摘要：為適應(yīng)現(xiàn)代復(fù)雜的網(wǎng)絡(luò)環(huán)境，有需要設(shè)計(jì)出基于域資源監(jiān)控系統(tǒng)，便于有效管理。文中講述了在此系統(tǒng)中利用WMI技術(shù)實(shí)現(xiàn)監(jiān)視、跟蹤有關(guān)應(yīng)用程序，系統(tǒng)組件和網(wǎng)絡(luò)系統(tǒng)事件等功能；將其中獲取的各類(lèi)信息，使用LDAP數(shù)據(jù)模式來(lái)存儲(chǔ)，達(dá)到有效集中地組織查找和管理網(wǎng)絡(luò)中的資源。通過(guò)組策略設(shè)置規(guī)劃，用戶可以根據(jù)自身權(quán)限安全訪問(wèn)域內(nèi)資源。

關(guān)鍵詞：活動(dòng)目錄；WMI；LDAP；組策略

中圖分類(lèi)號(hào)：TP311文獻(xiàn)標(biāo)識(shí)碼：A文章編號(hào)：1009-3044(2008)28-0056-02

Research on Resources Monitoring in Windows Domain Based on WMI and LDAP

KONG Juan， ZHANG Zhi-bin， XU Di-xin， LIU Guo-liang

(School of Information Technology Automation，Kunming University of Science and Technology，Kunming 650051，China)

Abstract: With the network becoming more and more complex nowadays，It is necessary to design a domain-based resources monitoring system for effective management.This paper introduces how to monitor and trace the application programs，system components and network events using WMI.Information storage is implemented by the LDAP directory technology which makes management of the resources in the network more effectively.Through Group Policy configuration to users and computers，everyone in the domain can safely access resources in the Active Directory.

Key words:active directory;WMI;LDAP;group policy

隨著網(wǎng)絡(luò)規(guī)模的擴(kuò)大，管理工作分散到整個(gè)系統(tǒng)中進(jìn)行分布處理，再將處理結(jié)果匯總。為了更好地將網(wǎng)絡(luò)按照管理結(jié)構(gòu)進(jìn)行劃分，網(wǎng)絡(luò)管理系統(tǒng)中引入了域的概念進(jìn)行管理的，能夠較好地適應(yīng)現(xiàn)代復(fù)雜網(wǎng)絡(luò)環(huán)境的要求。域（Domain）是一個(gè)共用“目錄服務(wù)數(shù)據(jù)庫(kù)”的計(jì)算機(jī)和用戶的集合。域是邏輯分組，與網(wǎng)絡(luò)的物理拓?fù)錈o(wú)關(guān)。域管理員可以基于域的活動(dòng)目錄來(lái)進(jìn)行集中管理、共享資源，如用戶、組、計(jì)算機(jī)帳號(hào)、組策略設(shè)置等等。

實(shí)現(xiàn)基于域資源監(jiān)控系統(tǒng)，需要一定技術(shù)來(lái)支持。因此在基于Windows的活動(dòng)目錄平臺(tái)，利用WMI技術(shù)獲取系統(tǒng)信息，將不同來(lái)源的數(shù)據(jù)在通用、標(biāo)準(zhǔn)且邏輯基礎(chǔ)上有組織地映像出來(lái)；選擇LDAP數(shù)據(jù)存儲(chǔ)方式，建立數(shù)據(jù)之間的關(guān)聯(lián)，有效集中地組織查找網(wǎng)絡(luò)資源。根據(jù)用戶和計(jì)算機(jī)需求制定適當(dāng)?shù)慕M策略，使得域內(nèi)保持穩(wěn)定的網(wǎng)絡(luò)環(huán)境。

文中講述通過(guò)Visual Studio 2005編寫(xiě)程序用WMI獲取域管理系統(tǒng)中各種軟硬件信息，并存儲(chǔ)到LDAP目錄中，根據(jù)條件查詢各類(lèi)信息，使得域管理系統(tǒng)可以隨時(shí)監(jiān)視網(wǎng)絡(luò)運(yùn)行情況。同時(shí)規(guī)劃和制定合理組策略，保證域內(nèi)安全。

域服務(wù)器監(jiān)控系統(tǒng)設(shè)計(jì)（圖1）：系統(tǒng)中，監(jiān)控程序通過(guò)COM/DCOM獲取本機(jī)或遠(yuǎn)程計(jì)算機(jī)的資源信息；系統(tǒng)管理員通過(guò)配置管理即組策略來(lái)獲取和管理活動(dòng)目錄（AD）中的狀態(tài)監(jiān)控參數(shù)；將配置管理信息使用LDAP數(shù)據(jù)存儲(chǔ)方式保存，并通知監(jiān)控程序；而監(jiān)控過(guò)程中需要將獲取的信息與已保存的策略信息比較；通過(guò)信息發(fā)布平臺(tái)來(lái)顯示域中各個(gè)成員的當(dāng)前或歷史運(yùn)行工作狀態(tài)及相關(guān)處理信息。

