Gartner客户端配置活动目录的现象日益增多,以下介绍的是有关这方面的内容;涉及到的主要有成功配置、一般性缺陷、适时、组织结构以及技术等方面的问题。
在Windows 2000系统下,已经有过开展活动目录的成功案例吗?
总的来说,答案是肯定的。Gartner已经和那些实现了活动目录的企业进行了交谈,这些企业的目的是为了适应单独区域内部用户的数量从数百个到175,000的浮动变化。Gartner也确保了一个用户使用活动目录做为一个extranet(轻量级目录存取协议(Lightweight Directory Access Protocol, LDAP))目录,以实现驱动3,500,000个用户。如果要对配置活动目录做一个全面的评价,那就是:发展前景长远、非常棒!
启用活动目录将存在怎样的一般性缺陷呢?
以下是Gartner发现企业最普遍遇到的顿挫:
疏忽对目录设计和开展带来的行政方面的问题进行估计。可以看到关于组织单元(OU)与区域边界、区域与forest boundaries以及对非Windows域名系统进行综合的解决方案的争论仍是热门话题。这些争论可能将导致延迟设计和实施开展的时间。
没能从以下几个方面全面分析活动目录复制的需求1)可利用的网络带宽量2)区域控制器的硬件配置(特别是网络集线器域名控制器)。如果活动目录不能可靠地完成复制过程,它将无法完全地发挥其功能。
过多地嵌套OU或组,导致极度复杂的组策略或在组策略处理过程中很低的性能。Gartner也已经与几个设计了非常复杂的组策略的企业进行了交流,他们表示必须要将低复杂度,因为这样将大大降低性能或一些不可预期的后果。我们建议企业配置时不要超过五级嵌套OU。
配置、展开
如果一个企业还没有开展活动目录,是否它应该等待配置活动目录的Windows Server 2003版本呢?
你应该基于你对时间和活动目录特性的需求对此做决定。
在时间问题上,Windows Server 2003 Active Directory将在2003年发布(概率是90%)。我们认为Active Directory适合于在Type B企业(技术的主流采纳者)中进行小型配置(用户数量可以达到5000)。但是,我们建议Type B企业在配置Windows Server 2003 Active Directory域名控制器并关联Windows 2000域名控制器之前再等60天。我们也建议Type B在进行中级配置(用户可达25,000)之前等待60天,以及在配置大型(用户超过25,000)Windows Server 2003 Active Directory环境之前等待90天。
最后,我们建议Type C企业(对技术采纳持保守态度的企业)在进行任何类型的配置之前等待6个月。对于多数企业,这意味着在2003年应该计划大范围配置Windows Server 2003 Active Directory。
在特性方面,Windows Server 2003包括bug fix以及对Active Directory进行了改进。企业应该对Windows Server 2003 Active Directory新增的特性评估后再决定是否有价值配置它们的Active Directory。如果没有实际价值,企业应该考虑配置Windows 2000 Active Directory,以后再升级到Windows Server 2003 Active Directory(比如说2004年)。值得注意的是,混合配置Windows 2000和Windows Server 2003 Active Directory 域名控制器的价值有限,企业应该计划实现一个版本的稳定。
了能满足计划可能不断变化的需求,我应该使用什么样的组织结构?
考虑到企业的行政结构和公共部门很大的变动性,对于这个问题没有普遍适用的规则。然而,Gartner已经发现了三个有效的方法,用来为Active Directory建立一个变动控制技术:
让directory team或directory architect管理变化请求。当directory team/architec是全球IS部门的一部分时,这个方法工作得最好。
对于多域环境,成立一个区域管理员的管理部门,这些管理员必须对任何变化没有异议。显然,仅当是有限数目域的情况下,这种方法才能很好工作。
创建一个部门,在这里集中了各个领域(如安全、网络、Windows系统管理以及桌面和用程序开发)的专业人士。在这种情况下,尽管这种想法是完美的,但是没有得到正式批准。
我需要第三方工具来有效管理Active Directory?
许多企业可以使用由微软提供的工具和资源来管理Active Directory环境。但是,在一些特别领域里第三方工具提供了另外的价值:
安全报告和审核
管理多域或multiple-forest实现
管理和配置组策略
监测Active Directory的状态是否处于正常
实现基于任务的管理模型(相对于Active Directory的层次模型)
提供相关工具的厂商有:Aelita Software、BindView、FullArmor、NetIQ、NetPro和Quest Software。
对于我自己的目录需要,是否可以按照Active Directory来标准化?
大多数情况下,答案是不可以。操作系统和应用程序通常是和特定的目录相关联。举个例子来说,NetWare要求是eDirectory,Oracle应用软件则要求的是Oracle Internet Directory,Lotus Notes需要Notes目录,等等。Gartner强烈推荐企业应该走目录整合路线。
我应该使用Active Directory来作为企业的目录协议函数库(LDAP)目录吗?
这个要依赖于将访问该目录的应用程序。在这里有两点需要考虑:
尽管Active Directory 是适应LDAP 3,但是存在大量LDAP规范的扩展。程序员在写程序时可能会选择那些不被Active Directory支持的规范。在当前市场中,这个问题不是只发生在Active Directory身上,企业必须测试应用程序与目标目录的兼容性。
甚至当一个应用程序使用Active Directory来工作的,厂商也可能不支持它。实际上,任何厂商仅仅支持有限数目的目录形式,他们的产品不可能兼容任何LDAP目录。Gartner认为,对于大多数企业来说,配置一个不被软件开发商支持的目录的风险是相当高的。
还要提的一点是,在Active Directory内全面的LDAP支持将不断改善。Windows Server 2003的发布就包括了一些新的LDAP特性,并且Gartner预测微软将在2003年发布一个称作Active Directory in Application Mode (AD/AM)的改进版,来单独支持LDAP。
底线
企业配置Active Directory的发展势头很好。一旦有新产品的发布,企业必须认真将其配置需求与Windows Server 2003 Active Directory和Active Directory in Application Mode进行匹配。企业也应该注意成功配置了Active Directory的案例(或其他的目录产品),并需要关注应用程序兼容性和企业的行政结构。