BES：安全捷径还是败家之选？

对于大多数企业而言，免费版黑莓Enterprise Server Express足矣。对于大多数至今将黑莓智能手机视为企业业务好伙伴的用户，RIM公司推出的黑莓Enterprise Server（BES）已经成为设备管理及企业邮件安全访问的上上之选。

黑莓Enterprise Server一路走来，如今已经到了5.0.1版本。新版本为用户带来更简便的Web管理界面、管理角色分级、IT政策以及软件配置功能。黑莓Enterprise Server 5同时承诺提供更好的服务器故障恢复及系统健康状况检测。这一切对于大型企业来说无疑是很好的消息。

小企业也没有被RIM遗忘。黑莓Enterprise Server Express为中小型企业带来与完全版一致的安全性、管理能力以及黑莓Enterprise Server技术——而且与微软Exchange或者Domino服务器相比，Express版完全免费的特性极具竞争力。

从黑莓用户的角度来看，BES与BES Express几乎没有差别。二者都允许用户以无线方式同步邮件、日程表以及联系人信息，并可以访问保存在服务器中的文件。两款产品甚至能在大型企业中相互合同、联手工作。大家可以通过Express管理由员工个人购买并带入业务环境的黑莓手机，而BES则承担起控制企业批量部署的黑莓设备的重任。

但这两款只能服务于黑莓产品的方案累加起来会为企业与IT部门带来哪些影响？我创建了一套微软Small Business Server 2008，并以此为测试环境尝试找出答案。

基于Web的黑莓管理服务（上图）令IT政策及软件配置指派变得更加简单。而在Web桌面管理器（下图）的帮助下，管理员允许用户配置手机、安装应用并处理备份与恢复功能。

黑莓管理员

安装黑莓Enterprise Server或者黑莓Enterprise Server Express的过程大约需要三个小时，当然其中也包含了另一些必备软件。（如何使用升级程序，整个安装流程会快得多，这要归功于BES传输工具。）经验丰富的IT人士在黑莓步骤明确的应用安装机制下应该不会遇到任何问题。但对于技术水平不高的用户，我建议大家找一位资深顾问处理安装工作。我发现某些与用户账户及Active Directory相关的某些设定比较别扭，Web服务器的配置也可能难倒新手管理员。

两个版本都能使用新的黑莓管理服务，这是一款只能在微软IE浏览器上运行的Web控制台。图形用户界面取代了过去BES 4.x所使用的桌面软件，且设计水平相当出彩。举例来说，主屏幕上提供了用户及群组管理、IT政策创建及指派、通过手机进行操作系统更新并在智能手机上处理应用程序等诸多选项。管理员们还可以通过控制台管理服务器。

尽管黑莓Enterprise Server的早期版本已经具备群组管理功能，但BES及BES Express 5.0.1带来了更高的灵活性。举例来说，某些群组可以归属于另一些群组（巢状结构或者子群组），这就帮助IT管理者实现了顺利解决了复杂业务架构的管理工作。群组与单个用户类似，都能根据指派实现角色分组、IT政策以及软件配置。而子群组可以直接从母群组处继承角色、IT政策以及软件配置。大家需要认真创建群组分类，因为我们还没有一套能轻松为指定用户划分管理例外的办法。

黑莓Enterprise Server与黑莓Enterprise Server Express 5.0.1提供新的管理角色，能够用于提升IT管理任务的处理效率。举例来说，大家可以将某位员工指派为高级服务台管理员，而其他管理员则负责个别服务器或者用户群组。

再进一步，两个版本针对用户做出了多方面考量——自助服务能够为服务台人员降低工作强度，Web桌面管理器（隶属于管理政策）则允许用户根据需求配置智能手机、在设备上备份及恢复数据并安装应用程序。

黑莓Enterprise Server比拼黑莓Enterprise Server Express

黑莓Enterprise Server Express提供35项以上控制及管理政策，其中包括对丢失手机进行远程数据清除并强制执行密码政策。我曾亲手尝试了禁用蓝牙、启用摄像头及设备与PC连接时的软件载入等功能，没有发现任何困难。在选项卡式界面的帮助下，大家可以随时选定规则、启用或禁用特定功能。特别是两款产品中已经默认包含了大多数设备管理功能，因此用户只需要在禁用特定功能时创建新规则。

大多数企业对于黑莓Enterprise Server Express的基本控制功能应该已经很满意了，不过对于需要进一步进行功能调整的企业用户而言，黑莓Enterprise Server还是技高一筹。在BES Express无可奈何的功能管理（例如彩信、短信、蓝牙、摄像头、存储卡、调制解调器、Wi-Fi、USB/串口、内部网络连接等等）方面，黑莓Enterprise Server则表现神勇。举例来说，BES允许用户控制经由蓝牙与黑莓桌面软件连接的权限，进而把握设备检测或拨号网络、联系信息交换或者文件传输等功能。用户能够为蓝牙连接设定最低级别的加密机制、甚至能在黑莓设备与其它蓝牙设备连接时确保指示灯保持闪烁。

BES Express能与BES比肩的管理政策主要在于应用程序控制。在两个版本中，都能以可选或强制的方式为应用制定列表（例如我们选择加入企业存储体系中的黑莓Java应用程序），并根据用户权限禁用列表。与此相似，列表之外的应用同样可以随时启用或禁用；在列表启用状态下，相关应用将无法使用设备存储或是受到网络连接限制。

黑莓Enterprise Server与黑莓Enterprise Server Express都能自动实现操作系统及应用程序更新，但BES提供的额外工具能让软件管理流程更加可靠。这是因为用户可以在BES中查看所有软件附加组件，并斟酌自己需要提前安装哪些。我们甚至能够通过设备硬件或无线运营商触发软件下载。举例来说，如果企业中的某位员工使用黑莓Torch手机与AT&T手机卡的组合，管理员就可以针对Torch安装专门针对AT&T的黑莓OS 6系统。这种高度精细的管理功能在Express中则无法找到。

在两个版本中，应用程序及IT政策更新都能绕开业务高峰时段、进而把升级过程对用户造成的影响降到最低。黑莓Enterprise Server允许用户通过无线方式开启设备，而黑莓Enterprise Server Express只能以手动方式完成开机。不过在Web桌面管理器的帮助下，用户也可以自己完成这项工作。

黑莓Enterprise Server在功能可用性方面也大大优于Express。举例来说，我们可以能够为主服务器及后备服务器设定自动及手动故障恢复机制——一旦硬件出现问题或者服务器需要升级，这套机制能够将停机时间压缩到最短。（后备服务器安装BES并不需要缴纳额外的授权许可费。）

为了进一步避免故障的发生，BES 5.0.1引入了系统健康状况检测功能。举例来说，管理员能够创建一套性能临界值。一旦参数出现异常，故障恢复系统中的备份服务器会立即投入运行。

这两款黑莓Enterprise Server都为黑莓用户带来更高的安全性，支持防火墙后邮件及文档无线访问功能，Web界面也让IT管理员的工作强度大幅降低。对于个人用户手中仅需要访问Exchange服务器、只要求初级安全保障的黑莓设备，Express已经足以胜任。不过当大家的支持团队需要管理成千上万台设备，或者必须保证邮件系统与移动设备间的传输过程万无一失时，黑莓Enterprise Server是当之无愧的最佳选择。