基于ＷＭＩ與ＬＤＡＰ實現(xiàn)Ｗｉｎｄｏｗｓ域資源監(jiān)控研究

摘要：為適應(yīng)現(xiàn)代復(fù)雜的網(wǎng)絡(luò)環(huán)境，有需要設(shè)計出基于域資源監(jiān)控系統(tǒng)，便于有效管理。文中講述了在此系統(tǒng)中利用WMI技術(shù)實現(xiàn)監(jiān)視、跟蹤有關(guān)應(yīng)用程序，系統(tǒng)組件和網(wǎng)絡(luò)系統(tǒng)事件等功能；將其中獲取的各類信息，使用LDAP數(shù)據(jù)模式來存儲，達(dá)到有效集中地組織查找和管理網(wǎng)絡(luò)中的資源。通過組策略設(shè)置規(guī)劃，用戶可以根據(jù)自身權(quán)限安全訪問域內(nèi)資源。

關(guān)鍵詞：活動目錄；WMI；LDAP；組策略

中圖分類號：TP311文獻(xiàn)標(biāo)識碼：A文章編號：1009-3044(2008)28-0056-02

Research on Resources Monitoring in Windows Domain Based on WMI and LDAP

KONG Juan， ZHANG Zhi-bin， XU Di-xin， LIU Guo-liang

(School of Information Technology Automation，Kunming University of Science and Technology，Kunming 650051，China)

Abstract: With the network becoming more and more complex nowadays，It is necessary to design a domain-based resources monitoring system for effective management.This paper introduces how to monitor and trace the application programs，system components and network events using WMI.Information storage is implemented by the LDAP directory technology which makes management of the resources in the network more effectively.Through Group Policy configuration to users and computers，everyone in the domain can safely access resources in the Active Directory.

Key words:active directory;WMI;LDAP;group policy

隨著網(wǎng)絡(luò)規(guī)模的擴大，管理工作分散到整個系統(tǒng)中進(jìn)行分布處理，再將處理結(jié)果匯總。為了更好地將網(wǎng)絡(luò)按照管理結(jié)構(gòu)進(jìn)行劃分，網(wǎng)絡(luò)管理系統(tǒng)中引入了域的概念進(jìn)行管理的，能夠較好地適應(yīng)現(xiàn)代復(fù)雜網(wǎng)絡(luò)環(huán)境的要求。域（Domain）是一個共用“目錄服務(wù)數(shù)據(jù)庫”的計算機和用戶的集合。域是邏輯分組，與網(wǎng)絡(luò)的物理拓?fù)錈o關(guān)。域管理員可以基于域的活動目錄來進(jìn)行集中管理、共享資源，如用戶、組、計算機帳號、組策略設(shè)置等等。

實現(xiàn)基于域資源監(jiān)控系統(tǒng)，需要一定技術(shù)來支持。因此在基于Windows的活動目錄平臺，利用WMI技術(shù)獲取系統(tǒng)信息，將不同來源的數(shù)據(jù)在通用、標(biāo)準(zhǔn)且邏輯基礎(chǔ)上有組織地映像出來；選擇LDAP數(shù)據(jù)存儲方式，建立數(shù)據(jù)之間的關(guān)聯(lián)，有效集中地組織查找網(wǎng)絡(luò)資源。根據(jù)用戶和計算機需求制定適當(dāng)?shù)慕M策略，使得域內(nèi)保持穩(wěn)定的網(wǎng)絡(luò)環(huán)境。

文中講述通過Visual Studio 2005編寫程序用WMI獲取域管理系統(tǒng)中各種軟硬件信息，并存儲到LDAP目錄中，根據(jù)條件查詢各類信息，使得域管理系統(tǒng)可以隨時監(jiān)視網(wǎng)絡(luò)運行情況。同時規(guī)劃和制定合理組策略，保證域內(nèi)安全。

