cio们和许多其他企业管理人员对于洞察目录服务的前景很有兴趣，因为他们在现代分散计算体系中扮演着重要的基础结构的角色。微软的活动目录（active directory，ad)的应用正在增长，关于该技术的问题也在增多。 gartner谈了关于ad的主要问题，涉及到了应用的成功，常见的缺陷，时间选择，组织结构以及技术问题。


活动目录概览

无论集中还是分散，目录服务触及企业的每个角落，而且常常超越企业延伸到商业伙伴和客户。自从2000年2月推出windows 2000, 微软已经把自己树立为企业的分布式处理的供应商。微软认识到建立在互联网技术的基础上的分布式计算的增长，并利用windows 2000, 修改它的目录结构来适应以网络为导向的世界。ad是微软的目录服务，也是windows 2000体系中的一个核心部分。


ad是一个企业目录系统，可以自动进行用户数据，安全和分布的资源的控制和协调。ad分等级的名字空间，以及基于kerberos认证的分布模式对于微软达到建立全公司分布式计算中的windows服务器的目标是关键的。从一个集中的地点，ad可以帮助管理员管理一个企业的网络，即使该企业是跨城市，跨国家，或者跨半球的。


ad用一个分等级的分布式目录服务取代windows nt平直，不灵活的域结构来控制互联网或公司内部网上的资源。 ad是建立在如小型目录协议（lightweight directory access protocol，ldap)和域名系统(dns)等以互联网为导向的标准的基础上的。它是设计用来提供全球对各种存储信息的访问。通过一个企业界面，ad帮助管理员控制客户，服务器，用户和网络资源。它的分级结构为如应用程序，客户，服务器和用户帐号等元素的管理提供了分布式, 多主（multimaster)的访问。


windows 2000下ad的生产应用

windows 2000下ad的生产应用很成功。一些企业已经应用ad来容纳在单一的，全球的域中从数百人到高达175,000人的内部用户数量。事实上, gartner已证实一家企业使用ad作为管理350万用户的外部网（ldap）目录。 gartner对ad应用的整体评估是: 到目前为止，还不错。


ad应用的常见缺陷

gartner所见到的企业遇到的最常见的挫折是: 无法说明ad设计和应用的政治前景

激烈的辩论继续针对组织单位对对域界, 域对林界, 以及与非windows dns解析的合并的话题进行。这些辩论可能引起设计和应用较大的延迟。


无法完整分析ad复制要求

缺乏根据现有的网络带宽和域控制器配置（尤其是主域控制器）对ad复制要求的完整分析会引起故障。如果ad不能可靠地完成它的复制周期，它将无法正常运行。


组织单位或组嵌套太深

嵌套组织单位或组太深会造成过分复杂的组策略或登陆时组策略处理过程中性能不佳。一些设计了很复杂的组策略的企业由于性能不佳或不可预知的结果而不得不在应用后进行调整。gartner建议企业不要使用超过五层的嵌套组织单位。


时间选择和功能

如果一个企业还没有使用ad，它应该等着使用windows .net 2003版本的ad吗? 这个决定应该建立在时间选择和ad功能要求的基础上。

windows .net 2003 ad将在2003年第二季度发行 (0.9的可能性)

gartner认为ad直接适用于b型企业（技术的主流使用者）的小型（5000名用户）应用。但是, gartner建议b型企业在联合windows 2000域控制器应用windows .net 2003 ad域控制器前应等待60天。 gartner也建议b型企业在中型（最多25000名用户）应用前应等待60天，在应用大型（超过25000名用户）的windows .net 2003 ad环境前应等待90天。 gartner建议c型企业（技术的保守使用者）在任何规模的应用前等待6个月。这意味着，对大多数企业，windows .net 2003 ad的广泛应用应计划在2003年的下半年。


windows .net 2003包括了ad的缺陷修补和功能的改进

企业应评估windows .net 2003 ad的新功能来判定它们对他们的ad应用是否具有价值。如果没有实际的价值，企业应考虑应用windows 2000 ad并在以后（如2004年）升级到windows .net ad。请记住混合使用windows 2000和windows .net 2003 ad域控制器的价值很有限。企业应达到这个版本或那个版本的稳定状态。


使用org结构来应付计划改变的请求

因为企业与公共部门的组织的政治结构相距甚远，对这个问题没有一劳永逸的答案。三种建立一个ad改变控制机制的有效办法为: 让目录团队或目录设计者处理改变的请求

当目录团队和设计者是一个全球is部门的一部分时这个方法最有效。


对于多域的环境，创建一个管理版

包括域管理员必须无异议地同意任何变化。显然，这只在域的数量有限时有较好效果。


创建一个不同代表的版

包括来自安全，网络，windows管理，帮助台和应用程序开发的代表。在这种情况下，一致的批准是不必要的，虽然这样比较理想。


管理ad的第三方工具

许多企业可以使用微软提供的工具和用具（包括windows 2000资源包中有的用具）来管理他们的ad环境。但是，有一些特殊的区域第三方的工具可以提供额外的价值: 安全报告和审计:


管理多域或多林的实现管理和应用组策略监控ad健康执行一个以任务为基础的管理模式 (相对于ad的分等级模式)


在这一领域提供工具的卖家包括aelita软件, bindview, fullarmor, netiq, netpro和quest软件。


在ad上标准化以满足所有目录需要

在ad上标准化以满足所有目录需要也许不可能做到。操作系统和应用程序经常被系于特定的目录。例如, netware要求edirectory, oracle 应用程序要求oracle互联网目录, lotus notes要求notes目录，等等。gartner强烈推荐企业应进行目录的整合，而不是设法“把应用程序削足适履放进目录里。”


使用ad作为一个全企业的ldap目录

这么做取决于将访问该目录的应用程序。这里有两个考虑。


虽然ad是支持ldap v.3的, 它对ldap规格有许多增加，延伸和诠释。编写目录扫描的应用程序的程序员也许选择应用不被ad支持的该规格的可选方面。这个问题并非ad特有，在目前的市场上，未激活ldap的目录是可以互换的。企业必须测试应用程序与目标目录的兼容性。


即使当一个应用程序对ad兼容时，卖家也可能不支持它。在目录领域的最大的谎言就是某个软件销售商声称它的产品对“任何”ldap目录兼容。真相是每个软件销售商都准备只支持有限数量的目录。


gartner认为应用不受软件销售商支持的目录为大多数企业来说风险太大了。而且请注意ldap整体对ad的支持将继续改善。 windows .net 2003版本包括一些新的ldap功能, gartner期待微软在2003年下半年为独立的ldap支持发行一个叫做应用模式中的ad的增强版。


底线

企业对ad的应用到目前位置很顺利。随着新版本的即将出现，企业必须小心地将他们的应用要求与windows .net 2003 ad和应用模式中的ad的发行的日期界限相匹配。企业也应记得ad或任何目录产品的成功应用需要关注应用程序的兼容性和在企业中的政治结构。