1 利用WMI獲取域中計(jì)算機(jī)信息

計(jì)算機(jī)以及網(wǎng)絡(luò)組成較為復(fù)雜，例如系統(tǒng)硬件方面有主板、硬盤(pán)、網(wǎng)卡等;軟件方面有操作系統(tǒng)、系統(tǒng)中安裝的軟件、正在運(yùn)行的進(jìn)程等需要一個(gè)分布式數(shù)據(jù)采集平臺(tái)，它滿足標(biāo)準(zhǔn)化、容易擴(kuò)展性；當(dāng)異常事件發(fā)生時(shí)，具有報(bào)警功能；進(jìn)行監(jiān)測(cè)；盡量減小對(duì)各個(gè)計(jì)算機(jī)的影響，并考慮整個(gè)網(wǎng)絡(luò)的負(fù)載均衡。域內(nèi)信息的收集和數(shù)據(jù)的處理是現(xiàn)代計(jì)算機(jī)管理中非常重要的任務(wù)。WMI是一種輕松獲取系統(tǒng)信息的強(qiáng)大工具，在桌面系統(tǒng)、應(yīng)用程序、網(wǎng)絡(luò)和其他企業(yè)組件中查詢并設(shè)置信息，還可以創(chuàng)建事件監(jiān)視應(yīng)用程序，并出現(xiàn)異常時(shí)提醒用戶。

WMI（Windows Management Instrumentation）是Microsoft基于Web的企業(yè)管理(WBEM)的實(shí)現(xiàn)，同時(shí)也是一種基于標(biāo)準(zhǔn)的系統(tǒng)管理接口。WMI技術(shù)是微軟提供的Windows下的系統(tǒng)管理工具，通過(guò)該工具可以在本地管理客戶端系統(tǒng)中幾乎一切的信息，很多專(zhuān)業(yè)的網(wǎng)絡(luò)管理工具都是基于WMI開(kāi)發(fā)的。[1] 在.Net Framework開(kāi)發(fā)環(huán)境下，通過(guò)調(diào)用WMI Classes和COMAPI 實(shí)現(xiàn)了對(duì)域中設(shè)備的收集和管理。WMI使用面向?qū)ο蟮念?lèi)概念來(lái)建立網(wǎng)絡(luò)模型。Win32 類(lèi)集是在 root\\cim2 名字空間中，提供了管理不同對(duì)象的類(lèi)。[5]例如：Win32_Product類(lèi)集是用于由 MSI 安裝的產(chǎn)品信息收集，其中Name：產(chǎn)品通用名稱(chēng)；IdentifyingNumber：產(chǎn)品標(biāo)識(shí)，如軟件的序列號(hào)；InstallDate：產(chǎn)品安裝日期；InstallLocation：已安裝產(chǎn)品位置；Vision：產(chǎn)品版本號(hào)；PackageCathe：產(chǎn)品本地緩存程序包的位置。這些屬性就可以整體表現(xiàn)一個(gè)軟件產(chǎn)品信息。其他的屬性則不需要獲取出來(lái)。同時(shí)這些信息要通過(guò)LDAP協(xié)議寫(xiě)入到活動(dòng)目錄中管理。

2 基于LDAP目錄服務(wù)的域網(wǎng)絡(luò)管理系統(tǒng)數(shù)據(jù)存儲(chǔ)

2.1 LDAP概述

由于不同的操作系統(tǒng)和應(yīng)用程序以不同的格式在網(wǎng)絡(luò)上存儲(chǔ)了大量的信息，這使得網(wǎng)絡(luò)管理無(wú)法在一個(gè)集中的信息庫(kù)中以方便的方法管理網(wǎng)絡(luò)資源和信息，同時(shí)用戶也必須使用不同的應(yīng)用程序來(lái)獲取不同的信息，這大大增加了用戶的負(fù)擔(dān)。這時(shí)需要一種技術(shù)能夠以通用的格式和方式實(shí)現(xiàn)信息的存儲(chǔ)和共享。LDAP目錄服務(wù) (Directory Service)技術(shù)就是應(yīng)上述需求而產(chǎn)生的一種技術(shù)，它通過(guò)命名、描述和指定一個(gè)企業(yè)范圍內(nèi)的用戶和資源，來(lái)簡(jiǎn)化通訊與管理，使用戶可以用簡(jiǎn)單的方法就可以查找、檢索到所需要的資源或其它用戶信息，可以幫助管理人員收集和控制散步在企業(yè)計(jì)算機(jī)網(wǎng)絡(luò)中的信息。LDAP是輕量目錄訪問(wèn)協(xié)議（Lightweight Directory Access Protocol），LDAP的核心規(guī)范在RFC中都有定義它是基于X.500標(biāo)準(zhǔn)的，但是簡(jiǎn)單多了并且可以根據(jù)需要定制。與X.500不同，LDAP支持TCP/IP，這對(duì)訪問(wèn)Internet是必須的。

