1 背景

伴随着科技智能的发展，企业在运营过程中会运用诸多网络设备，如服务器、员工办公电脑等。IT部门的作用就是协助企业解决日常IT支撑、业务系统等方面的问题，为企业提供稳定的运营条件，从容应对快速变化的用户需求和激烈的市场竞争。IT运维工作包含网络硬件设备的调配及维护、软件的升级管理及故障排查和通讯终端的日常管理维护等，所涉及到的行业知识范围广泛，在实际工作中，要求IT运维人员不仅需拥有大量专业性的知识，更需要具备快速的响应能力，以便在遇到故障能够快速的解决，保证企业设备顺利运行。

2 实施难点

面对日益激增的IT复杂性和业务需求的快速变化，IT应用在运行过程中发生性能下降或者服务不可用等故障的可能性大大增加，如何更高效、更智能地开展IT运维，保证业务的连续性和IT系统的稳定性，成为企业业务发展的迫切需要。传统运维手段，越来越难以满足企业业务高速发展的需求。传统的企业运维存在以下的IT运维问题：
（1）传统运维方式响应慢、效率低，故障时间长导致业务中断；
（2）终端设备地域分布广、平台不一、网络环境复杂，难以实现集中管理；
（3）设备数量多、涉及多个业务部门，须处理不同的设备权限并保障信息安全，管理难度大；
（4）对运维人员及业务操作缺少有效监管，存在安全隐患。

3 方案部署

在IT运维管理工作中，部署便捷、易于管理、功能完善的运维方案能填补常规运维的不足,进而搭建一个立体化的运维体系。
向日葵IT运维解决方案主要针对无人值守设备，向日葵的多系统支持，能完整覆盖，如内部的服务器、外部广告大屏、自动售卖机，连锁门店收银机等设备；在对大量设备统一管理上，向日葵提供大数量级设备的快速布属与管理方案，支持设备状态告警策略，同时拥有设备屏幕墙，消息群发、文件分发等多种IT运维管理功能。

以下为向日葵IT运维解决方案部署步骤：

3.1 精细化授权

在企业运维管理工作中，管理员使用第三方导入或自定义组织架构为员工设置对应的向日葵角色权限，并创建独立的向日葵帐号。还可通过角色权限和帐号模块功能，根据人员职权的高低和角色需求进行动态授权。

3.1.1 完成企业信息

完成企业信息的企业名称、企业别名的设置。企业别名是企业的唯一标识，用于登录企业帐号；推荐完成企业认证可使用向日葵管理平台完成功能。 注：企业别名一旦确认将无法修改。

3.1.2 帐号管理

在向日葵管理平台，可通过第三方导入企业组织架构，形成向日葵帐号架构体系。也可以据企业原先架构，自定义创建组织架构，并为每位运维人员创建帐号，以及划分所属部门和角色权限。支持直接导入原有的组织及帐号信息，无需重复设置。企业管理员可通过角色和帐号模块功能，根据人员职权去授权远程运维企业设备，提高运维效率，企业信息安全更为保障。

3.1.2.1 第三方导入

第三方导入帐号架构体系，目前支持导入和企业微信导入。若企业已在使用飞书和企业微信为协作工具，可通过设置授权，直接同步企业部门架构在内的组织信息。
点击“第三方接入”按钮，选择第三方接入的协作工具，快速同步企业组织及成员，实现快速部署，实现统一管理，帮助降低企业人力成本。

飞书授权配置说明帮助（点击查看）
企业微信授权配置说明帮助（点击查看）

3.1.2.2 自定义组织架构

路径：【向日葵管理平台】-【帐号体系】-【帐号管理】-【组织架构】
可添加子部门并划分其所属部门，支持创建多层级部门。支持重命名部门名称及调整部门的层级排序，亦可批量给整个部门授权可管理的设备。（具体功能描述，请见下文3.1.4章节）

（1）添加帐号

路径：【向日葵管理平台】-【帐号体系】-【帐号管理】
角色创建完成后，接着为每位员工创建独立的帐号，用于远程运维时登录控制端软件。
点击“添加帐号”按钮，设置员工帐号基础信息（姓名、帐号、手机、邮箱等），以及设定帐号所属部门和角色。

