Windows Active Directory (AD) 是一套由微软开发的目录服务,用于集中管理网络中的身份认证、访问控制和资源组织。其核心定义遵循国际标准协议,同时包含微软独有的实现机制。
全球约有 90% 的企业使用微软 Windows AD 作为内部服务平台,管理账户、终端、应用等资源,国内大中型企业也是普遍采用 Windows AD 管理用户和终端。随着国产化替代逐步推进,Windows AD 的替换逐渐成为当务之急。
Windows AD的5大核心应用场景
在企业 IT 管理实践中,Windows AD 主要有以下 5 大核心应用场景:
身份管理和访问控制
通过集中管理用户账号和权限,实现对企业资源访问的精细化控制。
集中化管理和策略推送
通过组策略机制,实现对用户和计算机的统一配置管理。
资源共享和管理
提供统一的资源命名空间和共享机制,简化资源管理和访问。
高可用性和故障恢复
通过多域控制器和复制机制,保证 AD 服务的高可用和数据完整性。
扩展性和灵活性
支持动态添加新域或域控制器进行扩展。
实现 Windows AD 的国产化替换,需要针对以上 5 大核心应用场景兼顾业务需求、国产化 IT 设施环境以及未来 IT 投入进行统一规划。
统信集中域管平台全面助力Windows AD平滑替换
统信集中域管平台是由统信软件自主研发的终端运维管理平台,通过认证管理、人员与终端管理、身份权限管理、软件部署与管控、桌面策略配置、终端任务、审计与报表等核心业务功能,全面覆盖日常运维场景,为客户提供高效、安全、可靠的集中管控与运维模式,实现降本、增效、提质。
统信集中域管平台基于 2+8+N 行业国产化替换进程中的大量业务实践,围绕 Windows AD 替换核心应用场景提供针对性产品功能和方案,全面助力 Windows AD 的平滑替换。
1、身份管理和访问控制场景的替换方案
针对企业身份管理和访问控制的替换,实施中一般需逐步满足以下 2 大需求:
用户、组织数据的同步
2+8+N 行业的国产化终端普遍分批次采购和替换,存在明显替换过渡期。过渡期内仍然需要以 Windows AD 为身份认证中心,需要同步用户和组织架构数据,实现域账户登录和终端管理。即使直接替换 Windows AD 身份认证,也需要先完整同步 Windows AD 的用户和组织架构数据。
统信集中域管平台提供对 AD、LDAP 身份认证系统的对接和同步服务,通过界面配置规则即可实现用户和组织数据的同步。同时用户规范和密码规则等对齐 Windows AD。
统一身份认证的切换或替换
Windows AD 替换后,原先配置到 Windows AD 进行统一身份认证的业务应用需要配置到新的身份认证系统。为避免对业务应用的改造,需要新的身份认证配置兼容标准的 LDAP 格式。
统信集中域管平台支持域账户身份认证和身份认证源切换,具备对账户、密码、组织架构、组的完整管理功能。提供终端离线登录、双因子认证等配置,优先保障终端登录的可用性和安全性。提供身份认证 API 接口,支持其他业务应用调用域管平台的身份认证能力。
统信集中域管平台同时支持对其他第三方或企业自研标准 LDAP 认证产品的集成,满足使用各种国产身份认证系统的不同替换场景。
2、集中化管理和策略推送场景的替换方案
针对集中化管理和策略推送的替换,普遍需要满足以下 3 方面需求:
组策略配置
国产化终端与 Windows 是不同的操作系统平台,大量的 Windows AD 策略在国产化操作系统下并不适用,如通过注册表进行安全管理和访问控制、NTLM 限制、对来宾账户、Everyone 账户的管理等。
统信集中域管平台立足统信 UOS 生态,提供涵盖系统、外设、网络、账号、应用、文件等 20+ 大类,共 200+ 配置项,可实现对统信 UOS 桌面操作系统的全面配置管理。同时策略配置规则和规格已与 Windows AD 进行充分对齐,根据业务具体管控需求进行对照配置即可。
系统更新管理
无论 Window 还是国产化操作系统生态,系统漏洞修复、安全补丁更新都是是企业强需求。企业既需要对发现的漏洞进行快速高效处理,也需要能进行主动的更新管理规划。
统信集中域管平台可以直接通过任务下发系统更新、补丁包、更新脚本等,对发现漏洞快速高效处理。基于任务反馈信息,可以掌握终端更新升级状态。支持轻松集成统信企业级更新管理系统,以实现漏洞扫描、补丁版本管理、灰度更新等专业级主动更新管理。
应用管理
Windows AD 主要通过软件安装组策略和软件限制组策略实现应用管理。
统信集中域管平台对应对软件安装的管理,支持创建任务,下发软件进行统一部署安装和更新。对应软件限制管理,支持设置应用黑名单,配置应用安全策略,以确保终端仅能安装和运行受信任的软件,屏蔽不合规软件、恶意软件带来的安全风险。
对于大批量应用管理、企业自研应用管理和更全面的应用生命周期管理需求,可以进一步部署统信企业级应用商店配合使用。
3、资源共享和管理场景的替换方案
Windows AD 的文件共享管理,可通过权限控制、策略管理等实现组与文件/文件夹访问关联。这种文件共享的管理方式与 Windows 生态紧密关联,管理效率并不高,如对照迁移到国产化生态如统信 UOS,投入大且收益低。而国内的各种在线文档使用体验更佳,更符合国内使用习惯。
因此,采用国产化在线文档产品来替换这一场景是更好的选择。统信集中域管平台支持在线文档产品对接身份认证,轻松实现文件共享的各种权限配置管理。
4、高可用性和故障恢复场景的替换方案
Windows AD 通过多域控制器和复制机制,保障服务的高可用性和数据完整性。
统信集中域管平台支持集群部署,同时基于客户需求可针对性提供两地、多数据中心等部署方案,多方面保障业务的高可用,更便于与企业其他国产化 IT 基础设施进行统一集成和运维。
5、扩展性和灵活性场景的替换方案
Windows AD 支持动态添加新域,组建林、森域,以适应企业规模化业务需求变化。
统信集中域管平台已实现跨节点级联管理,满足大型组织兼顾集中和分布式管理的需求,支持随时灵活增加新的管理节点。在众多大型集团企业客户落地案例中,已建立了多达几十个分支的级联节点管理,具备良好扩展性,更贴合中国大型企业的国产化替代需求。
统信集中域管平台不仅具备对统信 UOS 终端和桌面最全面深度的配置管理能力,而且客户端作为统信 UOS 桌面操作系统的组件,出厂即预置,无须额外安装部署。所有组策略配置项都针对桌面操作系统各版本进行充分的兼容适配,策略可见即可配,可配即可生效。基于灵活的平台扩展能力,支持与统信生态其他产品进行集成,全面满足替换 Windows AD 的各业务场景需求。
统信软件
统信UOS