域服務(wù)器監(jiān)控系統(tǒng)設(shè)計（圖1）：系統(tǒng)中，監(jiān)控程序通過COM/DCOM獲取本機或遠(yuǎn)程計算機的資源信息；系統(tǒng)管理員通過配置管理即組策略來獲取和管理活動目錄（AD）中的狀態(tài)監(jiān)控參數(shù)；將配置管理信息使用LDAP數(shù)據(jù)存儲方式保存，并通知監(jiān)控程序；而監(jiān)控過程中需要將獲取的信息與已保存的策略信息比較；通過信息發(fā)布平臺來顯示域中各個成員的當(dāng)前或歷史運行工作狀態(tài)及相關(guān)處理信息。

1 利用WMI獲取域中計算機信息

計算機以及網(wǎng)絡(luò)組成較為復(fù)雜，例如系統(tǒng)硬件方面有主板、硬盤、網(wǎng)卡等;軟件方面有操作系統(tǒng)、系統(tǒng)中安裝的軟件、正在運行的進(jìn)程等需要一個分布式數(shù)據(jù)采集平臺，它滿足標(biāo)準(zhǔn)化、容易擴展性；當(dāng)異常事件發(fā)生時，具有報警功能；進(jìn)行監(jiān)測；盡量減小對各個計算機的影響，并考慮整個網(wǎng)絡(luò)的負(fù)載均衡。域內(nèi)信息的收集和數(shù)據(jù)的處理是現(xiàn)代計算機管理中非常重要的任務(wù)。WMI是一種輕松獲取系統(tǒng)信息的強大工具，在桌面系統(tǒng)、應(yīng)用程序、網(wǎng)絡(luò)和其他企業(yè)組件中查詢并設(shè)置信息，還可以創(chuàng)建事件監(jiān)視應(yīng)用程序，并出現(xiàn)異常時提醒用戶。

WMI（Windows Management Instrumentation）是Microsoft基于Web的企業(yè)管理(WBEM)的實現(xiàn)，同時也是一種基于標(biāo)準(zhǔn)的系統(tǒng)管理接口。WMI技術(shù)是微軟提供的Windows下的系統(tǒng)管理工具，通過該工具可以在本地管理客戶端系統(tǒng)中幾乎一切的信息，很多專業(yè)的網(wǎng)絡(luò)管理工具都是基于WMI開發(fā)的。[1] 在.Net Framework開發(fā)環(huán)境下，通過調(diào)用WMI Classes和COMAPI 實現(xiàn)了對域中設(shè)備的收集和管理。WMI使用面向?qū)ο蟮念惛拍顏斫⒕W(wǎng)絡(luò)模型。Win32 類集是在 root\\cim2 名字空間中，提供了管理不同對象的類。[5]例如：Win32_Product類集是用于由 MSI 安裝的產(chǎn)品信息收集，其中Name：產(chǎn)品通用名稱；IdentifyingNumber：產(chǎn)品標(biāo)識，如軟件的序列號；InstallDate：產(chǎn)品安裝日期；InstallLocation：已安裝產(chǎn)品位置；Vision：產(chǎn)品版本號；PackageCathe：產(chǎn)品本地緩存程序包的位置。這些屬性就可以整體表現(xiàn)一個軟件產(chǎn)品信息。其他的屬性則不需要獲取出來。同時這些信息要通過LDAP協(xié)議寫入到活動目錄中管理。

2 基于LDAP目錄服務(wù)的域網(wǎng)絡(luò)管理系統(tǒng)數(shù)據(jù)存儲

2.1 LDAP概述

由于不同的操作系統(tǒng)和應(yīng)用程序以不同的格式在網(wǎng)絡(luò)上存儲了大量的信息，這使得網(wǎng)絡(luò)管理無法在一個集中的信息庫中以方便的方法管理網(wǎng)絡(luò)資源和信息，同時用戶也必須使用不同的應(yīng)用程序來獲取不同的信息，這大大增加了用戶的負(fù)擔(dān)。這時需要一種技術(shù)能夠以通用的格式和方式實現(xiàn)信息的存儲和共享。LDAP目錄服務(wù) (Directory Service)技術(shù)就是應(yīng)上述需求而產(chǎn)生的一種技術(shù)，它通過命名、描述和指定一個企業(yè)范圍內(nèi)的用戶和資源，來簡化通訊與管理，使用戶可以用簡單的方法就可以查找、檢索到所需要的資源或其它用戶信息，可以幫助管理人員收集和控制散步在企業(yè)計算機網(wǎng)絡(luò)中的信息。LDAP是輕量目錄訪問協(xié)議（Lightweight Directory Access Protocol），LDAP的核心規(guī)范在RFC中都有定義它是基于X.500標(biāo)準(zhǔn)的，但是簡單多了并且可以根據(jù)需要定制。與X.500不同，LDAP支持TCP/IP，這對訪問Internet是必須的。

