一、活動(dòng)目錄的功能
    活動(dòng)目錄是微軟為解決分布式windows網(wǎng)絡(luò)集中化管理應(yīng)用的一項(xiàng)關(guān)鍵產(chǎn)品，它的核心思想和協(xié)議源自于早期NOVELL的類似技術(shù)。今天的活動(dòng)目錄總結(jié)起來功能無外乎于以下三項(xiàng)：
    1、集中化的身份驗(yàn)證
    利用AD數(shù)據(jù)庫(kù)，將分散在windows客戶機(jī)上的用戶管理體系集中到DC上，實(shí)現(xiàn)一個(gè)用戶在任何節(jié)點(diǎn)的漫游能力。同時(shí)微軟的其他產(chǎn)品也不同程度的可以與這個(gè)集中化的身份認(rèn)證體系集成，譬如Exchange，ISA，SMS，甚至Office等等。除此以外，由于開放的LDAP協(xié)議，使得第三方產(chǎn)品也可以集成到這個(gè)統(tǒng)一的身份驗(yàn)證體系中來。
    2、集中化的資源檢索
    由于AD具有影射網(wǎng)絡(luò)共享資源，集成DFS等能力，再加上統(tǒng)一的身份認(rèn)證，使得將分散在網(wǎng)絡(luò)上的資源集中檢索和權(quán)限控制變得可能。從理論上說，管理員可以利用AD的這一特性，建立一個(gè)完全分布式的文件存儲(chǔ)系統(tǒng)，將專用的文件服務(wù)器，網(wǎng)絡(luò)存儲(chǔ)系統(tǒng)，客戶機(jī)上的分散存儲(chǔ)集中起來管理和應(yīng)用。
    3、集中化的權(quán)限與策略控制
    由于身份驗(yàn)證的集中化，用戶的權(quán)限管理自然也可以集中化。同時(shí)更重要的是利用可分法的GPO，AD實(shí)現(xiàn)了將分散在Windows客戶機(jī)上的組策略集中控管的能力。眾所周知，組策略是微軟提供的利用注冊(cè)表開關(guān)和腳本控制Windows特性的有效工具，集中化的組策略實(shí)現(xiàn)了管理員對(duì)整個(gè)windows網(wǎng)絡(luò)中客戶機(jī)的批量操控。
    二、活動(dòng)目錄的優(yōu)勢(shì)
    活動(dòng)目錄技術(shù)從早期的NT到如今的2008，已經(jīng)發(fā)展出一個(gè)相當(dāng)龐大的技術(shù)構(gòu)架。從單一的水平域管理，擴(kuò)展到可以通過站點(diǎn)和森林?jǐn)U展出龐大的域結(jié)構(gòu)。達(dá)到了微軟所希望的解決方案服務(wù)一個(gè)跨國(guó)機(jī)構(gòu)的目標(biāo)。同時(shí)，與其他廠商的類似產(chǎn)品相比，活動(dòng)目錄與微軟產(chǎn)品的深度集成也從側(cè)面延伸了活動(dòng)目錄的功能。譬如Exchange Server構(gòu)建在AD之上，得到一個(gè)集成的郵件解決方案、ISA Server構(gòu)建在AD之上，得到一個(gè)集成的防火墻解決方案、Office和Sharepoint構(gòu)建在AD之上，得到一個(gè)企業(yè)內(nèi)部集中化辦公解決方案、乃至SQLserver數(shù)據(jù)庫(kù)、SMS、RRAS、CA、RADIUS、iis、Cluster、WSUS甚至簡(jiǎn)單的DHCP Server，都可以與AD集成，實(shí)現(xiàn)“集中化”的管控。不但如此、他們其中的一些甚至是必須與AD集成才可以使用?；贏D的微軟產(chǎn)品構(gòu)架，從理論上來說可以解決企業(yè)IT環(huán)境中絕大部分需求和問題。
    三、中國(guó)企業(yè)為什么部署活動(dòng)目錄？
