EAD分級管理解決方案

ead解決方案應用靈活、功能豐富，已經在各種不同型別的網路中得到了廣泛的應用。而對於一些終端使用者規模龐大的網路環境（如擁有眾多分支機構的大型企業），ead解決方案特別推出了分級管理特性。

為了便於全網的管理員進行比較統一的策略部署，ead分級管理特性推薦由最上級的管理員進行基礎策略的統一定製，而後再進行層層的下發。下級的管理員可以依據上級ead下發的策略進行繼承、自定義等操作，從而生成更加滿足本地需要的策略。

ead分級管理解決方案的架構圖如下所示：

ead解決方案分級架構示意圖

圖中分部有多套ead，各個ead上的相關安全策略、使用者策略等資訊則由上級ead下發給下級。總的來說，ead分級管理特性可以從策略下發、資訊上傳和使用者漫遊三個方面進行說明。

策略下發：

上級的ead伺服器支援向下級ead下發服務策略、分級許可權控制策略及安全策略等。其中，安全策略包括對應的安全級別、可控軟體、補丁、防病毒軟體等資訊。

ead解決方案策略下發配置

上級向下級的下發包括手工下發和定時下發。手工下發任何時候都可以由管理員發起進行；定時下發可以設定為每天的乙個固定時間。上級向下級下發策略時，ead可以自動比較策略更新時間和下發時間，從而保證下級的策略是最新的策略。

ead解決方案策略下發介面

ead解決方案策略定時下發設定

策略下發支援多級下發進行，中間一級在上一級的基礎上對下級進行策略的下發控制，但不支援跨級下發。

下級可以對上級下發的策略進行增加、複製、修改、刪除等操作。從而下級可以根據上級的內容進行更加靈活的自定義等操作。

同時，ead提供下發歷史查詢，可以查詢何時下發過，結果如何，下發了哪些服務等資訊。

ead解決方案策略下發歷史檢視

資訊上報：

在實際的應用中，下級ead在獲取到上級的策略之後，可以進行修改和自定義等操作。同時，下級的ead也支援通過資訊上報的方式，將相關的安全日誌資訊上報給上級的ead；上級imc可以對這些統計資料進行查詢以及彙總，並基於上報的統計資料給出下定的統計報表（如不合格因素分布圖等等）。

使用者漫遊：

進行分級管理後，由於所有的下級ead伺服器同屬於乙個上級ead伺服器，因此在這種樹狀的伺服器群結構中，使用者可以在各個伺服器之間進行自由的漫遊。

使用者名稱字首策略可以在總部ead中定義，並統一下發到下級ead中。

使用者漫遊是通過使用者名稱字首來確定擁有該使用者資訊的宿主認證系統。如北京的使用者在上海進行漫遊認證，可以在ead的inode認證客戶端上輸入形如「bj\user1」的使用者名稱進行認證，而上海的ead伺服器可以根據使用者名稱字首bj來確定將使用者的認證過程傳送回北京的ead伺服器上進行認證。

需要注意的是，使用者的認證過程包含身份認證和安全認證。在漫遊環境中，ead對漫遊使用者的身份認證動作，在漫遊使用者原地的ead伺服器上進行，而把安全認證動作放在當地ead伺服器上進行。

綜上所述，ead解決方案的分級管理特性，更加適合在大型網路中進行部署，同時可以減輕管理員的工作負擔，支援使用者漫遊，符合大型網路執行管理和維護的情況。