Active Directory在信息化管理中的應用與研究

陸吉倉 楊蒙 楊耀景

【摘 要】信息化建設中的網絡管理問題、孤島效應問題已經嚴重制約信息化工作的進一步發展。如何尋求一種先進、適合的手段來替代傳統的信息化管理方式，加強信息化公共基礎設施建設，有效破解孤島效應，為企業發展戰略提供實用高效、安全可靠的信息化管理保障措施，成為信息化工作者的使命。為此，我們探索研究了Active Directory在企業信息化管理方面的應用。本文簡述了Active Directory在企業信息化管理中的一些應用，從多個角度出發，闡述Active Directory給企業信息化管理帶來的革新與變化。

【關鍵詞】Active Directory；活動目錄；信息化管理；應用

【中圖分類號】C931.6【文獻標識碼】A【文章編號】1672-5158（2013）07-0113-02

1、概述

在信息時代，隨著企業的不斷發展，對信息化的需求和依賴程度越來越高，企業信息化發揮企業發展戰略的支撐作用越來明顯。曲靖煙草近年的信息化建設工作成績矚目，建成了到煙葉站（點）全覆蓋的地面專網，建設和推廣應用涵蓋企業生產經營、管理等方方面面的應用系統二十余個，生產經營和管理業務信息化程度越來越高。但信息化建設中，建設推廣的應用系統越來越多，卻難以有效地資源共享和集成整合，孤島效應嚴重；系統建設偏向業務流程，對管理決策的支撐能力不足，制約著信息化建設水平的進一步提高，距離市局（公司）提出的“智能曲煙”目標，尚有很長的路要走。

而導致這一現狀的深層次原因是，在應用層面上缺乏有效的信息化軟件公共基礎設施和管理手段，由于軟件公共基礎設施的缺失，很多本應由軟件公共基礎設施承擔的功能（如統一驗證用戶，統一管理資源共享）不得不由各自獨立的應用系統開發商來實施。這使得應用系統從設計到實現就始終缺少通用的資源共享的機制。用戶需要記住繁多的賬號密碼，以便登錄各種不同的系統，各個系統產生的數據信息整合困難，難以支撐決策以發揮更大的效益，系統運行和維護所投入的人力成本和時間成本高昂，令系統管理員疲于應付。

為此，需要尋找一種方案，解決信息化公共基礎設施建設和管理規范的缺失。經過不斷地學習、探索、實踐和試驗，我們把目光瞄準了微軟Active Directory（以下簡稱AD）。從2012年初，試驗性AD搭建成功，經過幾個月的探索試驗，積累了豐富的應用經驗，2013年初，市局（公司）信息中心決定在全市公司系統范圍內部署AD，公共基礎設施建設已基本成型。

2、什么是Active Directory

Active Directory（以下簡稱AD）是微軟推出的，在Windows Server家族操作系統中的一項重要功能。AD是管理分散在網絡上的計算機設備、用戶、應用系統等信息化資源的基礎設施，它將分散的信息化資源、節點組合成一個可管可控的“大型分布式系統”，在資源訪問、網絡安全、認證識別等方面提供統一的基礎結構。使信息化資產（軟硬件）和信息化參與者（人，用戶）實現統一、標準化管理，這個基礎結構使信息化資產、資源之間的相互協調、共享、集成提供了可能。

2.1 Active Directory結構

AD在邏輯上使用“域”作為其管理的邊界。“qjyc.cn”就是一個域，曲靖市煙草專賣局（公司）系統所有員工賬戶、計算機都歸入qjyc.cn域管理。

分布在網絡上能夠相互訪問的“域控制器”是整個AD域的核心，依靠DNS基礎設施運行。域控制器負責管理用戶名、計算機名等資源記錄，接受用戶、計算機的身份驗證請求，為計算機或用戶提供網絡上其他資源的定位。

在AD域中，用戶、計算機、系統、服務等資源不再是單個獨立的終結點，他們接受域的集中統一管理。這就為企業統一的身份驗證、集中應用企業管理政策提供了有效的手段。

2.2 為什么要使用AD

在沒有使用AD管理之前，企業信息化管理遇到很多難以破解的問題：

2.2.1 由于缺乏統一的身份認證基礎，應用系統不得不自己去驗證識別用戶，隨著應用系統越來越多，用戶不得不記憶各種不同應用系統的登錄名和密碼。

2.2.2缺乏統一的信息資源共享和管理機制，不同應用系統之間的資源共享受到阻礙，應用集成整合幾乎無法實現，孤島效應難以破除。

2.2.3企業難以掌握和管理信息化軟硬件設備的運行狀態，傳統的軟硬件設備管理方式低效落后，難以適應軟硬件設備靈活性要求，無法實現信息化軟硬件資源的合理調度、配置和管理。

2.2.4企業信息安全難以保障。缺乏統一的安全身份認證結構，企業CA等PKI（公鑰基礎設施）無法實施，由于木桶短板效應，企業信息安全成了信息化建設工作中的薄弱環節。

