在上期《微軟 AD 功能解惑》中,主要說明了微軟 Active Directory (AD) 在功能使用上的問題,以及 AD 的局限性等。本期為微軟 AD 系列文章的最後一期,列舉了企業在部署階段需要考慮的問題。
1. Active Directory 是免費的嗎?
這是一個普遍的誤解。雖然 AD 實際上包含在 Windows Server 中,但域控制器需要另外收費,也就是 Windows Server 的許可費。微軟通過用戶端通路許可證(CAL)制度每月向部署 AD 的企業收取相關費用。
不過,CAL 還隻是表面成本,AD 的其他部署成本還包括相關基礎架構、Windows Server 軟體、Mac 和 Linux 綁定軟體、身份聯合、運維、管理和安全保障費用。具體成本因企業而異,但可以肯定的是 AD 部署絕不是完全免費的。
2. 如何計算 Active Directory 的成本?
估算 AD 成本有一個非常簡單的公式:
AD 成本 = 伺服器費用 + 軟體費用 + 托管費用
+備份費用 +安全費用 + 監控費用
+VPN 費用+ IT 管理者費用
+第三方軟體費用
+多因子身份認證費用 +治理費用
實際的成本計算根據企業的部署場景決定。
3. 哪種規模的企業需要 Active Directory?
一般來說,大型企業會更傾向于使用 AD。除了企業之外,高校和政府組織也都需要目錄服務,以便有效保障對 IT 資源的通路安全。
雖然小型企業沒有 AD 也能運作,有些會使用 Microsoft 365 或單點登入(SSO)解決方案作為使用者目錄,但很多小型企業出于安全和效率的考量還是會選擇部署 AD。通常,當一個企業發展到大約 20 個團隊成員規模時,就需要開始考慮使用目錄服務了。
而随着企業不斷擴張,營運 AD 的成本會越來越高,流程也會更複雜。是以,很多企業一直在尋找其他方案來解決這個問題,希望最終能從 AD 遷移。
4. Active Directory 有哪些優勢和問題?
AD 的優勢主要可以總結為以下幾點:
- 優化 Windows 資源管理
- 提升使用者和管理者辦公效率
- 增強 Windows 系統、網絡、資料安全
- 提供全面可靠的審計合規報告
另一方面,AD 具有以下缺點:
- Mac 和 Linux 系統上運作功能不完整
- 配置管理難
- 需要本地硬體
- 前期部署成本高
- 與雲應用程式和基礎設施對接有限
5. 什麼時候需要 Active Directory?
AD 的大多數功能可以在沒部署 AD 的單一系統上實作。比如為終端設定新使用者或進行某種安全設定都可以在作業系統中手動完成。而一旦企業達到一定規模,不能靠手動管理系統和 IT 資源的時候就需要 AD。AD 能夠大規模地跨使用者和 Windows 系統執行組管理任務,也是以成為大型企業的“必備”方案。
需要 AD 的另一個常見原因是企業的審計和合規要求。那些原本可能不需要 AD 的企業為了滿足HIPAA、PCI 和 GDPR 等監管法規不得不部署 AD。
如今,越來越多的企業開始雲遷移,從本地應用到 Web 應用或 SaaS 應用、從本地基礎架構到雲基礎架構,企業對 AD 的需求正在減弱,但是對身份和通路管理(IAM)解決方案的需求卻達到了新的高度。
6. 企業需要 AD 才能通過審計嗎?
這實際上還是取決于企業自身的合規性需求,是否需要滿足 PCI 或 ISO 等審計要求。但簡單來說,企業始終都不需要 AD 來通過審計。一般來說,目錄服務都可以保護身份安全,限制對關鍵資源和資料的通路,簡化審計、日志記錄和報告流程,是以有助于實作合規。而 AD 隻是目錄解決方案的其中一種。
7. 什麼時候不應該使用 Active Directory?
AD 最适合基于 Windows 系統的本地 IT 環境。如果企業的 IT 環境不是這種模型,就應該考慮尋找 AD 的替代方案。舉例來說,企業部署 AD 之後,要利用 Mac 和 Linux 系統、基于 Web 的應用、雲伺服器、無線網絡或非 Windows 檔案伺服器,都需要附加工具才能将這些資源和 AD 內建,長期來看會增加成本,降低生産力。
現在,越來越多企業轉向雲服務,雲目錄平台作為 AD 的替代方案也受到越來越多關注,它不僅更靈活,還能為企業節省大量成本,例如采購、傳遞、運維成本。
8. Active Directory 有什麼替代方案?
微軟 AD 的确有不少替代方案。至于選擇哪一種就取決于企業的要求。一些企業認為手動管理就能替代 AD,可問題是手動管理根本無法擴充。
AD 的傳統競争對手是 OpenLDAP,一種開源的目錄服務。但是 OpenLDAP 并不能完全覆寫 AD 的所有功能,而且對配置和維護的整體技術要求很高。具體來說,OpenLDAP 不具備 AD 的組政策對象,無法管理系統。
近來,單點登入門戶、Google Workspace 等網頁方案也開始支援部分 IAM 功能。隻是在目錄服務功能方面,這些基于網頁的替代方案總是不盡人意,用這類方案替代 AD 可能有點牽強。當然如果不介意網頁類方案功能有限,還是可以用來替代 AD。
除了剛剛提到的網頁類方案,企業還可以考慮移動裝置管理(MDM)方案。MDM 也提供了部分與 AD 類似的功能,可以管理系統,但在使用者管理方面存在困難,是以不能作為真正的目錄服務。
最後一種替代方案就是雲目錄服務,基于标準 LDAP 協定,實作雲上雲下身份一緻性管理;支援 Windows、Mac 和 Linux 等多系統,統一使用者管理和身份驗證,無需本地部署。
![linux-svn解除安裝與安裝[圖]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)