與平面關(guān)系型數(shù)據(jù)庫相比，LDAP目錄服務(wù)的優(yōu)勢在于其樹狀結(jié)構(gòu)的條目式存儲方式、高效的分布式存儲能力、快速的數(shù)據(jù)檢索能力、安全的認(rèn)證機制。[2]這些優(yōu)勢使得LDAP適合作為基于域的管理系統(tǒng)數(shù)據(jù)存儲模型，它能夠很方便地實現(xiàn)數(shù)據(jù)的檢索，提供安全可靠的數(shù)據(jù)交換。

目錄中的信息是以目錄信息樹（Directory Information Tree）的樹狀結(jié)構(gòu)來組織與存儲的，樹中的節(jié)點稱為條目DIT（Entry），條目由屬性（Attribute）集構(gòu)成，屬性的取值可以是多個。條目與屬性的類型（Type）分別由目錄模式（Schema）中的對象類類型(ObjectClasses)與屬性類型(AttributeTypes)定義，服務(wù)器用這些信息來決定如何讓屬性值（一種比較操作）去匹配條目的屬性，服務(wù)器用這些信息來允許增加和修改條目操作。它把網(wǎng)絡(luò)環(huán)境中的各種資源(用戶、硬件設(shè)備、網(wǎng)絡(luò)設(shè)備、數(shù)據(jù)、信息等)都作為目錄信息，在目錄樹結(jié)構(gòu)中分層存儲，對這些信息可以存儲、訪問、管理并使用，是為有效的集成管理網(wǎng)絡(luò)目錄中的信息提供服務(wù)，是支持網(wǎng)絡(luò)系統(tǒng)的重要底層基礎(chǔ)技術(shù)之一。

2.2 LDAP模型實現(xiàn)

設(shè)計網(wǎng)絡(luò)管理信息 LDAP存儲模型時，需要處理好如下原則：不同種類的網(wǎng)絡(luò)管理信息都可以有效地存儲；定義合適的 LDAP類和屬性；提供合理的命名規(guī)則和有效的數(shù)據(jù)檢索能力。

模型實現(xiàn)首先創(chuàng)建DIT中信息子樹，在DIT根目錄下創(chuàng)建兩個子樹：（圖2）

ou=user，dc=learnad，dc=com

ou=systemresource，dc=learnad，dc=com

其次設(shè)備信息模式定制。盡管LDAP提供了一系列的標(biāo)準(zhǔn)對象定義和數(shù)據(jù)屬性定義，但它們并不能完全滿足用戶的管理需要，定制合適特定要求的對象和屬性以便正確地表達(dá)目錄信息，成為一項必須的工作。LDAP目錄數(shù)據(jù)庫中存放的是設(shè)備的基本信息，基本信息包括序列號、管理員、物理位置、網(wǎng)管IP地址等參數(shù)。[3]這些參數(shù)必須要與通過WMI獲取來的數(shù)據(jù)信息相對應(yīng)，使域內(nèi)信息保持同步更新。

最后，需要LDAP的認(rèn)證和授權(quán)服務(wù)，通過各種內(nèi)部函數(shù)查詢LDAP服務(wù)中多項條目。在此采用基本認(rèn)證方式，即提供用戶的DN和密碼，而服務(wù)器檢查DN和密碼是否與目錄中的一個目錄項吻合來判斷用戶是否合法。根據(jù)事先在組策略中設(shè)置的用戶權(quán)限授權(quán)，準(zhǔn)許對目錄服務(wù)信息操作。