AD域作為信息化虛擬世界的管理者，承擔了非常重要的管理工作。它負責解答“我是誰”（身份驗證）、“我要訪問的資源在哪里”（資源共享）等關鍵問題，是實現企業統一認證、應用系統資源共享、軟硬件設備集中管理、統一實施信息化策略、提供完善的安全性保障的重要的根基。一些難以解決，而又是當前信息化建設所迫切需要解決的問題，都可以得到有效解決。

3、Active Directory應用

3.1 統一身份驗證和單點登錄

AD域對用戶賬戶進行了統一管理、統一身份認證。每一個職工都有一個賬戶，當在任意一臺計算機上登錄到桌面時，用戶的身份就已獲得確認。應用系統據此來識別用戶，不再需要自己提供登錄名和密碼來驗證識別用戶。這也為用戶省去了記憶大量不同應用系統用戶名密碼的煩惱。

多個應用系統都統一采用AD域提供的身份驗證機制，對于用戶而言，就可以大大簡化他們記憶各種繁雜的用戶名和密碼的煩惱，實現了單點登錄的應用場景。

3.2 隨時隨地、移動辦公應用

由于實現了同一身份驗證，計算機成為純粹的終端，用戶不局限于只在某臺計算機上才能開展工作。用戶可以隨時隨地在市局（公司）系統范圍內任意一臺計算機上登錄來處理辦公事務。

利用這一特性，我們通過架設面向互聯網的虛擬主機，實現跨越內外網的遠程辦公、移動辦公。將“云電腦”等概念引入信息化建設中，使得辦公環境大大延伸。

3.3 客戶端和網絡管理

在以往，計算機獨立不受管理，一些應用系統要求在客戶端安裝軟件、或者修改某些系統設置時，只能培訓用戶如何安裝和設置，或者由管理員幫助安裝和設置。

用戶必須接受培訓掌握本該不需他們掌握的軟件安裝和系統設置方法，計算機管理員則忙于應付安裝設置不當導致的系統訪問故障，極大地降低了管理效率。

在AD域中，使用組策略、System Center Configuration Manager（系統配置管理器，以下簡稱SCCM）等方式對計算機客戶端進行遠程管理。根據應用系統對客戶端要求，集中部署相關的軟件和設置，根據企業信息化制度和管理規定，合理限制和引導用戶操作計算機，使用戶能夠更專注于處理應用系統中的業務，而無需為計算機軟硬件故障分散注意力，同時極大地減輕了計算機管理員的管理負擔。

必要的時候，計算機管理員還可以遠程連接到計算機，對用戶做培訓或協助用戶處理故障和操作難題。

3.4 資產管理

信息化軟硬件資產的管理一直是企業管理中的難點。特別是硬件資產、計算機、打印機等固定資產，因為其靈活性高，流動性大，權屬變化不易控制，往往導致盤點時帳實不符。盡管目前企業固定資產管理實現了條碼快速采集，但它仍然無法避免人工流程，管理上疏漏導致的帳實不符的問題也時有發生。

引入AD域后，計算機、打印機等設備納入統一管理，通過收集設備的軟硬件狀況、使用情況等數據，與企業固定資產管理流程相結合，做到軟硬件資產的實時追蹤、分析。數據的收集和處理工作實現電子化、自動化，使信息化方面固定資產投資、軟硬件資源調配優化做到精確規范、有據可查。

3.5 集成整合與系統維護

在以往的應用系統項目建設中，缺乏統一的資源管理平臺，開發商各自為政，相互之間沒有有效的信息資源共享機制，使得不同應用系統之間的資源共享無法實現，應用系統的集成整合難度很大。最終，應用系統數量越來越多，功能支離破碎、覆蓋不完整，數出多門、難以信服，難以有效支撐決策。

引入AD域后，信息化軟硬件資源有了一致的管理方式，身份驗證和安全性有了一致的處理模式。應用系統開發商可以充分利用這一基礎平臺，實現信息資源的共享利用，實現資源、業務的集成整合，較好地破除孤島效應瓶頸。

4、結論

Active Directory的應用，不僅是技術層面的變化，更是信息化管理思路和管理實踐上的變革。Active Directory的功能定位，決定了它在企業信息化建設中的重要作用，是企業信息化建設不可或缺的重要基礎設施組成部分。通過實施Active Directory，能夠有效破解當前信息化工作中的瓶頸和難題，為曲靖煙草信息化發展目標提供有力支撐。

Active Directory已經開始發揮它的作用和效益，但對Active Directiry的應用探索和研究還遠遠沒有結束，筆者希望通過對Active Directory不斷深入的探索、研究和應用，充分挖掘它的潛在效益，為邁向“智能曲煙”這一目標作出應有貢獻。

參考文獻

[1] Microsoft Active Directory概論，陳華，《實用無線電》2001年第3期

[2] Windows2000活動目錄技術及其應用，李發旭 衛良，《青海師范大學學報：自然科學版》2004年 第1期

[3] 張家口煙草：統一身份認證系統的創新路徑，肖霞 彭曉輝，中國信息化

[4] 活動目錄在電力企業中的應用，呂寶海 王明瑞，不詳