你真的须要活动目录吗?
1、活动目录的功能
活动目录是微软为解决分布式 windows网络集中化管理应用的一项关键产品,它的核心思想和协议源自于早期NOVELL的相似技术。今天的 活动目录总结起来功能无外乎于如下三项:
一、集中化的身份验证
利用AD数据库,将分散在 windows客户机上的用户管理体系集中到DC上,实现一个用户在任何节点的漫游能力。同时微软的其余产品也不一样程度的能够与这个集中化的身份认证体系集成,譬如Exchange,ISA,SMS,甚至Office等等。除此之外,因为开放的LDAP协议,使得第三方产品也能够集成到这个统一的身份验证体系中来。
二、集中化的资源检索
因为AD具备影射网络共享资源,集成DFS等能力,再加上统一的身份认证,使得将分散在网络上的资源集中检索和权限控制变得可能。从理论上说,管理员能够利用AD的这一特性,创建一个彻底分布式的文件存储系统,将专用的文件服务器,网络存储系统,客户机上的分散存储集中起来管理和应用。
三、集中化的权限与策略控制
因为身份验证的集中化,用户的权限管理天然也能够集中化。同时更重要的是利用可分法的GPO,AD实现了将分散在 Windows客户机上的组策略集中控管的能力。众所周知,组策略是微软提供的利用注册表开关和脚本控制 Windows特性的有效工具,集中化的组策略实现了管理员对整个 windows网络中客户机的批量操控。
2、活动目录的优点
活动目录技术从早期的NT到现在的2008,已经发展出一个至关庞大的技术构架。从单一的水平域管理,扩展到能够经过站点和森林扩展出庞大的域结构。达到了微软所但愿的 解决方案服务一个跨国机构的目标。同时,与其余厂商的相似产品相比, 活动目录与微软产品的深度集成也从侧面延伸了 活动目录的功能。譬如Exchange Server构建在AD之上,获得一个集成的邮件 解决方案、ISA Server构建在AD之上,获得一个集成的防火墙 解决方案、Office和Sharepoint构建在AD之上,获得一个企业内部集中化办公 解决方案、乃至SQLserver数据库、SMS、RRAS、CA、RADIUS、iis、Cluster、WSUS甚至最简单的DHCP Server,均可以与AD集成,实现“集中化”的管控。不但如此、他们其中的一些甚至是必须与AD集成才可使用。基于AD的微软产品构架,从理论上来讲能够解决企业IT环境中绝大部分需求和问题。
3、中国企业为何部署活动目录?
windows产品的普遍使用,使得几乎每个企业都拥有或大或小的 Windows网络环境,同时市场的须要也培养出了一大批熟悉微软产品的SA,微软还为他们颁发MCSE和MVP证书。各类各样的技术文章和培训教材也充满了网络、在各个社区中很容易找到关于 活动目录的讨论和技术文章。这使得不少企业的IT管理人员在面临一些实际需求时,首先想到的就是 活动目录,大量的企业部署了 活动目录。甚至于不少SE认为 活动目录就是一个完美的IT管理 解决方案。
那么,中国的企业究竟为何部署 活动目录呢?笔者在不少社区和讨论群中与第一线的SA们进行过深刻讨论,总结为如下几种:
一、为了EMAIL
企业须要一个邮件服务器、因而SA想到了微软的Exhange Server。为了实现Exchange Server,因此必须部署AD。
二、为了集中化验证和文件权限控制
企业须要员工能在任何一台计算机上工做,但愿他们有本身的网络账号,同时企业的文件服务器也须要这样的账号来区分访问者,为不一样部门和不一样的员工部署不一样的文件访问权限。因此,SA部署了AD。
三、为了集中化控制客户机
SA发现工做中总要花不少时间去客户机上作修改和控制,跑来跑去,工做量很大,很是不方便。因而部署AD,经过集中化的组策略,实现了从核心控制台上对不一样部门客户机的不一样策略管理。譬如限制用户对系统某些功能的访问和修改、统必定位内部WSUS服务器的补丁更新位置、批量分法软件、限制软件和网络的使用等等。
以上三种需求,占到了90%左右的国内中小型企业的实际状况。固然,另有10%会使用到AD的其余特性,譬如企业须要群集,因而必须部署AD。SA但愿集中控管须要部署SMS,因而必须部署AD。
4、活动目录的问题
活动目录的问题就在于微软但愿他能面面俱到,但实际上这是不可能的,最后致使了 活动目录的臃肿、不可靠、性能低和管理复杂。按照以前咱们总结的中国中小企业需求,能够说绝大部分 活动目录的部署,能够形象比喻为“为了听收音机而购买了一台汽车,而后为了维持这台汽车不断的付出时间、精力和金钱”。企业的需求就是一台收音机,而 活动目录就是这台汽车。
那么 活动目录在做为一台收音机使用时,存在哪些问题呢?