（2）批量导入

下载模板后根据企业原有组织、角色、帐号信息填写，一次性导入，无需再次设置部门、角色，一步到位。

3.1.3 角色授权

根据企业人员职能赋予对应的向日葵软件操作权限。如：添加IT运维角色权限，远控基础权限及控制端权限均允许使用，但不可查看管理平台设备列表。
角色权限添加路径：【向日葵管理平台】-【帐号体系】-【角色权限】-【角色名称】-【+】

创建角色名称后可添加该角色关联的帐号以及设置关联帐号的远控权限、控制端权限及管理权限。

添加角色帐号

设置角色权限

3.1.4 授权帐号管理设备

IT运维管理者对不同等级的运维人员的权限和责任进行规范化管理，根据运维人力去分配授权所负责的设备。如：授权资深IT运维卢小新可管理上海行政二部的所有设备。
路径：【帐号体系】-【帐号管理】-【选中指定员工帐号】-【可管理设备】
点击帐号对应的可管理设备后，勾选上海行政二部的所有设备。可管理设备添加成功后，员工帐号上显示可管理设备数目。且使用其帐号登录向日葵企业控制端，设备列表中将显示其可管理的设备。若授权设备分组，后续分组中新增设备将自动授权，简化管理。

除通过管理员在管理平台授权帐号管理设备外，员工可以通过登录自己的企业帐号认领该设备进行管理。
（1）在被控设备中，下载安装企业客户端并使用员工的企业帐号进行登录；
（2）员工在当前设备下载控制端并使用员工的企业帐号进行登录，员工可在控制端的设备列表中管理被控设备，如发起桌面控制。

3.2 安装部署

IT运维管理者可在管理平台定制专属客户端。
安装包定制，可使用「批量部署」或「定制软件」进行软件部署。【批量部署】仅可自定义部署基础设置和安全设置，若需自定义更多功能，可选择【定制软件】。定制软件在批量部署的基础上，还支持VI定制，有助于提升企业形象和员工归属感。
注：企业+办公Pro版帐号服务不支持【定制软件】，须额外增购该功能服务。

服务级别	行业青春版	行业版	办公Pro版	标准版	高级版	畅享版	至尊版
批量部署	支持	支持	支持	支持	支持	支持	支持
定制软件	不支持	支持Win控制端 和Win客户端	需增购	支持	支持	支持	支持

（1）定制软件

定制软件可为企业定制具备企业风格的专属远程控制软件，个性化程度高，如软件皮肤、图标、颜色和功能等，预配置安装包属性，免去后期逐一设置的烦恼。

登录向日葵管理平台，点击【设备管理】-【安装部署】-【软件定制】，选择适用的系统类型客户端。

1）定制向日葵软件的名称、皮肤、logo标识等,拥有独立企业风格的员工办公软件，提升员工对企业的归属感。

2）定制向日葵软件的界面显示功能、安装包名称或主机名后缀等，在“设备授权帐号”设置项中，选择为“所有帐号（当前帐号及企业内其他帐号）”登录。

3）客户端定制完成后，员工在办公电脑安装管理员提供的定制包软件。安装后帐号默认绑定到企业内部，无需员工手动输帐号密码登录。 注：3.5.0.51346及以上版本的定制包，支持登录企业帐号及企业设备认领，员工可通过登录自己的企业帐号认领该设备，无需管理员授权。

3.3 设备管理

企业可根据业务或者管理需求，授权帐号去管理指定的设备，也可以对设备添加可管理的帐号。在企业IT运维工作中，将企业设备进行分组管理，可按部门、按地区等进行划分。支持将整个分组划分给IT运维人员进行管理，运维人员使用企业分配的员工帐号登录控制端的设备列表，可以看到自己可管理的设备，实现分部门、分区域、分权管理。

3.3.1 授权管理设备帐号

向日葵管理平台的【设备管理】-【设备列表】可统一对设备进行管理。IT运维管理员可根据企业架构、设备类型等创建分组，企业可以将指定部门或指定设备的管理权限划分到指定的IT运维人员帐号。
路径：【设备管理】-【设备列表】-【选中指定设备】-【授权】
在【设备列表】中，选中要授权管理的设备，点击“授权”，授权企业内部或外部帐号去管理指定的设备。运维人员使用其帐号登录向日葵企业控制端，设备列表中将显示已授权管理的设备，其他未授权管理的帐号无法管理该设备。

