微軟 Active Directory（AD）可以說是最常見的本地目錄服務(wù)或身份源（IdP）。它開發(fā)于20世紀(jì)90年代后期，也經(jīng)歷了21世紀(jì)的身份管理現(xiàn)代化。但無論 IT 環(huán)境如何發(fā)展，管理員和企業(yè)對 AD 一直疑問重重，甚至產(chǎn)生了誤解。

本期文章為微軟 AD 問答系列的基礎(chǔ)篇，將盡可能用最簡單直觀的說明解答關(guān)于 AD 的各類問題，本期內(nèi)容主要包括微軟 AD 的基本概念、使用的協(xié)議、目標(biāo)客戶等。

1. 什么是 Active Directory？

AD 是一種目錄服務(wù)或身份提供程序（IdP），于1999年首次推出 AD，和 windows 2000 Server 版本一同發(fā)布。AD 主要是為了幫助管理員將用戶連接到基于 Windows 的 IT 資源，同時管理和保護(hù)基于 Windows 的業(yè)務(wù)系統(tǒng)和應(yīng)用。AD 負(fù)責(zé)存儲有關(guān)網(wǎng)絡(luò)對象（如用戶、組、系統(tǒng)、網(wǎng)絡(luò)、應(yīng)用、數(shù)字資產(chǎn)等）及其相互關(guān)系的信息。

管理員可以使用 AD 創(chuàng)建用戶并授權(quán)用戶訪問 Windows 終端、服務(wù)器和應(yīng)用等。另外，AD 還能用于控制系統(tǒng)組、強(qiáng)制執(zhí)行安全設(shè)置和軟件更新。 訪問和控制都是基于域的概念實(shí)現(xiàn)的。所謂域，其實(shí)就是一個包含和排除的概念，傳統(tǒng)上用于物理位置的區(qū)分。過去很多 IT 資源都托管在本地，成為域（內(nèi)網(wǎng)）的一部分。內(nèi)網(wǎng)用戶可以訪問所需的本地資源。而在內(nèi)網(wǎng)以外的用戶就需要 VPN ，假裝用戶處于內(nèi)網(wǎng)中，從而實(shí)現(xiàn)訪問。當(dāng) IT 資源和人員處于相同的物理環(huán)境時，這種訪問控制方法可以起到很好的效果。 相比之下，AD 所屬的身份和訪問管理（IAM）又進(jìn)一步拓展了應(yīng)用的范圍，通常還涉及單點(diǎn)登錄（SSO）或移動設(shè)備管理（MDM）等輔助解決方案。寧盾身份目錄即服務(wù) (DaaS） 就是可增強(qiáng)AD在復(fù)雜IT環(huán)境下的能力的云目錄方案。

2. Active Directory 使用哪種協(xié)議？

Active Directory 主要利用 DNS/DHCP 網(wǎng)絡(luò)協(xié)議和輕量級目錄訪問協(xié)議（LDAP），以及用于身份驗(yàn)證的微軟專有 Kerberos 版本。 很多人問為什么 AD 原生支持的協(xié)議這么少，沒有 SAML 和 RADIUS 這些常用協(xié)議。雖然不清楚微軟的想法，但多協(xié)議的確是身份和訪問管理的未來方向。而要讓 AD 支持 SAML、RADIUS 等協(xié)議，可以采用微軟附加方案或第三方解決方案，比如對接寧盾 DaaS 方案，可以擴(kuò)展單點(diǎn)登錄（SSO）、多因子認(rèn)證（MFA）、用戶自服務(wù)等多種能力。

3. 為什么 Active Directory 被稱為活動目錄？

目前對于AD 名稱的由來最貼切的一種解釋是 AD 會主動更新目錄存儲的信息。例如，當(dāng)管理員從組織中添加或刪除用戶時，Active Directory 會自動將用戶的更改情況復(fù)制到所有目錄服務(wù)器。這種更改會定期發(fā)生，以便同步最新信息。 在今天的 IT 系統(tǒng)中，AD 這種主動更新信息的行為已經(jīng)司空見慣了。但是，在目錄服務(wù)計算機(jī)化之前，目錄自動更新的概念還是具有一定創(chuàng)新意義的。畢竟在 AD 推出的時代，人們還用百科全書查東西。

4. 哪些企業(yè)在使用 Active Directory？

一般來說，企業(yè)部署了 AD 之后，員工在不知情的情況下每天都會用到 AD 的功能，包括工作機(jī)的登錄、應(yīng)用程序的訪問、打印機(jī)和文件的共享等。 但 AD 的主要用戶其實(shí)是管理員，他們需要實(shí)際操作、管理和配置 AD。具體來說可能包括 IT 部門、IT 安全部門、開發(fā)運(yùn)維以及 IT 工程團(tuán)隊(duì)。

全球大部分企業(yè)和組織幾乎都會使用包括 AD 在內(nèi)的目錄服務(wù)，除了提高生產(chǎn)力之外，還能控制對企業(yè) IT 資源的訪問。訪問控制是現(xiàn)代企業(yè)運(yùn)營的一大重心。

5. 為什么 Active Directory 很重要？

早在21世紀(jì)初，Active Directory 已經(jīng)是推動商業(yè)世界運(yùn)轉(zhuǎn)的其中一個齒輪。大大小小的企業(yè)幾乎都部署了 AD。這樣一個基礎(chǔ)工具默默無聞地在后臺運(yùn)行，以至于每天使用 AD 的用戶甚至都沒有意識到它的存在，更不知道它是安全訪問終端、應(yīng)用、網(wǎng)絡(luò)和文件的大功臣。簡而言之，目錄服務(wù)的主要職責(zé)就是將用戶連接到相應(yīng)的 IT 資源，而 AD 為用戶連接到 Windows 資源已經(jīng)服務(wù)了近20年。