淺析部署微軟 AD 的 4 個隐性成本

不可否認，微軟的 Active Directory （AD）仍是目前首屈一指的目錄服務。AD 憑借15年以上的發展曆史幫助微軟在目錄服務市場獨領風騷。然而，随着雲計算技術的出現，全球的企業和 IT 管理者都在重新考慮将要部署的身份和通路管理（IAM）政策，而部署計劃的核心考量就包括運作微軟 AD 的成本。

過去，微軟 AD 的廣泛應用主要得益于微軟系統主導的 IT 環境。桌上型電腦、筆記本、伺服器和應用都離不開 Windows系統。正因如此，企業将 AD 作為目錄存儲和通路控制管理平台也是理所當然的。然而，自從另一個網際網路巨頭谷歌在企業郵箱服務 Gmail 中引入第一方應用 G Suite，微軟的一大支柱——Exchange 郵箱服務逐漸受到打擊。結果，很多企業都開始把郵箱服務遷移到雲端。緊接着，亞馬遜網絡服務（AWS）推出了基礎設施即服務（IaaS），推動了資料中心上雲。越發激烈的 Web 應用競争開始影響微軟在 IT 環境中的優勢地位。據福布斯統計，現在所有裝置中僅五分之一運作 Windows 系統。

IT 市場的這些根本性轉變也驅使管理者重新評估目錄服務或核心身份提供程式的計劃，畢竟目錄是将使用者連接配接到所需 IT 資源的關鍵。而随着越來越多資源超出 AD 的管理範圍，企業會詢問 AD 的現有價值是什麼？在現代 IT 環境中運作 AD 又有哪些成本和收益？對于考慮更替換 AD 的企業，可以首先評估運作 AD 的隐性成本。本文主要列舉了4點供企業參考。

1. 管理時間

AD 的管理和操作是出了名的複雜。即使是小型企業也會雇用管理者來專門管理維護 AD。企業也是以忽略了維護 AD 的更新檔和更新、配置 AD 以及運維的時間成本。AD 是一個功能多樣化的龐大軟體，很多管理者和 AD 打了一輩子交道，也還是會遇到不少問題。

2. 附加解決方案

由于 AD 隻适用于 Windows 和本地 IT 資源，企業不得不購買額外的解決方案來管理其他 IT 資源。這些附加解決方案包括目錄擴充工具、單點登入（SSO）工具、多因素認證（MFA）工具。目錄擴充工具專注于管理基于 Linux 和 Mac 作業系統的裝置和硬體，SSO 工具負責将新一代基于 SaaS 的 Web 應用和 AD 內建。注重安全的企業還會添加 MFA 工具，增強登入安全。除此之外，有些企業還會添加報告和分析工具甚至還有合規工具。這些附加解決方案都增加了運作 AD 的成本。

3. 終端使用者自助管理

在運作 AD 時，管理者扮演了終端使用者和 IT 資源之間的中間人，這也是一項不小的成本。從最初的使用者預配到故障發生時的密碼重置，管理者需要負責太多流程，往往難以確定使用者的正常運作。實施終端使用者的自助服務是個不錯的方法，但可惜的是 AD 缺乏支援自助服務的關鍵功能，結果就是使用者管理的負擔和成本都落在了管理者身上。

4. 基礎運維

企業必須保證身份驗證服務全天都處于正常運作狀态。任何停機時間都意味着使用者無法通路 IT 資源，最終影響業務推進。目錄服務也可以看作是 IT 基礎設施的核心部分。是以，管理者為了確定目錄服務的正常運作，不得不及進行備份以確定備援，而代價就是龐大的時間成本。

未來的企業目錄服務是怎樣的？

企業運作微軟 AD 曆來都是一種謹慎的做法。在以 Windows 為基礎的 IT 環境中，AD 的确是不二選擇。隻是在企業的 IT 基礎架構出現了多平台、多協定和多位置的趨勢之後，AD 是否還是适合企業的長期解決方案？對于企業和管理者來說，考慮這一問題的關鍵因素是成本。上述的四個隐性成本也隻是提供了一個視角，是否繼續采用 AD 依然需要綜合考量。

對于已經部署了微軟 AD 和還未建立過身份目錄的企業來說，好的目錄服務平台應該既能相容微軟 AD，讓 AD 無法對接、納管的 IT 資源通過甯盾身份目錄服務對接和納管，延展 AD 在現代環境中的能力，讓 AD 更好用。

另外，目錄服務還要能充當企業的本地身份目錄，打通企業微信、飛書、釘釘等外部賬号源，随着企業的發展壯大而不斷納管更多資源，支撐業務發展。對于信創體系下的行業如黨政、金融、電力、能源、醫療等，國産身份目錄服務替換也将是必然趨勢，滿足信創身份管理的需求也将成為一大優勢。