少部分是通过运行脚本来实现的,这样的工作机制导致了组策略的实时性很糟糕,抗干扰能力也很糟糕,很容易被客户机上的一些安全软件干扰,更糟糕的是策略部署后是完全无反馈的,管理员不知道一个策略是不是真的在每个计算机上生效了,一旦出现问题,只能用类似于GPRESULT一类的简陋工具,去客户机上实地分析。除此以外,组策略中的很多功能也有严重的设计缺陷。软件分发,,可能用来分发微软的某个小工具尚可,莫非你想用它真正去分发应用软件?笔者映像最深的一个客户,为了用组策略阻止客户运行QQ.exe,他设定了20条哈希规则,因为他找到了20个EXE版本不同的QQ,他们的哈希值都是不一样的,更不用说那些他还没找到的版本。
5、全封闭的数据库
在MCSE的官方资料中,经常会提到“活动目录数据库”,经常提到“SYSVOL”。SA们多少都知道他们是AD的数据中心,各种信息都存在里面。但是糟糕的是,这个数据库是专用的,你没有办法看到里面存储的东西,也没有办法像管理关系型数据库那样使用SQL语句去操作它。最后的结果就是,如果你想备份和还原AD,那根本就是噩梦。你想备份AD吗?对不起,微软是没有专用工具的,你只能用NTBACKUP去搞定。你想只备份AD数据库吗?想定期增量同步数据吗?对不起,NTBACKUP不支持,你只能把它和Windows的其他系统信息一起备份,不管这些东西是好的还是坏的。你想提高AD的可靠性吗?MY GOD 你必须要两台DC!
6、动则需要其他产品
AD作为一个微软IT管理解决方案的平台,始终只是一个平台,稍微专业一点的业务,就需要与其他微软产品集成。譬如,想对用户的网络访问进行管理,对网络数据进行筛选和审计,就必须要吧另一个大家伙ISA请出来。要想为客户机批量分发补丁,修复漏洞,又得请出另一个大家伙WSUS。如果想集中防范网络中的病毒、恶意软件、危险行为,更糟糕了,因为微软尚无可用产品,咱必须请出赛门铁克或者麦卡菲了。殊不知,企业中的服务器,就是这样被一台一台的占据的,这倒是便宜了靠卖IT设施吃饭的集成商。更糟糕的是,SA们不得不维护越来越多的系统,不断的读一本一本的专业书籍,在论坛上发一个又一个求助的帖子,然而这还仅仅是IT环境的基础运营而已,企业的生产系统还没计算在内。 五、找出更傻瓜和简单的解决方案AD是强大的、但是你真的需要他吗?
人的能动性是无限的,您也许已经在微软的技术世界里摸爬滚打多年,但是您考察过自己企业的真实需求吗?
您是不是“买汽车的那个人”?
文章到这里,您也许想问笔者,有什么样的代替方案?
事实上,微软的AD做到今天,能在功能上完全覆盖它和代替的解决方案几乎没有。但是如果我们缩小需求,考察中国绝大部分企业的实际需要,可能我们能找到一些更好的代替方案。
我们无外乎需要以下几个东西:
1、一个集中化身份验证的平台
代替AD中的身份和用户数据库
2、一个可分权管理的网络存储系统
代替共享和NTFS,DFS
3、一个能进行集中控管的软件
代替ISA,代替WSUS,SMS等微软产品
4、一个可编程的网络任务执行工具
代替组策略
这样一个产品,市场上已经有比较接近的现有系统可以购买,也可以自己开发,笔者也在努力开发中。
另外,如果您仅仅是想实现邮件服务,不妨放弃Exchange尝试其他邮件服务器?
9 7 3 1 2 3 4 8 :
本文来源:不详 作者:佚名