    windows產(chǎn)品的廣泛使用，使得幾乎每一個(gè)企業(yè)都擁有或大或小的Windows網(wǎng)絡(luò)環(huán)境，同時(shí)市場(chǎng)的需要也培養(yǎng)出了一大批熟悉微軟產(chǎn)品的SA，微軟還為他們頒發(fā)MCSE和MVP證書。各種各樣的技術(shù)文章和培訓(xùn)教材也充滿了網(wǎng)絡(luò)、在各個(gè)社區(qū)中很容易找到關(guān)于活動(dòng)目錄的討論和技術(shù)文章。這使得很多企業(yè)的IT管理人員在面臨一些實(shí)際需求時(shí)，首先想到的就是活動(dòng)目錄，大量的企業(yè)部署了活動(dòng)目錄。甚至于很多SE認(rèn)為活動(dòng)目錄就是一個(gè)完美的IT管理解決方案。
    那么，中國(guó)的企業(yè)究竟為什么部署活動(dòng)目錄呢？筆者在很多社區(qū)和討論群中與第一線的SA們進(jìn)行過深入討論，總結(jié)為以下幾種：
    1、為了EMAIL
    企業(yè)需要一個(gè)郵件服務(wù)器、于是SA想到了微軟的Exhange Server。為了實(shí)現(xiàn)Exchange Server，所以必須部署AD。
    2、為了集中化驗(yàn)證和文件權(quán)限控制
    企業(yè)需要員工能在任何一臺(tái)計(jì)算機(jī)上工作，希望他們有自己的網(wǎng)絡(luò)帳號(hào)，同時(shí)企業(yè)的文件服務(wù)器也需要這樣的帳號(hào)來區(qū)分訪問者，為不同部門和不同的員工部署不同的文件訪問權(quán)限。所以，SA部署了AD。
    3、為了集中化控制客戶機(jī)
    SA發(fā)現(xiàn)工作中總要花很多時(shí)間去客戶機(jī)上做修改和控制，跑來跑去，工作量很大，非常不方便。于是部署AD，通過集中化的組策略，實(shí)現(xiàn)了從核心控制臺(tái)上對(duì)不同部門客戶機(jī)的不同策略管理。譬如限制用戶對(duì)系統(tǒng)某些功能的訪問和修改、統(tǒng)一定位內(nèi)部WSUS服務(wù)器的補(bǔ)丁更新位置、批量分法軟件、限制軟件和網(wǎng)絡(luò)的使用等等。
    以上三種需求，占到了90%左右的國(guó)內(nèi)中小型企業(yè)的實(shí)際情況。當(dāng)然，另有10%會(huì)使用到AD的其他特性，譬如企業(yè)需要群集，于是必須部署AD。SA希望集中控管需要部署SMS，于是必須部署AD。
    四、活動(dòng)目錄的問題
    活動(dòng)目錄的問題就在于微軟希望他能面面俱到，但實(shí)際上這是不可能的，后導(dǎo)致了活動(dòng)目錄的臃腫、不可靠、性能低和管理復(fù)雜。按照之前我們總結(jié)的中國(guó)中小企業(yè)需求，可以說絕大部分活動(dòng)目錄的部署，可以形象比喻為“為了聽收音機(jī)而購(gòu)買了一臺(tái)汽車，然后為了維持這臺(tái)汽車不斷的付出時(shí)間、精力和金錢”。企業(yè)的需求就是一臺(tái)收音機(jī)，而活動(dòng)目錄就是這臺(tái)汽車。
    那么活動(dòng)目錄在作為一臺(tái)收音機(jī)使用時(shí)，存在哪些問題呢？
    1、對(duì)DNS的高度依賴
    眾所周知，AD是構(gòu)建在DNS名稱空間之上的，一個(gè)強(qiáng)健可靠的DNS實(shí)例是AD的基石，DNS讓AD可以管理無限龐大和復(fù)雜的網(wǎng)絡(luò)環(huán)境。大家知道，AD是只能部署在WINDOWS的DNS服務(wù)之上的，他融入了很多非標(biāo)準(zhǔn)DNS的定義和記錄，而Windows的DNS是一個(gè)可靠性和負(fù)載能力低下的DNS服務(wù)器?？纯碔nternet上，有幾個(gè)ISP會(huì)使用Windows DNS？后的結(jié)果，是windows DNS一旦出現(xiàn)問題，整個(gè)AD隨即故障。例如DNS中的記錄更新失敗，多DNS區(qū)域復(fù)制失敗，或者DNS需要遷移等等事件，都會(huì)導(dǎo)致AD面臨極大的風(fēng)險(xiǎn)。這就是說，一棟龐大的大廈建立在了一個(gè)不牢固的地基上。
