随着中国企业信息化建设进程不断深化，越来越多的企业在IT基本架构上呈现了分散化的问题。由于我国的信息化建设起步较晚，加上普遍IT建设资金的不足，先期的IT 投入着重在纵向(即基于业务部门的应用)建设，而忽略横向的基础架构的整体规划。而随着企业越来越多的应用系统建设上线，企业逐渐发现内部IT技术重复投资日益严重。几乎每一套应用系统都会有自己独立开发的用户身份管理和验证系统，这些公用功能又不能在系统之间得到共享，导致了整体IT管理分散化，工作效率降低。可以说，某种程度上中国企业IT系统普遍存在重“纵”轻“横”，这已经成为制约企业信息化发展甚至企业生存的一个重要问题。

　　方案背景：

　　面对我国企业在IT建设方面普遍存在的重“纵”轻“横”现象，我们的企业在实际工作当中会遇到很多亟待解决的问题：

　　首先，是IT管理分散化的问题。

　　由于技术、业务、资金等多种原因，公司和子公司往往各自先独立发展自己的信息系统。这必然导致IT管理上的分散，缺乏统一建设信息系统的规划，同时也为日后的信息整合增加了复杂度和难度。以微软曾经服务过的企业宝钢国际为例，他们有多套基于数据库的Web应用。最早各个系统之间没有实现将客户端，网络操作系统和用户信息等统一管理的目录服务架构;大约1000个客户端为Windows XP/2000，Win9x处于工作组模式，需要分散进行维护。而这种分散管理状态，对于信息管理部门和最终用户都会造成诸多不便。

　　对管理部门，每增加一套系统，需要增加一套用户管理和验证，这种重复投资现象极大的增加了应用管理负担;另一方面，各种桌面终端机器处于工作组模式，这种松散的管理不只增加了日常IT运维费用，还成为了整个网络安全中最为脆弱的一环，降低了整个网络系统的安全性。

　　对最终用户，没有统一的目录服务，寻找任何网络资源都成为问题，即便是对于最基础的网络打印机，文件服务器等，在没有目录系统管理的情况下也要花费时间，无法方便实现。同时，多种系统意味着要多套帐户、多套密码来登陆多个应用，用户管理密码就成为一个很大的负担。再加上没有统一的系统管理，桌面终端的安全还要用户自行维护，这也为最终用户带来了不便。

　　其次，资源无法有效共享的问题。

　　由于管理分散，企业内部没有统一的IT管理标准和技术规范，公司各部门分别采购建设自身的IT系统，相互之间采用的技术也各不相同，这就必然导致各部门之间的IT系统兼容问题。最直接的后果就是信息不能通过网络传递，信息资源不能有效共享。有时一个简单的文件交换都要通过人工方式传递，公司内部形成了一个个信息孤岛，这对企业的管理极为不便。

　　实际上，我们细致分析企业面对的上述种种问题，其实就是需要一套有效的解决方案，将企业原本互不相连甚至是互不兼容的信息孤岛统一在一个系统内，将客户端，网络操作系统和用户信息等统一管理。而从目前看，要解决这个问题，微软企业咨询服务部提供的企业活动目录架构解决方案就是一个很好的选择。

　　方案简介：

　　所谓的企业活动目录架构其实就是一个企业目录管理服务平台。他可以将企业不同系统之间的资源以目录集成的方式进行统一管理，集成电子商务运营，包括数据、应用程序、业务流程以及门户等各个方面。让所有的系统在共享功能方面由一个独立的目录系统进行统一管理，形成一个强壮灵活的现代企业IT架构。

　　企业活动目录架构目前已经是公认的企业信息基础架构建设的重要一环。建设集中化的企业目录基础架构不仅可以维护统一的用户管理和认证，提升信息化管理水平;降低企业桌面系统的管理维护成本;面对未来业务应用的发展，更具有高度的可扩展性和灵活性，能够大大降低新系统的开发成本和建设部署周期。

　　微软企业咨询服务部的企业活动目录架构一般以Windows 2003企业目录架构和平台，来进行目录管理服务。系统整体的架构包括了：

　　u 集中部署的AD域控制器提供企业目录服务。

　　u SMS 或者SUS服务器作为安全补丁解决方案。

　　一般而言，在实施整个系统建设中，微软企业咨询服务部往往会根据客户的实际情况给与细致而深入的咨询服务，同时在技术端也会根据自身丰富的经验为客户提供相应的解决方案。

　　首先，由于每个企业的具体情况不尽相同，一个方案不可能满足每个客户要求。因此在具体实施方案前，微软企业咨询服务部会针对客户现在面临的问题以及企业信息化建设的现状，整合现有应用，结合上述方案给与个性化的咨询和指导。

　　其次，在实施过程中，微软企业咨询服务也会随时根据实施效果，结合具体情况进行部署。对每个细节都深入细致的给与相应建议。比如针对目前企业大多重“纵”轻“横”的现状，微软企业咨询服务部门的专业咨询顾问会建议企业的活动目录系统结构建议设计为单森林/单域结构，集中管理帐户和系统目录资源，这样可以减低系统的复杂度，简化管理。而对整个DNS 架构的设计，则大多保持企业现有DNS体系架构不变，新的Windows2003 活动目录集成的DNS服务器提供给“加入域的客户端”，以这样针对性的建议不仅部署迅速，而且还节约客户建设成本。另外，对于系统安全补丁的管理，采用SMS(Microsoft System Management Server) 或者SUS(Microsoft Software Update Service)的设计，用来更新基于windows操作系统的计算机终端的系统补丁程序。也是一种个性化的解决方案。

