权限。所以,SA部署了AD。
3、为了集中化控制客户机
SA发现工作中总要花很多时间去客户机上做修改和控制,跑来跑去,工作量很大,非常不方便。于是部署AD,通过集中化的组策略,实现了从核心控制台上对不同部门客户机的不同策略管理。譬如限制用户对系统某些功能的访问和修改、统一定位内部WSUS服务器的补丁更新位置、批量分法软件、限制软件和网络的使用等等。
以上三种需求,占到了90%左右的国内中小型企业的实际情况。当然,另有10%会使用到AD的其他特性,譬如企业需要群集,于是必须部署AD。SA希望集中控管需要部署SMS,于是必须部署AD。
四、活动目录的问题
活动目录的问题就在于微软希望他能面面俱到,但实际上这是不可能的,最后导致了活动目录的臃肿、不可靠、性能低和管理复杂。按照之前我们总结的中国中小企业需求,可以说绝大部分活动目录的部署,可以形象比喻为“为了听收音机而购买了一台汽车,然后为了维持这台汽车不断的付出时间、精力和金钱”。企业的需求就是一台收音机,而活动目录就是这台汽车。
那么活动目录在作为一台收音机使用时,存在哪些问题呢?
1、对DNS的高度依赖
众所周知,AD是构建在DNS名称空间之上的,一个强健可靠的DNS实例是AD的基石,DNS让AD可以管理无限庞大和复杂的网络环境。大家知道,AD是只能部署在WINDOWS的DNS服务之上的,他融入了很多非标准DNS的定义和记录,而Windows的DNS是一个可靠性和负载能力低下的DNS服务器。看看Internet上,有几个ISP会使用Windows DNS?最后的结果,是windows DNS一旦出现问题,整个AD随即故障。例如DNS中的记录更新失败,多DNS区域复制失败,或者DNS需要迁移等等事件,都会导致AD面临极大的风险。这就是说,一栋庞大的大厦建立在了一个不牢固的地基上。
2、过于复杂的LDAP协议
AD的LDAP,虽然号称“轻量”,实际上纷繁复杂。微软希望将这个协议封闭起来,在整个AD的控管环境中用户不要直接与协议打交道。但是LDAP的复杂性,导致一旦出现问题,用户连一个基本的错误反馈界、调试接口和工具都没有。所以微软又不得不提供LDAP调试工具,放在光盘的额外安装目录中。即便如此,又有多少SA能精通这个怪胎协议的调试呢?
3、过于复杂的身份和权限机制
AD的集中化身份验证体系,无疑是AD最受欢迎的功能之一。但是为了让它能面面俱到,微软把它搞得过于复杂了。首先在计算机帐户和用户帐户被同等看待的前提下,OU和Group却又可以交叉容纳用户对象。实际上,AD中的Group太过复杂,为了实现森林的扩展,AD中的Group有基本的6种类型组合,有数十个内置组,更不用说组和组之间允许权限交联,允许交叉继承,允许权限并集和交集。再加上AD与NTFS的集成,文件夹权限和OU权限的并行,逻辑容器和物理容器的互不关联,活动目录的帐户与本地客户机帐户并存。这真的是我见过最复杂的一套机制了,虽然这样复杂的机制让AD足够灵活,但是事实上绝大部分的用户不需要这么复杂的机制,敢问有多少百分比的SA完全搞清了AD中这套机制?绝大部分的人也仅仅是从MCSE的简单教材中了解了初步的概念而已。
4、鸡肋般的组策略
组策略集中管理也是AD最受欢迎的功能之一,利用组策略,微软希望用户能集中控管庞大的客户机群,但是组策略的工作机制,决定了他在复杂多变的生产环境中注定成为一块鸡肋。首先、组策略90%的功能是通过修改客户机注册表来实现的,还有9 7 3 1 2 3 4 8 :
本文来源:不详 作者:佚名