    2、過于復(fù)雜的LDAP協(xié)議
    AD的LDAP，雖然號(hào)稱“輕量”，實(shí)際上紛繁復(fù)雜。微軟希望將這個(gè)協(xié)議封閉起來，在整個(gè)AD的控管環(huán)境中用戶不要直接與協(xié)議打交道。但是LDAP的復(fù)雜性，導(dǎo)致一旦出現(xiàn)問題，用戶連一個(gè)基本的錯(cuò)誤反饋界、調(diào)試接口和工具都沒有。所以微軟又不得不提供LDAP調(diào)試工具，放在光盤的額外安裝目錄中。即便如此，又有多少SA能精通這個(gè)怪胎協(xié)議的調(diào)試呢？
    3、過于復(fù)雜的身份和權(quán)限機(jī)制
    AD的集中化身份驗(yàn)證體系，無疑是AD受歡迎的功能之一。但是為了讓它能面面俱到，微軟把它搞得過于復(fù)雜了。首先在計(jì)算機(jī)帳戶和用戶帳戶被同等看待的前提下，OU和Group卻又可以交叉容納用戶對(duì)象。實(shí)際上，AD中的Group太過復(fù)雜，為了實(shí)現(xiàn)森林的擴(kuò)展，AD中的Group有基本的6種類型組合，有數(shù)十個(gè)內(nèi)置組，更不用說組和組之間允許權(quán)限交聯(lián)，允許交叉繼承，允許權(quán)限并集和交集。再加上AD與NTFS的集成，文件夾權(quán)限和OU權(quán)限的并行，邏輯容器和物理容器的互不關(guān)聯(lián)，活動(dòng)目錄的帳戶與本地客戶機(jī)帳戶并存。這真的是我見過復(fù)雜的一套機(jī)制了，雖然這樣復(fù)雜的機(jī)制讓AD足夠靈活，但是事實(shí)上絕大部分的用戶不需要這么復(fù)雜的機(jī)制，敢問有多少百分比的SA完全搞清了AD中這套機(jī)制？絕大部分的人也僅僅是從MCSE的簡(jiǎn)單教材中了解了初步的概念而已。
    4、雞肋般的組策略
    組策略集中管理也是AD受歡迎的功能之一，利用組策略，微軟希望用戶能集中控管龐大的客戶機(jī)群，但是組策略的工作機(jī)制，決定了他在復(fù)雜多變的生產(chǎn)環(huán)境中注定成為一塊雞肋。首先、組策略90%的功能是通過修改客戶機(jī)注冊(cè)表來實(shí)現(xiàn)的，還有少部分是通過運(yùn)行腳本來實(shí)現(xiàn)的，這樣的工作機(jī)制導(dǎo)致了組策略的實(shí)時(shí)性很糟糕，抗干擾能力也很糟糕，很容易被客戶機(jī)上的一些安全軟件干擾，更糟糕的是策略部署后是完全無反饋的，管理員不知道一個(gè)策略是不是真的在每個(gè)計(jì)算機(jī)上生效了，一旦出現(xiàn)問題，只能用類似于GPRESULT一類的簡(jiǎn)陋工具，去客戶機(jī)上實(shí)地分析。除此以外，組策略中的很多功能也有嚴(yán)重的設(shè)計(jì)缺陷。軟件分發(fā)，，可能用來分發(fā)微軟的某個(gè)小工具尚可，莫非你想用它真正去分發(fā)應(yīng)用軟件？筆者映像深的一個(gè)客戶，為了用組策略阻止客戶運(yùn)行QQ.exe，他設(shè)定了20條哈希規(guī)則，因?yàn)樗业搅?0個(gè)EXE版本不同的QQ，他們的哈希值都是不一樣的，更不用說那些他還沒找到的版本。
    5、全封閉的數(shù)據(jù)庫(kù)
