Windows XP Windows 7 Windows 2003 Windows Vista Windows教程綜合 Linux 系統教程
Windows 10 Windows 8 Windows 2008 Windows NT Windows Server 電腦軟件教程
 Windows教程網 >> Windows Server系統教程 >> Windows Server教程 >> 怎麼樣形成你地微軟活動目錄策略

怎麼樣形成你地微軟活動目錄策略

日期:2017/1/24 11:02:26      編輯:Windows Server教程


CIO們和許多其他企業管理人員對於洞察目錄服務的前景很有興趣,因為他們在現代分散計算體系中扮演著重要的基礎結構的角色。微軟的活動目錄(Active Directory,AD)的應用正在增長,關於該技術的問題也在增多。 Gartner談了關於AD的主要問題,涉及到了應用的成功,常見的缺陷,時間選擇,組織結構以及技術問題。


活動目錄概覽

無論集中還是分散,目錄服務觸及企業的每個角落,而且常常超越企業延伸到商業伙伴和客戶。自從2000年2月推出Windows 2000, 微軟已經把自己樹立為企業的分布式處理的供應商。微軟認識到建立在互聯網技術的基礎上的分布式計算的增長,並利用Windows 2000, 修改它的目錄結構來適應以網絡為導向的世界。AD是微軟的目錄服務,也是Windows 2000體系中的一個核心部分。


AD是一個企業目錄系統,可以自動進行用戶數據,安全和分布的資源的控制和協調。AD分等級的名字空間,以及基於Kerberos認證的分布模式對於微軟達到建立全公司分布式計算中的Windows服務器的目標是關鍵的。從一個集中的地點,AD可以幫助管理員管理一個企業的網絡,即使該企業是跨城市,跨國家,或者跨半球的。


AD用一個分等級的分布式目錄服務取代Windows NT平直,不靈活的域結構來控制互聯網或公司內部網上的資源。 AD是建立在如小型目錄協議(Lightweight Directory Access Protocol,LDAP)和域名系統(DNS)等以互聯網為導向的標准的基礎上的。它是設計用來提供全球對各種存儲信息的訪問。通過一個企業界面,AD幫助管理員控制客戶,服務器,用戶和網絡資源。它的分級結構為如應用程序,客戶,服務器和用戶帳號等元素的管理提供了分布式, 多主(Multimaster)的訪問。


Windows 2000下AD的生產應用

Windows 2000下AD的生產應用很成功。一些企業已經應用AD來容納在單一的,全球的域中從數百人到高達175,000人的內部用戶數量。事實上, Gartner已證實一家企業使用AD作為管理350萬用戶的外部網(LDAP)目錄。 Gartner對AD應用的整體評估是: 到目前為止,還不錯。


AD應用的常見缺陷

Gartner所見到的企業遇到的最常見的挫折是: 無法說明AD設計和應用的政治前景

激烈的辯論繼續針對組織單位對對域界, 域對林界, 以及與非Windows DNS解析的合並的話題進行。這些辯論可能引起設計和應用較大的延遲。


無法完整分析AD復制要求

缺乏根據現有的網絡帶寬和域控制器配置(尤其是主域控制器)對AD復制要求的完整分析會引起故障。如果AD不能可靠地完成它的復制周期,它將無法正常運行。


組織單位或組嵌套太深

嵌套組織單位或組太深會造成過分復雜的組策略或登陸時組策略處理過程中性能不佳。一些設計了很復雜的組策略的企業由於性能不佳或不可預知的結果而不得不在應用後進行調整。Gartner建議企業不要使用超過五層的嵌套組織單位。


時間選擇和功能

如果一個企業還沒有使用AD,它應該等著使用Windows .NET 2003版本的AD嗎? 這個決定應該建立在時間選擇和AD功能要求的基礎上。

Windows .NET 2003 AD將在2003年第二季度發行 (0.9的可能性)