在【设备列表的】中，设备组可授权至企业内部的部门组进行管理。授权后，设备组新增设备或者部门组新增人员将自动形成其授权管理的关系。

3.3.2 控制端设备列表

帐号所属的角色授权什么远控功能，在控制端上将显示对应的功能。运维人员使用分配的员工帐号在企业版控制端登录，通过设备列表中可看到管理员授权给自己管理的设备，可快速、便捷管理设备。运维人员通过桌面控制功能，快速又安全地访问分散在外的设备，无需到达现场，实现无人值守，远程故障诊断、排除和解决业务系统设备等效果。
如：上述授权资深IT运维陈小明可管理多部门的设备，其角色权限为所有的远程操作功能（CDM/SSH、桌面控制、桌面观看、摄像头、远程文件、远程管理）均可操作。

3.3.3 屏幕墙

向日葵企业版控制端的屏幕墙监控，支持同时查看多台电脑画面，设备使用情况一目了然。运维人员可对关键设备创建屏幕墙，通过屏幕墙监控设备运行情况，方便快速发现突发故障。

3.4 安全设置与审计

向日葵为IT远程运维提供多维度的安全保护，支持登录行为审计和添加水印保护，确保身份环境可信。并提供远控事件信息、控制端和客户端日志，可以起到监控预防和事后追溯的作用。

3.4.1系统安全设置

向日葵提供多因子安全保护和新设备登录验证机制，以确保企业登录设备的身份环境可信。只在授权的环境中才允许登录，有效防止了员工在不安全的网络下或使用公共电脑登录，规避了企业信息泄露的风险，从而保障企业设备安全。

3.4.1.1 帐号保护

管理员开启【设备验证登录保护】后，员工在新设备登录向日葵控制端需要进行身份验证，登录过的设备需要重新验证。

3.4.1.2 登录限制

管理员开启登录限制后，企业帐号在登录控制端或管理平台时，系统除了校验帐号密码外，还会检验登录设备是否符合登录限制设定的条件规则，为帐号安全提供更高级别的保障。

3.4.1.3 员工控制端设备

仅记录员工的登录设备数据，方便管理员查看整个企业的登录设备记录，如发现非常用设备或其他异常情况时，可以随时将异常设备踢下线。  

3.4.1.4 管理员端控制端设备

仅记录管理员的登录设备记录。同样，当管理员发现某项登录记录存在异常时，可将其踢下线或删除。

3.4.2 水印策略

操作路径：【向日葵管理平台】—【系统管理】-【安全设置】
企业管理员在管理平台定制水印规则，规范敏感岗位的运维行为，对运维人员进行有效告警。
开启后，IT运维人员远控公司设备时远控窗口自动添加水印，基于运维人员身份、远程运维时间等信息进行告警。加强终端的信息安全，以防止员工泄漏企业信息，即使信息遭泄漏也有迹可循。
注：开启水印策略教程（点击查看）

3.4.3 安全审计

安全审计功能对日常的运维事件生成日志记录，包括远控、被控、控制端、客户端和操作日志，可以起到监控预防和事后追溯的作用。
在日常的运维工作中，管理员可以从审计日志中及时发现各类安全隐患，快速对隐患进行处理，从而避免安全事件的发生。当出现违规操作、设备运行异常或安全事件时，可以通过安全审计产生的日志记录，分析设备、事件、登录时间/地点等因素，追溯安全事件的轨迹；可以对事件记录进行细粒度审计，还原操作的真相。
安全审计功能说明（点击查看）

向日葵IT运维解决方案可根据帐号职能与角色需求进行动态授权， 让企业管理更加便捷、灵活。自由授权设备权限，实现什么人员管理什么设备。提供事前、中、后多维度的安全保护。从身份、权限、行为上进行全方位管控，为企业提供可信赖的安全技术和成熟的管理框架，让每一次远程运维都做到可防、可管、可查。

若有更多需求，请联系我们为您量身打造的专属IT运维解决方案。