在Windows 2000系統下,已經有過開展活動目錄的成功案例嗎?
總的來說,答案是肯定的。Gartner已經和那些實現了活動目錄的企業進行了交談,這些企業的目的是為了適應單獨區域內部用戶的數量從數百個到175,000的浮動變化。Gartner也確保了一個用戶使用活動目錄做為一個extranet(輕量級目錄存取協議(Lightweight Directory Access Protocol, LDAP))目錄,以實現驅動3,500,000個用戶。如果要對配置活動目錄做一個全面的評價,那就是:發展前景長遠、非常棒!
啟用活動目錄將存在怎樣的一般性缺陷呢?
以下是Gartner發現企業最普遍遇到的頓挫:
配置、展開
如果一個企業還沒有開展活動目錄,是否它應該等待配置活動目錄的Windows Server 2003版本呢?
你應該基於你對時間和活動目錄特性的需求對此做決定。
最後,我們建議Type C企業(對技術采納持保守態度的企業)在進行任何類型的配置之前等待6個月。對於多數企業,這意味著在2003年應該計劃大范圍配置Windows Server 2003 Active Directory。
為了能滿足計劃可能不斷變化的需求,我應該使用什麼樣的組織結構?
考慮到企業的行政結構和公共部門很大的變動性,對於這個問題沒有普遍適用的規則。然而,Gartner已經發現了三個有效的方法,用來為Active Directory建立一個變動控制技術:
讓directory team或directory architect管理變化請求。當directory team/architec是全球IS部門的一部分時,這個方法工作得最好。
對於多域環境,成立一個區域管理員的管理部門,這些管理員必須對任何變化沒有異議。顯然,僅當是有限數目域的情況下,這種方法才能很好工作。
創建一個部門,在這裡集中了各個領域(如安全、網絡、Windows系統管理以及桌面和用程序開發)的專業人士。在這種情況下,盡管這種想法是完美的,但是沒有得到正式批准。
我需要第三方工具來有效管理Active Directory?
許多企業可以使用由微軟提供的工具和資源來管理Active Directory環境。但是,在一些特別領域裡第三方工具提供了另外的價值:
安全報告和審核
管理多域或multiple-forest實現
管理和配置組策略
監測Active Directory的狀態是否處於正常
實現基於任務的管理模型(相對於Active Directory的層次模型)
提供相關工具的廠商有:Aelita Software、BindView、FullArmor、NetIQ、NetPro和Quest Software。
對於我自己的目錄需要,是否可以按照Active Directory來標准化?
大多數情況下,答案是不可以。操作系統和應用程序通常是和特定的目錄相關聯。舉個例子來說,NetWare要求是eDirectory,Oracle應用軟件則要求的是Oracle Internet Directory,Lotus Notes需要Notes目錄,等等。Gartner強烈推薦企業應該走目錄整合路線。
我應該使用Active Directory來作為企業的目錄協議函數庫(LDAP)目錄嗎?
這個要依賴於將訪問該目錄的應用程序。在這裡有兩點需要考慮:
盡管Active Directory 是適應LDAP 3,但是存在大量LDAP規范的擴展。程序員在寫程序時可能會選擇那些不被Active Directory支持的規范。在當前市場中,這個問題不是只發生在Active Directory身上,企業必須測試應用程序與目標目錄的兼容性。
甚至當一個應用程序使用Active Directory來工作的,廠商也可能不支持它。實際上,任何廠商僅僅支持有限數目的目錄形式,他們的產品不可能兼容任何LDAP目錄。Gartner認為,對於大多數企業來說,配置一個不被軟件開發商支持的目錄的風險是相當高的。
還要提的一點是,在Active Directory內全面的LDAP支持將不斷改善。Windows Server 2003的發布就包括了一些新的LDAP特性,並且Gartner預測微軟將在2003年發布一個稱作Active Directory in Application Mode (AD/AM)的改進版,來單獨支持LDAP。
底線
企業配置Active Directory的發展勢頭很好。一旦有新產品的發布,企業必須認真將其配置需求與Windows Server 2003 Active Directory和Active Directory in Application Mode進行匹配。企業也應該注意成功配置了Active Directory的案例(或其他的目錄產品),並需要關注應用程序兼容性和企業的行政結構。