ad域实现与多应用系统的单点登录, 必须与应用系统的用户配置做映...

1. 系统概述 国内领先的支持C-S和B-S架构的单点登录实现机制UTrust SSO(Single sign-on)系统是针对国内企事业信息化发展现状而开发的应用系统管理软件。

面对用户的重复登陆，系统管理员繁琐的账号管理工作和系统设置工作，以及如何控制用户的访问权限等问题，UTrust SSO提供了一个完善的解决方案，在异构的IT系统中实现应用系统单点登录，简化用户的登录过程，同时提供集中和便捷的身份管理、安全的认证机制、权限管理和审计，以满足企业对信息系统使用的方便性和安全管理的需求。

2. 系统功能和特点 UTrust SSO单点登录系统提供灵活模块化的解决方案，用户可以将后台应用系统（B/S结构的WEB应用系统和C/S结构的应用系统）和UTrust SSO单点登录系统无缝整合在一起，无须修改原有应用系统，系统主要功能和特点如下： 即插即用方式实现单点登录 对于 B/S结构应用系统，用户只需通过浏览器界面登录一次，即可通过UTrust SSO单点登录系统访问后台的多个用户权限内的Web应用系统，无需逐一输入用户名、密码登录。

对于 C/S结构应用系统，通过IE控件来实现对C/S系统客户端的单点登录，用户输入一次用户名、密码，即可访问所有被授权的C/S系统资源。

无论对于B/S和C/S结构的应用系统，实现单点登录的功能时，后台应用系统无需任何修改。

?后置代理方式实现单点登录 对于有改造条件的B/S结构应用系统，UTrustSSO也提供了后置代理的方式实现单点登录。

SSO 系统提供各种API,Agent代理，对原有应用系统进行改造，改变原有应用系统的认证方式，同时采用认证服务器提供的技术进行一次性身份认证，实现单点登录。

后置代理方式实现单点登录 对于有改造条件的B/S结构应用系统，UTrustSSO也提供了后置代理的方式实现单点登录。

SSO 系统提供各种API,Agent代理，对原有应用系统进行改造，改变原有应用系统的认证方式，同时采用认证服务器提供的技术进行一次性身份认证，实现单点登录。

与AD域结合单点登录 UTrust SSO可以与Windows域进行整合，直接引用AD域中的用户身份信息，不需另行单独维护自己的用户信息。

当用户登录AD域后，用户无需再登录，就可访问其所有有权限访问的系统，无需再次输入用户名和密码。

统一用户身份管理 UTrust SSO 利用账号同步管理模块，将用户的身份信息和密码同步到各个系统的数据库中，系统管理员在一个平台上统一管理用户在各个系统中的账号和密码。

在人员离职、岗位变动时，只需在UTrust SSO管理中心一处更改，即可限制其访问权限，消除对后台系统非法访问的威胁。

方便了用户管理，也防止过期的用户身份信息未及时删除给企业资产带来的安全风险。

统一身份认证 UTrust SSO采用轻量目录存取服务LDAP来建构统一用户信息数据库。

LDAP作为一个公开和开放的目录服务标准，已成为未来身份认证和身份管理的标准，具有很好的互操作性和兼容性，可以为企业搭建一个统一身份认证和管理框架，UTrust SSO系统提供开发接口给新建系统，可为后续新的应用系统开发提供了统一的身份认证平台和标准。

多种身份认证方式 UTrust SSO支持多种身份认证方式，如数字证书，USB Key，动态口令身份认证，同时也保留了传统的静态口令认证，并且为其他认证方式如短信，生物特征等认证方式预留接口，以适应企业对认证方式扩展的需求。

日志和审计报告 UTrust SSO单点登录系统依靠记录最终用户和管理人员的访问过程，建立一套全面的、有效的回溯和追查机制。

同时系统管理员可以实时监测用户对企业各应用系统的访问状态，及时发现非法访问事件，对出现的问题进行事后追溯和责任追究提供实证。

通过对系统运行状态实时监控审计，还增强了系统的可维护性。

主要完成访问行为审计、审计信息查询、审计信息防窜改和黑名单功能等几大功能。

系统集中管理 UTrust安全管理中心为UTrust单点登录系统提供管理功能，实现对用户身份信息，权限，应用系统，审计信息的集中管理。

UTrust安全管理中心基于Web界面，系统管理员通过这个管理中心可对用户，资源，权限及审计信息进行统一的管理，并对UTrust系统本身进行维护管理。

同时系统支持分级授权管理功能，支持总部授权下属单位管理自身的用户，并对其授权，减少总部管理员的负担。

即插即用和灵活部署 UTrust SSO单点登录系统进行安装或方案实施时，只需经过简单的系统配置，即可使用。

对于分布式网络结构和异构系统，可以在不同网络区域的应用服务器上分布式的部署UTrust SSO单点登录系统，并进行系统集群管理，通过集群功能，提高数据通讯时的负载均衡和并发处理能力，得到安全可靠和高效的单点登录服务。

此外，还可以通过双机备份功能，提高整个系统的安全性。

3. 系统环境 客户端支持的操作系统： Windows98/NT/2000/XP 服务器端支持的操作系统： Windows NT/2000、Unix(HP-UX、Solaris、AIX)、Linux、FreeBSD 数据库： Oracle、SQL Server或My SQL等关系型数据库 目录服务器： 标准的LDAP目录服务器

域内卸载管理员安装的软件

这个问题没什么想不通的。

简单一点说：当创建的帐户，开始期初是赋予的admin管理员权限。

当对软件和一些系统、网络相关的设置位置，做了改动或调整的时候，域策略也给予了当前帐户权限的记录赋予。

之后再改成普通用户组权限，这些权限自然还将给予保留。

ad域控制器权限分配

windows是有用户权限的，可以把用户加入到user组，这个组是受限的不能修改系统配置的，但是不代表不能装软件，绿色软件等可以仍然使用，AD据我所知是没有直接的“禁止安装程序”这种功能的如果想控制完全不能安装程序一般需要第三方的管理软件，因未实测就不推荐了，如果需要控制某个软件的安装使用，AD是有这种策略的，但是只能针对一个版本http://technet.microsoft.com/zh-CN/library/cc739214可以参考一下，不过老实说微软的文档一向很烂此外，变通的方法可以用限制修改注册表实现，不过这并不是通用做法，有可能影响正常使用至于怎么把域用户加到user方法就很多了，可以手动加，也可以用脚本加，要看具体情况

转载请注明出处51数据库 » ad域禁止用户卸载软件