一、对DNS的高度依赖
众所周知,AD是构建在DNS名称空间之上的,一个强健可靠的DNS实例是AD的基石,DNS让AD能够管理无限庞大和复杂的网络环境。你们知道,AD是只能部署在 WINDOWS的DNS服务之上的,他融入了不少非标准DNS的定义和记录,而 Windows的DNS是一个可靠性和负载能力低下的DNS服务器。看看Internet上,有几个ISP会使用 Windows DNS?最后的结果,是 windows DNS一旦出现问题,整个AD随即故障。例如DNS中的记录更新失败,多DNS区域复制失败,或者DNS须要迁移等等事件,都会致使AD面临极大的风险。这就是说,一栋庞大的大厦创建在了一个不牢固的地基上。
二、过于复杂的LDAP协议
AD的LDAP,虽然号称“轻量”,实际上纷繁复杂。微软但愿将这个协议封闭起来,在整个AD的控管环境中用户不要直接与协议打交道。可是LDAP的复杂性,致使一旦出现问题,用户连一个基本的错误反馈界、调试接口和工具都没有。因此微软又不得不提供LDAP调试工具,放在光盘的额外安装目录中。即使如此,又有多少SA能精通这个怪胎协议的调试呢?
三、过于复杂的身份和权限机制
AD的集中化身份验证体系,无疑是AD最受欢迎的功能之一。可是为了让它能面面俱到,微软把它搞得过于复杂了。首先在计算机账户和用户账户被同等看待的前提下,OU和Group却又能够交叉容纳用户对象。实际上,AD中的Group太过复杂,为了实现森林的扩展,AD中的Group有基本的6种类型组合,有数十个内置组,更不用说组和组之间容许权限交联,容许交叉继承,容许权限并集和交集。再加上AD与NTFS的集成,文件夹权限和OU权限的并行,逻辑容器和物理容器的互不关联, 活动目录的账户与本地客户机账户并存。这真的是我见过最复杂的一套机制了,虽然这样复杂的机制让AD足够灵活,可是事实上绝大部分的用户不须要这么复杂的机制,敢问有多少百分比的SA彻底搞清了AD中这套机制?绝大部分的人也仅仅是从MCSE的简单教材中了解了初步的概念而已。
四、鸡肋般的组策略
组策略集中管理也是AD最受欢迎的功能之一,利用组策略,微软但愿用户能集中控管庞大的客户机群,可是组策略的工做机制,决定了他在复杂多变的生产环境中注定成为一块鸡肋。首先、组策略90%的功能是经过修改客户机注册表来实现的,还有少部分是经过运行脚原本实现的,这样的工做机制致使了组策略的实时性很糟糕,抗干扰能力也很糟糕,很容易被客户机上的一些安全软件干扰,更糟糕的是策略部署后是彻底无反馈的,管理员不知道一个策略是否是真的在每一个计算机上生效了,一旦出现问题,只能用相似于GPRESULT一类的简陋工具,去客户机上实地分析。除此之外,组策略中的不少功能也有严重的设计缺陷。软件分发,,可能用来分发微软的某个小工具尚可,莫非你想用它真正去分发应用软件?笔者映像最深的一个客户,为了用组策略阻止客户运行QQ.exe,他设定了20条哈希规则,由于他找到了20个EXE版本不一样的QQ,他们的哈希值都是不同的,更不用说那些他还没找到的版本。