3 組策略保證安全訪問資源

簡單地說，組策略就是修改注冊表中的配置。它將系統(tǒng)重要的注冊表配置功能匯集成各種配置模塊，提供管理人員直接使用，從而達(dá)到方便管理計算機的目的。當(dāng)然，組策略使用自己更完善的管理組織方法，可以對各種對象中的設(shè)置進(jìn)行管理和配置。根據(jù)實際需求，不同用戶或設(shè)備分配到不同工作組，以組為單位設(shè)置不同權(quán)限訪問網(wǎng)絡(luò)資源。

管理員應(yīng)確保根據(jù)計算機用戶的工作職責(zé)來配置系統(tǒng)。這些配置應(yīng)考慮以下因素：根據(jù)職責(zé)的需要限制程序或?qū)嵱贸绦虻目捎眯裕惶岣邔徍思墑e；采用最小特權(quán)政策；限制對可拆卸介質(zhì)的使用，如光盤，優(yōu)盤；應(yīng)對哪些用戶授予服務(wù)器的管理權(quán)限；哪些用戶應(yīng)擁有特定文件夾的訪問權(quán)；跨部門文件夾訪問提供何種特權(quán)；用戶是否有權(quán)在工作站上安裝軟件應(yīng)用程序等。針對以上需求，為了避免域服務(wù)器遭受網(wǎng)絡(luò)攻擊，利用組策略啟用安全審核策略，強化審核，遠(yuǎn)離攻擊，保護(hù)安全。同時還需建立多個組策略，用來管理域內(nèi)資源信息，比如共享訪問策略、安全策略、軟件安裝策略、軟件限制策略等，來提高系統(tǒng)的安全性。

通過MMC平臺添加組策略，對用戶和計算機進(jìn)行相關(guān)權(quán)限和安全設(shè)置，并通過基于LDAP協(xié)議的配置程序把資源信息添加到活動目錄中去。當(dāng)執(zhí)行WMI服務(wù)時，可以通過LDAP協(xié)議在活動目錄中提取出策略信息，作為WMI的指令集信息，對域系統(tǒng)進(jìn)行監(jiān)控，如發(fā)現(xiàn)了該用戶或計算機運行了限制使用的程序，報警并將其掛起規(guī)定時間，隨后根據(jù)需要可強行遠(yuǎn)程刪除此限制軟件。

4 結(jié)束語

在域管理系統(tǒng)中，管理員更為關(guān)注的是監(jiān)視應(yīng)用程序的運行狀況，檢測瓶頸或故障，管理和配置應(yīng)用程序，查詢應(yīng)用程序數(shù)據(jù)，執(zhí)行無縫的本地或遠(yuǎn)程管理等操作，并能在最短時間里最有效率地處理或規(guī)避上述問題。WMI是提供收集和監(jiān)測網(wǎng)絡(luò)中設(shè)備資源的工具，而LDAP數(shù)據(jù)存儲有快速的數(shù)據(jù)檢索能力，便于配置和部署。組策略集中統(tǒng)一管理用戶環(huán)境和設(shè)備資源，從而高效地解決了軟件安裝、系統(tǒng)升級等管理工作。將這三者有機結(jié)合，使得域資源管理更有效，保證域內(nèi)的安全控制。

參考文獻(xiàn)：

[1] 宋昕，盛晨，王新華.基于WMI的計算機管理技術(shù)的研究和實現(xiàn)[J].浙江科技學(xué)院學(xué)報，2007，19(1):24-26.

[2] 趙春，趙成棟，康建初.LDAP在基于域的網(wǎng)絡(luò)管理中應(yīng)用的研究[J].計算機工程與應(yīng)用，2004，18:141-143.

[3] 王嘉佳，賈卓生.基于LDAP目錄服務(wù)的網(wǎng)絡(luò)設(shè)備管理[J].現(xiàn)代計算機，2005，203:71-74.

[4] Timothy A.Howes Ph.D..Mark C.Smith， Gordon S.Good. Understanding and Deploying LDAP Directory Services (second edition) [M].U S: Addison Wesley，2003.

[5] 張光妲，劉茹敏，張桂香.使用C#獲取系統(tǒng)信息方法研究[J].齊齊哈爾大學(xué)學(xué)報，2005，21(3):71-73.