在上期《微软 AD 功能解惑》中,主要说明了微软 Active Directory (AD) 在功能使用上的问题,以及 AD 的局限性等。本期为微软 AD 系列文章的最后一期,列举了企业在部署阶段需要考虑的问题。
1. Active Directory 是免费的吗?
这是一个普遍的误解。虽然 AD 实际上包含在 Windows Server 中,但域控制器需要另外收费,也就是 Windows Server 的许可费。微软通过客户端访问许可证(CAL)制度每月向部署 AD 的企业收取相关费用。
不过,CAL 还只是表面成本,AD 的其他部署成本还包括相关基础架构、Windows Server 软件、Mac 和 Linux 绑定软件、身份联合、运维、管理和安全保障费用。具体成本因企业而异,但可以肯定的是 AD 部署绝不是完全免费的。
2. 如何计算 Active Directory 的成本?
估算 AD 成本有一个非常简单的公式:
AD 成本 = 服务器费用 + 软件费用 + 托管费用
+备份费用 +安全费用 + 监控费用
+VPN 费用+ IT 管理员费用
+第三方软件费用
+多因子身份认证费用 +治理费用
实际的成本计算根据企业的部署场景决定。
3. 哪种规模的企业需要 Active Directory?
一般来说,大型企业会更倾向于使用 AD。除了企业之外,高校和政府组织也都需要目录服务,以便有效保障对 IT 资源的访问安全。
虽然小型企业没有 AD 也能运行,有些会使用 Microsoft 365 或单点登录(SSO)解决方案作为用户目录,但很多小型企业出于安全和效率的考量还是会选择部署 AD。通常,当一个企业发展到大约 20 个团队成员规模时,就需要开始考虑使用目录服务了。
而随着企业不断扩张,运营 AD 的成本会越来越高,流程也会更复杂。因此,很多企业一直在寻找其他方案来解决这个问题,希望最终能从 AD 迁移。
4. Active Directory 有哪些优势和问题?
AD 的优势主要可以总结为以下几点:
- 优化 Windows 资源管理
- 提升用户和管理员办公效率
- 增强 Windows 系统、网络、数据安全
- 提供全面可靠的审计合规报告
另一方面,AD 具有以下缺点:
- Mac 和 Linux 系统上运行功能不完整
- 配置管理难
- 需要本地硬件
- 前期部署成本高
- 与云应用程序和基础设施对接有限
5. 什么时候需要 Active Directory?
AD 的大多数功能可以在没部署 AD 的单一系统上实现。比如为终端设置新用户或进行某种安全设置都可以在操作系统中手动完成。而一旦企业达到一定规模,不能靠手动管理系统和 IT 资源的时候就需要 AD。AD 能够大规模地跨用户和 Windows 系统执行组管理任务,也因此成为大型企业的“必备”方案。
需要 AD 的另一个常见原因是企业的审计和合规要求。那些原本可能不需要 AD 的企业为了满足HIPAA、PCI 和 GDPR 等监管法规不得不部署 AD。
如今,越来越多的企业开始云迁移,从本地应用到 Web 应用或 SaaS 应用、从本地基础架构到云基础架构,企业对 AD 的需求正在减弱,但是对身份和访问管理(IAM)解决方案的需求却达到了新的高度。
6. 企业需要 AD 才能通过审计吗?
这实际上还是取决于企业自身的合规性需求,是否需要满足 PCI 或 ISO 等审计要求。但简单来说,企业始终都不需要 AD 来通过审计。一般来说,目录服务都可以保护身份安全,限制对关键资源和数据的访问,简化审计、日志记录和报告流程,因此有助于实现合规。而 AD 只是目录解决方案的其中一种。
7. 什么时候不应该使用 Active Directory?
AD 最适合基于 Windows 系统的本地 IT 环境。如果企业的 IT 环境不是这种模型,就应该考虑寻找 AD 的替代方案。举例来说,企业部署 AD 之后,要利用 Mac 和 Linux 系统、基于 Web 的应用、云服务器、无线网络或非 Windows 文件服务器,都需要附加工具才能将这些资源和 AD 集成,长期来看会增加成本,降低生产力。
现在,越来越多企业转向云服务,云目录平台作为 AD 的替代方案也受到越来越多关注,它不仅更灵活,还能为企业节省大量成本,例如采购、交付、运维成本。
8. Active Directory 有什么替代方案?
微软 AD 的确有不少替代方案。至于选择哪一种就取决于企业的要求。一些企业认为手动管理就能替代 AD,可问题是手动管理根本无法扩展。
AD 的传统竞争对手是 OpenLDAP,一种开源的目录服务。但是 OpenLDAP 并不能完全覆盖 AD 的所有功能,而且对配置和维护的整体技术要求很高。具体来说,OpenLDAP 不具备 AD 的组策略对象,无法管理系统。
近来,单点登录门户、Google Workspace 等网页方案也开始支持部分 IAM 功能。只是在目录服务功能方面,这些基于网页的替代方案总是不尽人意,用这类方案替代 AD 可能有点牵强。当然如果不介意网页类方案功能有限,还是可以用来替代 AD。
除了刚刚提到的网页类方案,企业还可以考虑移动设备管理(MDM)方案。MDM 也提供了部分与 AD 类似的功能,可以管理系统,但在用户管理方面存在困难,所以不能作为真正的目录服务。
最后一种替代方案就是云目录服务,基于标准 LDAP 协议,实现云上云下身份一致性管理;支持 Windows、Mac 和 Linux 等多系统,统一用户管理和身份验证,无需本地部署。
(本文来源于宁盾,仅供学习和参考,未经授权禁止转载和复制。如欲了解微软AD更多内容,可前往宁盾官网博客解锁更多干货)