    在MCSE的官方資料中，經(jīng)常會(huì)提到“活動(dòng)目錄數(shù)據(jù)庫(kù)”，經(jīng)常提到“SYSVOL”。SA們多少都知道他們是AD的數(shù)據(jù)中心，各種信息都存在里面。但是糟糕的是，這個(gè)數(shù)據(jù)庫(kù)是專用的，你沒有辦法看到里面存儲(chǔ)的東西，也沒有辦法像管理關(guān)系型數(shù)據(jù)庫(kù)那樣使用SQL語句去操作它。后的結(jié)果就是，如果你想備份和還原AD，那根本就是噩夢(mèng)。你想備份AD嗎？對(duì)不起，微軟是沒有專用工具的，你只能用NTBACKUP去搞定。你想只備份AD數(shù)據(jù)庫(kù)嗎？想定期增量同步數(shù)據(jù)嗎？對(duì)不起，NTBACKUP不支持，你只能把它和Windows的其他系統(tǒng)信息一起備份，不管這些東西是好的還是壞的。你想提高AD的可靠性嗎？MY GOD 你必須要兩臺(tái)DC！
    6、動(dòng)則需要其他產(chǎn)品
    AD作為一個(gè)微軟IT管理解決方案的平臺(tái)，始終只是一個(gè)平臺(tái)，稍微專業(yè)一點(diǎn)的業(yè)務(wù)，就需要與其他微軟產(chǎn)品集成。譬如，想對(duì)用戶的網(wǎng)絡(luò)訪問進(jìn)行管理，對(duì)網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行篩選和審計(jì)，就必須要吧另一個(gè)大家伙ISA請(qǐng)出來。要想為客戶機(jī)批量分發(fā)補(bǔ)丁，修復(fù)漏洞，又得請(qǐng)出另一個(gè)大家伙WSUS。如果想集中防范網(wǎng)絡(luò)中的病毒、惡意軟件、危險(xiǎn)行為，更糟糕了，因?yàn)槲④浬袩o可用產(chǎn)品，咱必須請(qǐng)出賽門鐵克或者麥卡菲了。殊不知，企業(yè)中的服務(wù)器，就是這樣被一臺(tái)一臺(tái)的占據(jù)的，這倒是便宜了靠賣IT設(shè)施吃飯的集成商。更糟糕的是，SA們不得不維護(hù)越來越多的系統(tǒng)，不斷的讀一本一本的專業(yè)書籍，在論壇上發(fā)一個(gè)又一個(gè)求助的帖子，然而這還僅僅是IT環(huán)境的基礎(chǔ)運(yùn)營(yíng)而已，企業(yè)的生產(chǎn)系統(tǒng)還沒計(jì)算在內(nèi)。
    五、找出更傻瓜和簡(jiǎn)單的解決方案
    AD是強(qiáng)大的、但是你真的需要他嗎？
    人的能動(dòng)性是無限的，您也許已經(jīng)在微軟的技術(shù)世界里摸爬滾打多年，但是您考察過自己企業(yè)的真實(shí)需求嗎？
    您是不是“買汽車的那個(gè)人”？
    文章到這里，您也許想問筆者，有什么樣的代替方案？
    事實(shí)上，微軟的AD做到今天，能在功能上完全覆蓋它和代替的解決方案幾乎沒有。但是如果我們縮小需求，考察中國(guó)絕大部分企業(yè)的實(shí)際需要，可能我們能找到一些更好的代替方案。
    我們無外乎需要以下幾個(gè)東西：
    1、一個(gè)集中化身份驗(yàn)證的平臺(tái)
    代替AD中的身份和用戶數(shù)據(jù)庫(kù)
    2、一個(gè)可分權(quán)管理的網(wǎng)絡(luò)存儲(chǔ)系統(tǒng)
    代替共享和NTFS，DFS
    3、一個(gè)能進(jìn)行集中控管的軟件
    代替ISA，代替WSUS,SMS等微軟產(chǎn)品
    4、一個(gè)可編程的網(wǎng)絡(luò)任務(wù)執(zhí)行工具
    代替組策略
    這樣一個(gè)產(chǎn)品，市場(chǎng)上已經(jīng)有比較接近的現(xiàn)有系統(tǒng)可以購(gòu)買，也可以自己開發(fā)，筆者也在努力開發(fā)中。
    另外，如果您僅僅是想實(shí)現(xiàn)郵件服務(wù)，不妨放棄Exchange嘗試其他郵件服務(wù)器？