你真的須要活動目錄嗎？

 1、活動目錄的功能

活動目錄是微軟爲解決分佈式windows網絡集中化管理應用的一項關鍵產品，它的核心思想和協議源自於早期NOVELL的相似技術。今天的活動目錄總結起來功能無外乎於如下三項：
一、集中化的身份驗證
利用AD數據庫，將分散在windows客戶機上的用戶管理體系集中到DC上，實現一個用戶在任何節點的漫遊能力。同時微軟的其餘產品也不一樣程度的能夠與這個集中化的身份認證體系集成，譬如Exchange，ISA，SMS，甚至Office等等。除此之外，因爲開放的LDAP協議，使得第三方產品也能夠集成到這個統一的身份驗證體系中來。
二、集中化的資源檢索
因爲AD具備影射網絡共享資源，集成DFS等能力，再加上統一的身份認證，使得將分散在網絡上的資源集中檢索和權限控制變得可能。從理論上說，管理員能夠利用AD的這一特性，創建一個徹底分佈式的文件存儲系統，將專用的文件服務器，網絡存儲系統，客戶機上的分散存儲集中起來管理和應用。
三、集中化的權限與策略控制
因爲身份驗證的集中化，用戶的權限管理天然也能夠集中化。同時更重要的是利用可分法的GPO，AD實現了將分散在Windows客戶機上的組策略集中控管的能力。衆所周知，組策略是微軟提供的利用註冊表開關和腳本控制Windows特性的有效工具，集中化的組策略實現了管理員對整個windows網絡中客戶機的批量操控。

2、活動目錄的優點
活動目錄技術從早期的NT到現在的2008，已經發展出一個至關龐大的技術構架。從單一的水平域管理，擴展到能夠經過站點和森林擴展出龐大的域結構。達到了微軟所但願的解決方案服務一個跨國機構的目標。同時，與其餘廠商的相似產品相比，活動目錄與微軟產品的深度集成也從側面延伸了活動目錄的功能。譬如Exchange Server構建在AD之上，獲得一個集成的郵件解決方案、ISA Server構建在AD之上，獲得一個集成的防火牆解決方案、Office和Sharepoint構建在AD之上，獲得一個企業內部集中化辦公解決方案、乃至SQLserver數據庫、SMS、RRAS、CA、RADIUS、iis、Cluster、WSUS甚至最簡單的DHCP Server，均可以與AD集成，實現「集中化」的管控。不但如此、他們其中的一些甚至是必須與AD集成纔可使用。基於AD的微軟產品構架，從理論上來講能夠解決企業IT環境中絕大部分需求和問題。

 

3、中國企業爲何部署活動目錄？
windows產品的普遍使用，使得幾乎每個企業都擁有或大或小的Windows網絡環境，同時市場的須要也培養出了一大批熟悉微軟產品的SA，微軟還爲他們頒發MCSE和MVP證書。各類各樣的技術文章和培訓教材也充滿了網絡、在各個社區中很容易找到關於活動目錄的討論和技術文章。這使得不少企業的IT管理人員在面臨一些實際需求時，首先想到的就是活動目錄，大量的企業部署了活動目錄。甚至於不少SE認爲活動目錄就是一個完美的IT管理解決方案。
那麼，中國的企業究竟爲何部署活動目錄呢？筆者在不少社區和討論羣中與第一線的SA們進行過深刻討論，總結爲如下幾種：

一、爲了EMAIL
企業須要一個郵件服務器、因而SA想到了微軟的Exhange Server。爲了實現Exchange Server，因此必須部署AD。
二、爲了集中化驗證和文件權限控制
企業須要員工能在任何一臺計算機上工做，但願他們有本身的網絡賬號，同時企業的文件服務器也須要這樣的賬號來區分訪問者，爲不一樣部門和不一樣的員工部署不一樣的文件訪問權限。因此，SA部署了AD。
三、爲了集中化控制客戶機
SA發現工做中總要花不少時間去客戶機上作修改和控制，跑來跑去，工做量很大，很是不方便。因而部署AD，經過集中化的組策略，實現了從核心控制檯上對不一樣部門客戶機的不一樣策略管理。譬如限制用戶對系統某些功能的訪問和修改、統必定位內部WSUS服務器的補丁更新位置、批量分法軟件、限制軟件和網絡的使用等等。

以上三種需求，佔到了90%左右的國內中小型企業的實際狀況。固然，另有10%會使用到AD的其餘特性，譬如企業須要羣集，因而必須部署AD。SA但願集中控管須要部署SMS，因而必須部署AD。