Gartner認為AD直接適用於B型企業(技術的主流使用者)的小型(5000名用戶)應用。但是, Gartner建議B型企業在聯合Windows 2000域控制器應用Windows .NET 2003 AD域控制器前應等待60天。 Gartner也建議B型企業在中型(最多25000名用戶)應用前應等待60天,在應用大型(超過25000名用戶)的Windows .NET 2003 AD環境前應等待90天。 Gartner建議C型企業(技術的保守使用者)在任何規模的應用前等待6個月。這意味著,對大多數企業,Windows .NET 2003 AD的廣泛應用應計劃在2003年的下半年。


Windows .NET 2003包括了AD的缺陷修補和功能的改進

企業應評估Windows .NET 2003 AD的新功能來判定它們對他們的AD應用是否具有價值。如果沒有實際的價值,企業應考慮應用Windows 2000 AD並在以後(如2004年)升級到Windows .NET AD。請記住混合使用Windows 2000和Windows .NET 2003 AD域控制器的價值很有限。企業應達到這個版本或那個版本的穩定狀態。


使用Org結構來應付計劃改變的請求

因為企業與公共部門的組織的政治結構相距甚遠,對這個問題沒有一勞永逸的答案。三種建立一個AD改變控制機制的有效辦法為: 讓目錄團隊或目錄設計者處理改變的請求

當目錄團隊和設計者是一個全球IS部門的一部分時這個方法最有效。


對於多域的環境,創建一個管理版

包括域管理員必須無異議地同意任何變化。顯然,這只在域的數量有限時有較好效果。


創建一個不同代表的版

包括來自安全,網絡,Windows管理,幫助台和應用程序開發的代表。在這種情況下,一致的批准是不必要的,雖然這樣比較理想。


管理AD的第三方工具

許多企業可以使用微軟提供的工具和用具(包括Windows 2000資源包中有的用具)來管理他們的AD環境。但是,有一些特殊的區域第三方的工具可以提供額外的價值: 安全報告和審計:


管理多域或多林的實現管理和應用組策略監控AD健康執行一個以任務為基礎的管理模式 (相對於AD的分等級模式)


在這一領域提供工具的賣家包括Aelita軟件, BindView, FullArmor, NetIQ, NetPro和Quest軟件。


在AD上標准化以滿足所有目錄需要

在AD上標准化以滿足所有目錄需要也許不可能做到。操作系統和應用程序經常被系於特定的目錄。例如, NetWare要求eDirectory, Oracle 應用程序要求Oracle互聯網目錄, Lotus Notes要求Notes目錄,等等。Gartner強烈推薦企業應進行目錄的整合,而不是設法“把應用程序削足適履放進目錄裡。”


使用AD作為一個全企業的LDAP目錄

這麼做取決於將訪問該目錄的應用程序。這裡有兩個考慮。


雖然AD是支持LDAP v.3的, 它對LDAP規格有許多增加,延伸和诠釋。編寫目錄掃描的應用程序的程序員也許選擇應用不被AD支持的該規格的可選方面。這個問題並非AD特有,在目前的市場上,未激活LDAP的目錄是可以互換的。企業必須測試應用程序與目標目錄的兼容性。


即使當一個應用程序對AD兼容時,賣家也可能不支持它。在目錄領域的最大的謊言就是某個軟件銷售商聲稱它的產品對“任何”LDAP目錄兼容。真相是每個軟件銷售商都准備只支持有限數量的目錄。


Gartner認為應用不受軟件銷售商支持的目錄為大多數企業來說風險太大了。而且請注意LDAP整體對AD的支持將繼續改善。 Windows .NET 2003版本包括一些新的LDAP功能, Gartner期待微軟在2003年下半年為獨立的LDAP支持發行一個叫做應用模式中的AD的增強版。


底線

企業對AD的應用到目前位置很順利。隨著新版本的即將出現,企業必須小心地將他們的應用要求與Windows .NET 2003 AD和應用模式中的AD的發行的日期界限相匹配。企業也應記得AD或任何目錄產品的成功應用需要關注應用程序的兼容性和在企業中的政治結構。

 
Copyright © Windows教程網 All Rights Reserved