有關活動目錄地普遍疑問解答

在Windows 2000系統下，已經有過開展活動目錄的成功案例嗎？

總的來說，答案是肯定的。Gartner已經和那些實現了活動目錄的企業進行了交談，這些企業的目的是為了適應單獨區域內部用戶的數量從數百個到175,000的浮動變化。Gartner也確保了一個用戶使用活動目錄做為一個extranet（輕量級目錄存取協議(Lightweight Directory Access Protocol, LDAP)）目錄，以實現驅動3,500,000個用戶。如果要對配置活動目錄做一個全面的評價，那就是：發展前景長遠、非常棒！

啟用活動目錄將存在怎樣的一般性缺陷呢？

以下是Gartner發現企業最普遍遇到的頓挫：

• 疏忽對目錄設計和開展帶來的行政方面的問題進行估計。可以看到關於組織單元(OU)與區域邊界、區域與forest boundaries以及對非Windows域名系統進行綜合的解決方案的爭論仍是熱門話題。這些爭論可能將導致延遲設計和實施開展的時間。
• 沒能從以下幾個方面全面分析活動目錄復制的需求1)可利用的網絡帶寬量2)區域控制器的硬件配置（特別是網絡集線器域名控制器）。如果活動目錄不能可靠地完成復制過程，它將無法完全地發揮其功能。
• 過多地嵌套OU或組，導致極度復雜的組策略或在組策略處理過程中很低的性能。Gartner也已經與幾個設計了非常復雜的組策略的企業進行了交流，他們表示必須要將低復雜度，因為這樣將大大降低性能或一些不可預期的後果。我們建議企業配置時不要超過五級嵌套OU。

  配置、展開
  如果一個企業還沒有開展活動目錄，是否它應該等待配置活動目錄的Windows Server 2003版本呢？

  你應該基於你對時間和活動目錄特性的需求對此做決定。

• 在時間問題上，Windows Server 2003 Active Directory將在2003年發布（概率是90%）。我們認為Active Directory適合於在Type B企業（技術的主流采納者）中進行小型配置（用戶數量可以達到5000）。但是，我們建議Type B企業在配置Windows Server 2003 Active Directory域名控制器並關聯Windows 2000域名控制器之前再等60天。我們也建議Type B在進行中級配置（用戶可達25,000）之前等待60天，以及在配置大型（用戶超過25,000）Windows Server 2003 Active Directory環境之前等待90天。

  最後，我們建議Type C企業（對技術采納持保守態度的企業）在進行任何類型的配置之前等待6個月。對於多數企業，這意味著在2003年應該計劃大范圍配置Windows Server 2003 Active Directory。

• 在特性方面，Windows Server 2003包括bug fix以及對Active Directory進行了改進。企業應該對Windows Server 2003 Active Directory新增的特性評估後再決定是否有價值配置它們的Active Directory。如果沒有實際價值，企業應該考慮配置Windows 2000 Active Directory，以後再升級到Windows Server 2003 Active Directory（比如說2004年）。值得注意的是，混合配置Windows 2000和Windows Server 2003 Active Directory 域名控制器的價值有限，企業應該計劃實現一個版本的穩定。

為了能滿足計劃可能不斷變化的需求，我應該使用什麼樣的組織結構？

考慮到企業的行政結構和公共部門很大的變動性，對於這個問題沒有普遍適用的規則。然而，Gartner已經發現了三個有效的方法，用來為Active Directory建立一個變動控制技術：

讓directory team或directory architect管理變化請求。當directory team/architec是全球IS部門的一部分時，這個方法工作得最好。

對於多域環境，成立一個區域管理員的管理部門，這些管理員必須對任何變化沒有異議。顯然，僅當是有限數目域的情況下，這種方法才能很好工作。

創建一個部門，在這裡集中了各個領域（如安全、網絡、Windows系統管理以及桌面和用程序開發）的專業人士。在這種情況下，盡管這種想法是完美的，但是沒有得到正式批准。
我需要第三方工具來有效管理Active Directory？

許多企業可以使用由微軟提供的工具和資源來管理Active Directory環境。但是，在一些特別領域裡第三方工具提供了另外的價值：

安全報告和審核
管理多域或multiple-forest實現
管理和配置組策略
監測Active Directory的狀態是否處於正常
實現基於任務的管理模型（相對於Active Directory的層次模型）
提供相關工具的廠商有：Aelita Software、BindView、FullArmor、NetIQ、NetPro和Quest Software。

對於我自己的目錄需要，是否可以按照Active Directory來標准化？

大多數情況下，答案是不可以。操作系統和應用程序通常是和特定的目錄相關聯。舉個例子來說，NetWare要求是eDirectory，Oracle應用軟件則要求的是Oracle Internet Directory，Lotus Notes需要Notes目錄，等等。Gartner強烈推薦企業應該走目錄整合路線。

我應該使用Active Directory來作為企業的目錄協議函數庫（LDAP）目錄嗎？

這個要依賴於將訪問該目錄的應用程序。在這裡有兩點需要考慮：

盡管Active Directory 是適應LDAP 3，但是存在大量LDAP規范的擴展。程序員在寫程序時可能會選擇那些不被Active Directory支持的規范。在當前市場中，這個問題不是只發生在Active Directory身上，企業必須測試應用程序與目標目錄的兼容性。

甚至當一個應用程序使用Active Directory來工作的，廠商也可能不支持它。實際上，任何廠商僅僅支持有限數目的目錄形式，他們的產品不可能兼容任何LDAP目錄。Gartner認為，對於大多數企業來說，配置一個不被軟件開發商支持的目錄的風險是相當高的。
還要提的一點是，在Active Directory內全面的LDAP支持將不斷改善。Windows Server 2003的發布就包括了一些新的LDAP特性，並且Gartner預測微軟將在2003年發布一個稱作Active Directory in Application Mode (AD/AM)的改進版，來單獨支持LDAP。

底線
企業配置Active Directory的發展勢頭很好。一旦有新產品的發布，企業必須認真將其配置需求與Windows Server 2003 Active Directory和Active Directory in Application Mode進行匹配。企業也應該注意成功配置了Active Directory的案例（或其他的目錄產品），並需要關注應用程序兼容性和企業的行政結構。