略中设置客户端规则。我们可以确保任何基于域的系统,在登录前加载最新的客户端以访问其虚拟桌面。为确保最终用户安装有正确的软件,所有的安装过程都是无缝且自动的。我们也可以设置检查点,以确保客户端的杀毒软件是正确的版本,或者用户已达到特定的登录条件。使用
Windows的组策略,管理员可以确保所有终端设备只有在符合某些应用程序的验证级别时才可以访问数据。

使用访问控制列表(ACL):访问控制是指授权用户、 组或计算机使用权利、
用户权限和审核对象访问网络对象的过程。ACL
可以迅速地成为服务器管理员监控和管理BYOD
环境的最有用工具之一。请记住,在Windows Server
2008中,包括来宾用户在内的每个人都可以读取和执行根目录中的文件。只有经过身份验证的用户才可以创建新的文件和文件夹,当用户创建好自己的文件或文件夹时,他们同时也获得了对它们的修改权限。在Windows
Server 2008环境中灵活使用ACL可以真正帮助锁定来自 BYOD 硬件的访问。

网站地图xml地图