五、全封闭的数据库
在MCSE的官方资料中,常常会提到“ 活动目录数据库”,常常提到“SYSVOL”。SA们多少都知道他们是AD的数据中心,各类信息都存在里面。可是糟糕的是,这个数据库是专用的,你没有办法看到里面存储的东西,也没有办法像管理关系型数据库那样使用SQL语句去操做它。最后的结果就是,若是你想备份和还原AD,那根本就是噩梦。你想备份AD吗?对不起,微软是没有专用工具的,你只能用NTBACKUP去搞定。你想只备份AD数据库吗?想按期增量同步数据吗?对不起,NTBACKUP不支持,你只能把它和 Windows的其余系统信息一块儿备份,无论这些东西是好的仍是坏的。你想提升AD的可靠性吗?MY GOD 你必需要两台DC!
六、动则须要其余产品
AD做为一个微软IT管理 解决方案的平台,始终只是一个平台,稍微专业一点的业务,就须要与其余微软产品集成。譬如,想对用户的网络访问进行管理,对网络数据进行筛选和审计,就必需要吧另外一个你们伙ISA请出来。要想为客户机批量分发补丁,修复漏洞,又得请出另外一个你们伙WSUS。若是想集中防范网络中的病毒、恶意软件、危险行为,更糟糕了,由于微软尚无可用产品,咱必须请出赛门铁克或者麦卡菲了。却不知,企业中的服务器,就是这样被一台一台的占据的,这却是便宜了靠卖IT设施吃饭的集成商。更糟糕的是,SA们不得不维护愈来愈多的系统,不断的读一本一本的专业书籍,在论坛上发一个又一个求助的帖子,然而这还仅仅是IT环境的基础运营而已,企业的生产系统还没计算在内。
5、找出更傻瓜和简单的解决方案
AD是强大的、可是你真的须要他吗?
人的能动性是无限的,您也许已经在微软的技术世界里摸爬滚打多年,可是您考察过本身企业的真实需求吗?
您是否是“买汽车的那我的”?
文章到这里,您也许想问笔者,有什么样的代替方案?
事实上,微软的AD作到今天,能在功能上彻底覆盖它和代替的 解决方案几乎没有。可是若是咱们缩小需求,考察中国绝大部分企业的实际须要,可能咱们能找到一些更好的代替方案。 咱们无外乎须要如下几个东西: 一、一个集中化身份验证的平台 代替AD中的身份和用户数据库 二、一个可分权管理的网络存储系统 代替共享和NTFS,DFS 三、一个能进行集中控管的软件 代替ISA,代替WSUS,SMS等微软产品 四、一个可编程的网络任务执行工具 代替组策略 这样一个产品,市场上已经有比较接近的现有系统能够购买,也能够本身开发,笔者也在努力开发中。 另外,若是您仅仅是想实现邮件服务,不妨放弃Exchange尝试其余邮件服务器?