與平面關(guān)系型數(shù)據(jù)庫(kù)相比，LDAP目錄服務(wù)的優(yōu)勢(shì)在于其樹(shù)狀結(jié)構(gòu)的條目式存儲(chǔ)方式、高效的分布式存儲(chǔ)能力、快速的數(shù)據(jù)檢索能力、安全的認(rèn)證機(jī)制。[2]這些優(yōu)勢(shì)使得LDAP適合作為基于域的管理系統(tǒng)數(shù)據(jù)存儲(chǔ)模型，它能夠很方便地實(shí)現(xiàn)數(shù)據(jù)的檢索，提供安全可靠的數(shù)據(jù)交換。

目錄中的信息是以目錄信息樹(shù)（Directory Information Tree）的樹(shù)狀結(jié)構(gòu)來(lái)組織與存儲(chǔ)的，樹(shù)中的節(jié)點(diǎn)稱(chēng)為條目DIT（Entry），條目由屬性（Attribute）集構(gòu)成，屬性的取值可以是多個(gè)。條目與屬性的類(lèi)型（Type）分別由目錄模式（Schema）中的對(duì)象類(lèi)類(lèi)型(ObjectClasses)與屬性類(lèi)型(AttributeTypes)定義，服務(wù)器用這些信息來(lái)決定如何讓屬性值（一種比較操作）去匹配條目的屬性，服務(wù)器用這些信息來(lái)允許增加和修改條目操作。它把網(wǎng)絡(luò)環(huán)境中的各種資源(用戶、硬件設(shè)備、網(wǎng)絡(luò)設(shè)備、數(shù)據(jù)、信息等)都作為目錄信息，在目錄樹(shù)結(jié)構(gòu)中分層存儲(chǔ)，對(duì)這些信息可以存儲(chǔ)、訪問(wèn)、管理并使用，是為有效的集成管理網(wǎng)絡(luò)目錄中的信息提供服務(wù)，是支持網(wǎng)絡(luò)系統(tǒng)的重要底層基礎(chǔ)技術(shù)之一。

2.2 LDAP模型實(shí)現(xiàn)

設(shè)計(jì)網(wǎng)絡(luò)管理信息 LDAP存儲(chǔ)模型時(shí)，需要處理好如下原則：不同種類(lèi)的網(wǎng)絡(luò)管理信息都可以有效地存儲(chǔ)；定義合適的 LDAP類(lèi)和屬性；提供合理的命名規(guī)則和有效的數(shù)據(jù)檢索能力。

模型實(shí)現(xiàn)首先創(chuàng)建DIT中信息子樹(shù)，在DIT根目錄下創(chuàng)建兩個(gè)子樹(shù)：（圖2）

ou=user，dc=learnad，dc=com

ou=systemresource，dc=learnad，dc=com

其次設(shè)備信息模式定制。盡管LDAP提供了一系列的標(biāo)準(zhǔn)對(duì)象定義和數(shù)據(jù)屬性定義，但它們并不能完全滿足用戶的管理需要，定制合適特定要求的對(duì)象和屬性以便正確地表達(dá)目錄信息，成為一項(xiàng)必須的工作。LDAP目錄數(shù)據(jù)庫(kù)中存放的是設(shè)備的基本信息，基本信息包括序列號(hào)、管理員、物理位置、網(wǎng)管IP地址等參數(shù)。[3]這些參數(shù)必須要與通過(guò)WMI獲取來(lái)的數(shù)據(jù)信息相對(duì)應(yīng)，使域內(nèi)信息保持同步更新。

最后，需要LDAP的認(rèn)證和授權(quán)服務(wù)，通過(guò)各種內(nèi)部函數(shù)查詢LDAP服務(wù)中多項(xiàng)條目。在此采用基本認(rèn)證方式，即提供用戶的DN和密碼，而服務(wù)器檢查DN和密碼是否與目錄中的一個(gè)目錄項(xiàng)吻合來(lái)判斷用戶是否合法。根據(jù)事先在組策略中設(shè)置的用戶權(quán)限授權(quán)，準(zhǔn)許對(duì)目錄服務(wù)信息操作。