4、活動目錄的問題
活動目錄的問題就在於微軟但願他能面面俱到，但實際上這是不可能的，最後致使了活動目錄的臃腫、不可靠、性能低和管理複雜。按照以前咱們總結的中國中小企業需求，能夠說絕大部分活動目錄的部署，能夠形象比喻爲「爲了聽收音機而購買了一臺汽車，而後爲了維持這臺汽車不斷的付出時間、精力和金錢」。企業的需求就是一臺收音機，而活動目錄就是這臺汽車。
那麼活動目錄在做爲一臺收音機使用時，存在哪些問題呢？
一、對DNS的高度依賴
衆所周知，AD是構建在DNS名稱空間之上的，一個強健可靠的DNS實例是AD的基石，DNS讓AD能夠管理無限龐大和複雜的網絡環境。你們知道，AD是隻能部署在WINDOWS的DNS服務之上的，他融入了不少非標準DNS的定義和記錄，而Windows的DNS是一個可靠性和負載能力低下的DNS服務器。看看Internet上，有幾個ISP會使用Windows DNS？最後的結果，是windows DNS一旦出現問題，整個AD隨即故障。例如DNS中的記錄更新失敗，多DNS區域複製失敗，或者DNS須要遷移等等事件，都會致使AD面臨極大的風險。這就是說，一棟龐大的大廈創建在了一個不牢固的地基上。
二、過於複雜的LDAP協議
AD的LDAP，雖然號稱「輕量」，實際上紛繁複雜。微軟但願將這個協議封閉起來，在整個AD的控管環境中用戶不要直接與協議打交道。可是LDAP的複雜性，致使一旦出現問題，用戶連一個基本的錯誤反饋界、調試接口和工具都沒有。因此微軟又不得不提供LDAP調試工具，放在光盤的額外安裝目錄中。即使如此，又有多少SA能精通這個怪胎協議的調試呢？
三、過於複雜的身份和權限機制
AD的集中化身份驗證體系，無疑是AD最受歡迎的功能之一。可是爲了讓它能面面俱到，微軟把它搞得過於複雜了。首先在計算機賬戶和用戶賬戶被同等看待的前提下，OU和Group卻又能夠交叉容納用戶對象。實際上，AD中的Group太過複雜，爲了實現森林的擴展，AD中的Group有基本的6種類型組合，有數十個內置組，更不用說組和組之間容許權限交聯，容許交叉繼承，容許權限並集和交集。再加上AD與NTFS的集成，文件夾權限和OU權限的並行，邏輯容器和物理容器的互不關聯，活動目錄的賬戶與本地客戶機賬戶並存。這真的是我見過最複雜的一套機制了，雖然這樣複雜的機制讓AD足夠靈活，可是事實上絕大部分的用戶不須要這麼複雜的機制，敢問有多少百分比的SA徹底搞清了AD中這套機制？絕大部分的人也僅僅是從MCSE的簡單教材中瞭解了初步的概念而已。
四、雞肋般的組策略
組策略集中管理也是AD最受歡迎的功能之一，利用組策略，微軟但願用戶能集中控管龐大的客戶機羣，可是組策略的工做機制，決定了他在複雜多變的生產環境中註定成爲一塊雞肋。首先、組策略90%的功能是經過修改客戶機註冊表來實現的，還有少部分是經過運行腳原本實現的，這樣的工做機制致使了組策略的實時性很糟糕，抗干擾能力也很糟糕，很容易被客戶機上的一些安全軟件干擾，更糟糕的是策略部署後是徹底無反饋的，管理員不知道一個策略是否是真的在每一個計算機上生效了，一旦出現問題，只能用相似於GPRESULT一類的簡陋工具，去客戶機上實地分析。除此之外，組策略中的不少功能也有嚴重的設計缺陷。軟件分發，，可能用來分發微軟的某個小工具尚可，莫非你想用它真正去分發應用軟件？筆者映像最深的一個客戶，爲了用組策略阻止客戶運行QQ.exe，他設定了20條哈希規則，由於他找到了20個EXE版本不一樣的QQ，他們的哈希值都是不同的，更不用說那些他還沒找到的版本。
五、全封閉的數據庫
在MCSE的官方資料中，常常會提到「活動目錄數據庫」，常常提到「SYSVOL」。SA們多少都知道他們是AD的數據中心，各類信息都存在裏面。可是糟糕的是，這個數據庫是專用的，你沒有辦法看到裏面存儲的東西，也沒有辦法像管理關係型數據庫那樣使用SQL語句去操做它。最後的結果就是，若是你想備份和還原AD，那根本就是噩夢。你想備份AD嗎？對不起，微軟是沒有專用工具的，你只能用NTBACKUP去搞定。你想只備份AD數據庫嗎？想按期增量同步數據嗎？對不起，NTBACKUP不支持，你只能把它和Windows的其餘系統信息一塊兒備份，無論這些東西是好的仍是壞的。你想提升AD的可靠性嗎？MY GOD 你必需要兩臺DC！
六、動則須要其餘產品
AD做爲一個微軟IT管理解決方案的平臺，始終只是一個平臺，稍微專業一點的業務，就須要與其餘微軟產品集成。譬如，想對用戶的網絡訪問進行管理，對網絡數據進行篩選和審計，就必需要吧另外一個你們夥ISA請出來。要想爲客戶機批量分發補丁，修復漏洞，又得請出另外一個你們夥WSUS。若是想集中防範網絡中的病毒、惡意軟件、危險行爲，更糟糕了，由於微軟尚無可用產品，咱必須請出賽門鐵克或者麥卡菲了。卻不知，企業中的服務器，就是這樣被一臺一臺的佔據的，這卻是便宜了靠賣IT設施吃飯的集成商。更糟糕的是，SA們不得不維護愈來愈多的系統，不斷的讀一本一本的專業書籍，在論壇上發一個又一個求助的帖子，然而這還僅僅是IT環境的基礎運營而已，企業的生產系統還沒計算在內。

5、找出更傻瓜和簡單的解決方案
AD是強大的、可是你真的須要他嗎？
人的能動性是無限的，您也許已經在微軟的技術世界裏摸爬滾打多年，可是您考察過本身企業的真實需求嗎？
您是否是「買汽車的那我的」？

文章到這裏，您也許想問筆者，有什麼樣的代替方案？
事實上，微軟的AD作到今天，能在功能上徹底覆蓋它和代替的解決方案几乎沒有。可是若是咱們縮小需求，考察中國絕大部分企業的實際須要，可能咱們能找到一些更好的代替方案。

咱們無外乎須要如下幾個東西：
一、一個集中化身份驗證的平臺
  代替AD中的身份和用戶數據庫
二、一個可分權管理的網絡存儲系統
  代替共享和NTFS，DFS
三、一個能進行集中控管的軟件
  代替ISA，代替WSUS,SMS等微軟產品
四、一個可編程的網絡任務執行工具
  代替組策略