活动目录是微软为解决分布式 windows网络集中化管理应用的一项关键产品,它的核心思想和协议源自于早期NOVELL的相似技术。今天的 活动目录总结起来功能无外乎于如下三项:
一、集中化的身份验证
利用AD数据库,将分散在 windows客户机上的用户管理体系集中到DC上,实现一个用户在任何节点的漫游能力。同时微软的其余产品也不一样程度的能够与这个集中化的身份认证体系集成,譬如Exchange,ISA,SMS,甚至Office等等。除此之外,因为开放的LDAP协议,使得第三方产品也能够集成到这个统一的身份验证体系中来。
二、集中化的资源检索
因为AD具备影射网络共享资源,集成DFS等能力,再加上统一的身份认证,使得将分散在网络上的资源集中检索和权限控制变得可能。从理论上说,管理员能够利用AD的这一特性,创建一个彻底分布式的文件存储系统,将专用的文件服务器,网络存储系统,客户机上的分散存储集中起来管理和应用。
三、集中化的权限与策略控制
因为身份验证的集中化,用户的权限管理天然也能够集中化。同时更重要的是利用可分法的GPO,AD实现了将分散在 Windows客户机上的组策略集中控管的能力。众所周知,组策略是微软提供的利用注册表开关和脚本控制 Windows特性的有效工具,集中化的组策略实现了管理员对整个 windows网络中客户机的批量操控。
2、活动目录的优点
活动目录技术从早期的NT到现在的2008,已经发展出一个至关庞大的技术构架。从单一的水平域管理,扩展到能够经过站点和森林扩展出庞大的域结构。达到了微软所但愿的 解决方案服务一个跨国机构的目标。同时,与其余厂商的相似产品相比, 活动目录与微软产品的深度集成也从侧面延伸了 活动目录的功能。譬如Exchange Server构建在AD之上,获得一个集成的邮件 解决方案、ISA Server构建在AD之上,获得一个集成的防火墙 解决方案、Office和Sharepoint构建在AD之上,获得一个企业内部集中化办公 解决方案、乃至SQLserver数据库、SMS、RRAS、CA、RADIUS、iis、Cluster、WSUS甚至最简单的DHCP Server,均可以与AD集成,实现“集中化”的管控。不但如此、他们其中的一些甚至是必须与AD集成才可使用。基于AD的微软产品构架,从理论上来讲能够解决企业IT环境中绝大部分需求和问题。
3、中国企业为何部署活动目录?
windows产品的普遍使用,使得几乎每个企业都拥有或大或小的 Windows网络环境,同时市场的须要也培养出了一大批熟悉微软产品的SA,微软还为他们颁发MCSE和MVP证书。各类各样的技术文章和培训教材也充满了网络、在各个社区中很容易找到关于 活动目录的讨论和技术文章。这使得不少企业的IT管理人员在面临一些实际需求时,首先想到的就是 活动目录,大量的企业部署了 活动目录。甚至于不少SE认为 活动目录就是一个完美的IT管理 解决方案。
那么,中国的企业究竟为何部署 活动目录呢?笔者在不少社区和讨论群中与第一线的SA们进行过深刻讨论,总结为如下几种:
一、为了EMAIL
企业须要一个邮件服务器、因而SA想到了微软的Exhange Server。为了实现Exchange Server,因此必须部署AD。
二、为了集中化验证和文件权限控制
企业须要员工能在任何一台计算机上工做,但愿他们有本身的网络账号,同时企业的文件服务器也须要这样的账号来区分访问者,为不一样部门和不一样的员工部署不一样的文件访问权限。因此,SA部署了AD。
三、为了集中化控制客户机
SA发现工做中总要花不少时间去客户机上作修改和控制,跑来跑去,工做量很大,很是不方便。因而部署AD,经过集中化的组策略,实现了从核心控制台上对不一样部门客户机的不一样策略管理。譬如限制用户对系统某些功能的访问和修改、统必定位内部WSUS服务器的补丁更新位置、批量分法软件、限制软件和网络的使用等等。
以上三种需求,占到了90%左右的国内中小型企业的实际状况。固然,另有10%会使用到AD的其余特性,譬如企业须要群集,因而必须部署AD。SA但愿集中控管须要部署SMS,因而必须部署AD。
4、活动目录的问题
活动目录的问题就在于微软但愿他能面面俱到,但实际上这是不可能的,最后致使了 活动目录的臃肿、不可靠、性能低和管理复杂。按照以前咱们总结的中国中小企业需求,能够说绝大部分 活动目录的部署,能够形象比喻为“为了听收音机而购买了一台汽车,而后为了维持这台汽车不断的付出时间、精力和金钱”。企业的需求就是一台收音机,而 活动目录就是这台汽车。
那么 活动目录在做为一台收音机使用时,存在哪些问题呢?