　　第三，微软企业咨询服务的企业目录解决方案最为重要的一点是在未来的规划发展上做了很多发挥。比如将平台设计成开放形式。各种接口和服务采用标准IT架构，使得在其基础架构上，进行应用的开发、与其它应用和服务进行整合成为可能，从而不断扩展其功能。

　　方案成效：

　　微软企业咨询服务的活动目录技术，提供统一用户身份管理和认证，统一网络资源实体的管理，同时也为后续的各种应用的统一认证和授权管理奠定了坚实的基础。其应用成效主要表现在以下几点：

　　1、实现人的身份管理 ―― 通过集中的企业目录系统 ，统一用户管理和提供统一认证服务。

　　用户可以通过多种方式在目录结构中查询自己所需要的网络资源。尤其是对个人而言，用户可以实现单点登陆，用户每次只需要登陆到域中，当访问后台应用时，就不再需要重复输入用户名和密码。这样一方面可减轻用户记住多套用户名和密码的负担，同时也可避免每次访问应用时都要再重复输入一遍用户名和密码。寻找打印机也更加方便。用户甚至不必记住打印机服务器的名字，利用“寻找打印机”就可以迅速找到离自己位置最近的打印机，极大的方便工作。

　　其次，每次不再需要重复输入用户名和密码即可进入系统;寻找文件更加方便，用户不必记住文件服务器的IP地址，只需要记住服务器名称即可，利用分布式文件系统，统一到一个地方去存取文件，而不用担心文件物理放在哪台文件服务器上;设立文件共享不再需要特别设定共享密码。缺省只有域用户才可以访问，文件共享者也可以通过设定特定的域用户组和特定用户，只允许他们才可以访问改文件。当用户去访问文件服务器，不再需要输入用户名和密码。Windows 会利用域帐户自动去验证。

　　另外，关于远程操作系统的安装、委托管理、远程桌面协助等各种功能也能在统一的管理下轻松实现。同时，活动目录充当管理用户身份和网络资源控制访问验证的统一认证机构，支持业界标准协议Kerberos认证协议，并可集成证书服务, CA和 智能卡(Smart Card)认证。用户的访问便可以根据企业的统一认证服务被准许或拒绝。同时，从用户使用来看，一套用户认证系统建立了Single-Sign On SSO(单点登录)的基础，增加用户的便利性和安全性。

　　2、设备的管理――加强终端管理，降低运维费用

　　建立企业目录管理系统，通过活动目录组策略推送的方式，将终端使用策略主动的推送到各个终端。只要用户登录进入域，域管理服务器就会自动推送该用户所需要的终端设置。这样就可以实现约束业务人员终端使用，加强企业终端管理、维护手段的主动性，降低终端人为导致软件故障的发生率，从而降低运维费用。

　　而且在这种统一管理下，用户还能实现多种远程管理。比如用户可以不必在Windows 客户机上安装打印机驱动程序就能够使用打印机，可以很容易地进行网络打印以及管理打印机服务器了。再比如委托管理，各事业部可自行管理，包括创建本部门用户，计算机，打印机，文件服务器等。组策略设置可以让管理员以逻辑单元(例如部门或办公地点)的形式组织用户和对象，然后给这些逻辑单元分配相同的设置，包括安全、外观和管理选项，这个过程可以简化相应的管理任务。另外，在活动目录的支持下，当用户需要重新安装操作系统，可以利用“远程OS安装”的特性在不到半小时里自行安装一个新的操作系，而且对于使用Windows XP Professional的机器而言，当软件出现问题时，可以不必等待IT维护人员亲自跑到机器面前维护，用户可以发出远程邀请桌面协助，这样用户和IT人员可以立即共享Windows桌面诊断问题，加快问题的响应速度，提高用户的满意度。

　　3、提升系统安全管理水平

　　作为安全管理中心，活动目录服务利用安全组策略技术进行服务器和桌面机器的安全控制。通过有效的企业级或者部门级安全策略设定，在企业内部桌面系统加强安全约束，提供整体安全性，从而提升系统安全管理水平。

　　4、后续增值效益

　　活动目录技术作为企业目录建设的基石，其本身的作用主要有三

　　第一，它可以成为一个管理中心。通过对网络中的元素，如用户账户、计算机账户等信息进行收集、保存，作为其管理的对象。通过其本身提供的组策略等技术作为管理的手段，从而实现管理中心的功能;

　　第二，它可以成为一个安全中心。通过域环境的搭建，使其成为域中资源的安全边界。同时，可以扮演身份认证和授权中心的角色;

　　第三，它是一个开放的平台。通过对目录服务标准的支持，使得在其基础架构上，进行应用的开发、与其它应用和服务进行整合成为可能，从而不断扩展其功能。

　　可以看出，企业未来IT系统的发展和未来企业管理也将立足于上述三个基本方向，不断完善和扩展。从目前微软服务的一些企业来看，他们已经完成了企业信息基础架构从纵向建设到横向飞跃，其后，只要围绕上述三个基本方向进行，不断深挖已有产品的功能，丰富目录管理的现有功能，以活动目录平台为基础进行开发，加强活动目录平台与其它应用的整合能力，一定能够实现不断完善企业内部Intranet建设的长期目标，使企业整体信息化建设更上层楼!