3 組策略保證安全訪問(wèn)資源

簡(jiǎn)單地說(shuō)，組策略就是修改注冊(cè)表中的配置。它將系統(tǒng)重要的注冊(cè)表配置功能匯集成各種配置模塊，提供管理人員直接使用，從而達(dá)到方便管理計(jì)算機(jī)的目的。當(dāng)然，組策略使用自己更完善的管理組織方法，可以對(duì)各種對(duì)象中的設(shè)置進(jìn)行管理和配置。根據(jù)實(shí)際需求，不同用戶或設(shè)備分配到不同工作組，以組為單位設(shè)置不同權(quán)限訪問(wèn)網(wǎng)絡(luò)資源。

管理員應(yīng)確保根據(jù)計(jì)算機(jī)用戶的工作職責(zé)來(lái)配置系統(tǒng)。這些配置應(yīng)考慮以下因素：根據(jù)職責(zé)的需要限制程序或?qū)嵱贸绦虻目捎眯?；提高審核?jí)別；采用最小特權(quán)政策；限制對(duì)可拆卸介質(zhì)的使用，如光盤(pán)，優(yōu)盤(pán)；應(yīng)對(duì)哪些用戶授予服務(wù)器的管理權(quán)限；哪些用戶應(yīng)擁有特定文件夾的訪問(wèn)權(quán)；跨部門(mén)文件夾訪問(wèn)提供何種特權(quán)；用戶是否有權(quán)在工作站上安裝軟件應(yīng)用程序等。針對(duì)以上需求，為了避免域服務(wù)器遭受網(wǎng)絡(luò)攻擊，利用組策略啟用安全審核策略，強(qiáng)化審核，遠(yuǎn)離攻擊，保護(hù)安全。同時(shí)還需建立多個(gè)組策略，用來(lái)管理域內(nèi)資源信息，比如共享訪問(wèn)策略、安全策略、軟件安裝策略、軟件限制策略等，來(lái)提高系統(tǒng)的安全性。

通過(guò)MMC平臺(tái)添加組策略，對(duì)用戶和計(jì)算機(jī)進(jìn)行相關(guān)權(quán)限和安全設(shè)置，并通過(guò)基于LDAP協(xié)議的配置程序把資源信息添加到活動(dòng)目錄中去。當(dāng)執(zhí)行WMI服務(wù)時(shí)，可以通過(guò)LDAP協(xié)議在活動(dòng)目錄中提取出策略信息，作為WMI的指令集信息，對(duì)域系統(tǒng)進(jìn)行監(jiān)控，如發(fā)現(xiàn)了該用戶或計(jì)算機(jī)運(yùn)行了限制使用的程序，報(bào)警并將其掛起規(guī)定時(shí)間，隨后根據(jù)需要可強(qiáng)行遠(yuǎn)程刪除此限制軟件。

4 結(jié)束語(yǔ)

在域管理系統(tǒng)中，管理員更為關(guān)注的是監(jiān)視應(yīng)用程序的運(yùn)行狀況，檢測(cè)瓶頸或故障，管理和配置應(yīng)用程序，查詢應(yīng)用程序數(shù)據(jù)，執(zhí)行無(wú)縫的本地或遠(yuǎn)程管理等操作，并能在最短時(shí)間里最有效率地處理或規(guī)避上述問(wèn)題。WMI是提供收集和監(jiān)測(cè)網(wǎng)絡(luò)中設(shè)備資源的工具，而LDAP數(shù)據(jù)存儲(chǔ)有快速的數(shù)據(jù)檢索能力，便于配置和部署。組策略集中統(tǒng)一管理用戶環(huán)境和設(shè)備資源，從而高效地解決了軟件安裝、系統(tǒng)升級(jí)等管理工作。將這三者有機(jī)結(jié)合，使得域資源管理更有效，保證域內(nèi)的安全控制。

參考文獻(xiàn)：

[1] 宋昕，盛晨，王新華.基于WMI的計(jì)算機(jī)管理技術(shù)的研究和實(shí)現(xiàn)[J].浙江科技學(xué)院學(xué)報(bào)，2007，19(1):24-26.

[2] 趙春，趙成棟，康建初.LDAP在基于域的網(wǎng)絡(luò)管理中應(yīng)用的研究[J].計(jì)算機(jī)工程與應(yīng)用，2004，18:141-143.

[3] 王嘉佳，賈卓生.基于LDAP目錄服務(wù)的網(wǎng)絡(luò)設(shè)備管理[J].現(xiàn)代計(jì)算機(jī)，2005，203:71-74.

[4] Timothy A.Howes Ph.D..Mark C.Smith， Gordon S.Good. Understanding and Deploying LDAP Directory Services (second edition) [M].U S: Addison Wesley，2003.

[5] 張光妲，劉茹敏，張桂香.使用C#獲取系統(tǒng)信息方法研究[J].齊齊哈爾大學(xué)學(xué)報(bào)，2005，21(3):71-73.