一、对DNS的高度依赖
众所周知,AD是构建在DNS名称空间之上的,一个强健可靠的DNS实例是AD的基石,DNS让AD能够管理无限庞大和复杂的网络环境。你们知道,AD是只能部署在 WINDOWS的DNS服务之上的,他融入了不少非标准DNS的定义和记录,而 Windows的DNS是一个可靠性和负载能力低下的DNS服务器。看看Internet上,有几个ISP会使用 Windows DNS?最后的结果,是 windows DNS一旦出现问题,整个AD随即故障。例如DNS中的记录更新失败,多DNS区域复制失败,或者DNS须要迁移等等事件,都会致使AD面临极大的风险。这就是说,一栋庞大的大厦创建在了一个不牢固的地基上。
二、过于复杂的LDAP协议
AD的LDAP,虽然号称“轻量”,实际上纷繁复杂。微软但愿将这个协议封闭起来,在整个AD的控管环境中用户不要直接与协议打交道。可是LDAP的复杂性,致使一旦出现问题,用户连一个基本的错误反馈界、调试接口和工具都没有。因此微软又不得不提供LDAP调试工具,放在光盘的额外安装目录中。即使如此,又有多少SA能精通这个怪胎协议的调试呢?
三、过于复杂的身份和权限机制
AD的集中化身份验证体系,无疑是AD最受欢迎的功能之一。可是为了让它能面面俱到,微软把它搞得过于复杂了。首先在计算机账户和用户账户被同等看待的前提下,OU和Group却又能够交叉容纳用户对象。实际上,AD中的Group太过复杂,为了实现森林的扩展,AD中的Group有基本的6种类型组合,有数十个内置组,更不用说组和组之间容许权限交联,容许交叉继承,容许权限并集和交集。再加上AD与NTFS的集成,文件夹权限和OU权限的并行,逻辑容器和物理容器的互不关联, 活动目录的账户与本地客户机账户并存。这真的是我见过最复杂的一套机制了,虽然这样复杂的机制让AD足够灵活,可是事实上绝大部分的用户不须要这么复杂的机制,敢问有多少百分比的SA彻底搞清了AD中这套机制?绝大部分的人也仅仅是从MCSE的简单教材中了解了初步的概念而已。
四、鸡肋般的组策略
组策略集中管理也是AD最受欢迎的功能之一,利用组策略,微软但愿用户能集中控管庞大的客户机群,可是组策略的工做机制,决定了他在复杂多变的生产环境中注定成为一块鸡肋。首先、组策略90%的功能是经过修改客户机注册表来实现的,还有少部分是经过运行脚原本实现的,这样的工做机制致使了组策略的实时性很糟糕,抗干扰能力也很糟糕,很容易被客户机上的一些安全软件干扰,更糟糕的是策略部署后是彻底无反馈的,管理员不知道一个策略是否是真的在每一个计算机上生效了,一旦出现问题,只能用相似于GPRESULT一类的简陋工具,去客户机上实地分析。除此之外,组策略中的不少功能也有严重的设计缺陷。软件分发,,可能用来分发微软的某个小工具尚可,莫非你想用它真正去分发应用软件?笔者映像最深的一个客户,为了用组策略阻止客户运行QQ.exe,他设定了20条哈希规则,由于他找到了20个EXE版本不一样的QQ,他们的哈希值都是不同的,更不用说那些他还没找到的版本。
五、全封闭的数据库
在MCSE的官方资料中,常常会提到“ 活动目录数据库”,常常提到“SYSVOL”。SA们多少都知道他们是AD的数据中心,各类信息都存在里面。可是糟糕的是,这个数据库是专用的,你没有办法看到里面存储的东西,也没有办法像管理关系型数据库那样使用SQL语句去操做它。最后的结果就是,若是你想备份和还原AD,那根本就是噩梦。你想备份AD吗?对不起,微软是没有专用工具的,你只能用NTBACKUP去搞定。你想只备份AD数据库吗?想按期增量同步数据吗?对不起,NTBACKUP不支持,你只能把它和 Windows的其余系统信息一块儿备份,无论这些东西是好的仍是坏的。你想提升AD的可靠性吗?MY GOD 你必需要两台DC!
