随着近几年IT行业的迅速发展,5G、云计算、物联网、大数据、人工智能、区块链等成为大家热议的话题,WindowsAD作为一个拥有20年历史的技术,已经慢慢淡出大家的讨论范围,是AD过时了吗?不是,AD的作用依然固若金汤,之所以现在提的少了,一是跟IT行业的发展有很大关系,毕竟大家都喜欢去研究新技术;二是因为懂AD技术的人确实也越来越少了。
今天之所以想写一个AD系列文章,原因有三个:
1. 个人研究AD技术多年,希望把自己对AD的理解分享给大家
2. 为准备使用AD技术的企业,分享一点经验心得
3. 为没有使用AD技术的企业,推荐一个好的解决方案
每一个企业都需要AD吗?不一定,一个企业需不需要AD是由它的信息化架构决定的,IT架构决定了一个企业的信息化能力。作为企业的管理者来说,首先要规划架构,架构清晰了,就等于把待解决的问题定下来,而AD是解决这些问题的其中一个解决方案,至于需不需要用它,我们先要对它有一个全面的了解。反过来讲,如果我们对AD有了全面的了解,也可以对我们规划架构起到很大的帮助作用。
有很多失败的案例告诉我们,企业在做一个AD项目的时候,自己还没有搞清楚AD的功能,就草草立项,结果事与愿违,最后以失败告终。如果一个AD项目失败了,根本原因不是在技术上,而是在管理上,在于对AD功能的认识程度上不够全面。
今天就来给大家深入剖析一下我理解的AD,如果有理解有误的地方,欢迎大家批评指正。
使用过AD的企业,他们对AD有这样的评价:AD是IT系统架构的基础设施,是IT基础架构中的核心组件。这是一种对AD功能整体概括性的评价,那怎么理解AD这个基础设施发挥了什么作用,它是钢筋水泥混凝土?还是强电弱电暖气片?能不能给它找一个帮助我们理解的参照物?当然可以,要想找参照物,让我们先来看一下AD的主要功能。
AD的主要功能是管理用户和计算机,但这个功能所带来的价值收益要分成两部分来看,一部分是管理收益,另一部分是技术收益,个人感觉这两部分收益的占比是7:3,在您阅读完全文之后您可能也会相同的答案。
有很多朋友对AD的了解只停留在技术领域这一部分,而忽视了它最重要的管理作用,片面认为AD的作用就是创建一个域环境,把计算机加入域,通过下发组策略达到某种桌面管理的需求。当然,AD的管理作用之所以被忽视,是因为它的价值收益不能马上被看到,因为它是Paas服务,而不是Saas服务,它并不能像应用系统那样可以迅速提升企业某个方向的生产力。AD的管理价值收益,是需要把时间轴拉长才能看得到,可能是3年、5年或更长,这个时间取决于企业信息化的发展速度。当信息化发展过程中,整个架构对用户身份和计算机管理的依赖程度越来越高时,您会发现最初部署的AD起到了一劳永逸的作用。
首先,介绍AD的第一个功能:用户身份管理。
AD是一个集中管理用户身份和权限的平台,负责用户帐号的创建、修改、注销和验证。无论企业的规模大小,每个用户只使用一个身份ID是必需,也是安全的。如果企业各个应用系统的身份都由AD管理,那么身份管理将变得简单和安全。
接下来我们给AD的这个功能找个参照物。请问大家一个问题,在我们的社会生活中,我们每个人的身份是什么?这里大家不要理解错了,这个身份不是指您所在某个组织中的角色,而是指你是谁?who are you? 怎么证明你是谁。
警察叔叔常说的一句话:请出示您的身份证。对,身份证就是我们的身份证明。
而身份证的办理机构在哪里?---公安局。百度百科显示:公安局的其中一项工作职责是管理户口、居民身份证、国籍、出入境事务和外国人在中国境内居留、旅行的有关事务。
公安局就是我们社会生活中的一个集中管理人民群众身份的平台,在中国只有这一个平台。当我们从公安局申请到一张身份证,然后从事某些社会活动时,就可以提供自己的身份证明。比如坐火车、坐飞机、去医院看病、到银行开户、去酒店住宿等等,这些机构已经和公安局建立了相互信任的验证通道,我们在出示身份证后,对方验证证件的合法性,验证通过后我们就可以办理自己的业务。
在中国,您只需要拥有一张身份证就可以走遍天下。除非您要出国,那就需要办理第二张证件-护照。您看,这就是咱们社会生活中身份管理的模式。
如果企业IT架构中的身份管理也按照这种模式设计,价值收益是最大的。AD就是公安局,它就是一个Pass服务,以AD作为身份管理平台,其他任何需要身份验证的系统都和AD对接,由AD负责对身份进行验证。
应用系统的身份验证功能与AD对接, 只需要配置类似如下的设置:
在这个架构下,一个员工从入职、岗位调整到离职,其身份在AD中创建、调整和注销,管理维护简单;而员工只需要记住一套用户名和口令,使用方便。
通常情况下,我们会再找一个身份源和AD对接,一般企业常用的身份源是HR系统,这样由HR系统驱动用户身份创建、岗位调整和注销的整个生命周期管理,然后通过技术手段将这些数据自动同步到AD,AD对用户帐号的状态进行变更,这个维护流程就变得更加便捷、高效、合规和安全。
当然,围绕身份管理产生的附属功能也可以被应用系统所调用,比如用户的属性。
一个用户拥有很多属性,比如:公司、部门、职位、办公室、邮件地址、电话号码,位置、照片等,这些属性可以被应用系统调用,便于展现人员的基本信息。
比如,在邮件通讯簿中,可以通过属性信息查找到准确的联系人。
同时,AD在管理用户和计算机对象的过程中,它所维护的组织结构,也可以直接被应用系统调用,从而可以使企业的所有应用系统共享同一组织结构,让信息和流程变得简单。
随着企业应用系统的增加,身份管理的收益就会渐渐凸显,IT部门的维护成本没有任何增加,用户体验也非常简单,安全也可以得到保障,这就是架构的重要性。
看到这里,您可能会问,上面讲的这些太理想化了,现在企业的IT现状哪有那么简单,企业的现状是并存各种应用系统,每个应用系统都是独自管理身份,不是一个“公安局”的问题,而是每一个应用系统都有自己的“公安局”,面对这种情况应该如何解决身份管理的问题?
欲知后事如何,我们下一期再做分解
,