六、动则须要其余产品
AD做为一个微软IT管理 解决方案的平台,始终只是一个平台,稍微专业一点的业务,就须要与其余微软产品集成。譬如,想对用户的网络访问进行管理,对网络数据进行筛选和审计,就必需要吧另外一个你们伙ISA请出来。要想为客户机批量分发补丁,修复漏洞,又得请出另外一个你们伙WSUS。若是想集中防范网络中的病毒、恶意软件、危险行为,更糟糕了,由于微软尚无可用产品,咱必须请出赛门铁克或者麦卡菲了。却不知,企业中的服务器,就是这样被一台一台的占据的,这却是便宜了靠卖IT设施吃饭的集成商。更糟糕的是,SA们不得不维护愈来愈多的系统,不断的读一本一本的专业书籍,在论坛上发一个又一个求助的帖子,然而这还仅仅是IT环境的基础运营而已,企业的生产系统还没计算在内。
5、找出更傻瓜和简单的解决方案
AD是强大的、可是你真的须要他吗?
人的能动性是无限的,您也许已经在微软的技术世界里摸爬滚打多年,可是您考察过本身企业的真实需求吗?
您是否是“买汽车的那我的”?
文章到这里,您也许想问笔者,有什么样的代替方案?
事实上,微软的AD作到今天,能在功能上彻底覆盖它和代替的 解决方案几乎没有。可是若是咱们缩小需求,考察中国绝大部分企业的实际须要,可能咱们能找到一些更好的代替方案。 咱们无外乎须要如下几个东西: 一、一个集中化身份验证的平台 代替AD中的身份和用户数据库 二、一个可分权管理的网络存储系统 代替共享和NTFS,DFS 三、一个能进行集中控管的软件 代替ISA,代替WSUS,SMS等微软产品 四、一个可编程的网络任务执行工具 代替组策略 这样一个产品,市场上已经有比较接近的现有系统能够购买,也能够本身开发,笔者也在努力开发中。 另外,若是您仅仅是想实现邮件服务,不妨放弃Exchange尝试其余邮件服务器?
相关文章
- 1. 你真的须要活动目录吗?
- 2. 你真的须要Kubernetes吗?
- 3. 活动目录----为何须要域
- 4. 你真的须要单元测试吗?
- 5. Redis队列,你真的须要吗
- 6. 你真的须要ETL工具吗?
- 7. 你真的须要认同吗
- 8. 你真的须要 Webpack DllPlugin 吗?
- 9. App你真的须要么
- 10. 活动目录迁移须要的步骤
- 更多相关文章...
- • W3C XQuery 活动 - W3C 教程
- • W3C Soap 活动 - W3C 教程
- • 再有人问你分布式事务,把这篇扔给他
- • 算法总结-滑动窗口
相关标签/搜索
每日一句
-
每一个你不满意的现在,都有一个你没有努力的曾经。
欢迎关注本站公众号,获取更多信息
相关文章
- 1. 你真的须要活动目录吗?
- 2. 你真的须要Kubernetes吗?
- 3. 活动目录----为何须要域
- 4. 你真的须要单元测试吗?
- 5. Redis队列,你真的须要吗
- 6. 你真的须要ETL工具吗?
- 7. 你真的须要认同吗
- 8. 你真的须要 Webpack DllPlugin 吗?
- 9. App你真的须要么
- 10. 活动目录迁移须要的步骤