在上期《涨知识时间：使用微软AD的注意事项》中，主要说明了微软ActiveDirectory（AD）在功能使用上的问题，以及AD的局限性等。本期为微软AD系列文章的最后一期，列举了企业在部署阶段需要考虑的问题。

1.ActiveDirectory是免费的吗？

这是一个普遍的误解。虽然AD实际上包含在WindowsServer中，但域控制器需要另外收费，也就是WindowsServer的许可费。微软通过客户端访问许可证（CAL）制度每月向部署AD的企业收取相关费用。

不过，CAL还只是表面成本，AD的其他部署成本还包括相关基础架构、WindowsServer软件、Mac和Linux绑定软件、身份联合、运维、管理和安全保障费用。具体成本因企业而异，但可以肯定的是AD部署绝不是完全免费的。

2.如何计算ActiveDirectory的成本？

估算AD成本有一个非常简单的公式：

AD成本=服务器费用+软件费用+托管费用

+备份费用+安全费用+监控费用

+VPN费用+IT管理员费用

+第三方软件费用

+多因子身份认证费用+治理费用

实际的成本计算根据企业的部署场景决定。

3.哪种规模的企业需要ActiveDirectory？

一般来说，大型企业会更倾向于使用AD。除了企业之外，高校和政府组织也都需要目录服务，以便有效保障对IT资源的访问安全。

虽然小型企业没有AD也能运行，有些会使用Microsoft或单点登录（SSO）解决方案作为用户目录，但很多小型企业出于安全和效率的考量还是会选择部署AD。通常，当一个企业发展到大约20个团队成员规模时，就需要开始考虑使用目录服务了。

而随着企业不断扩张，运营AD的成本会越来越高，流程也会更复杂。因此，很多企业一直在寻找其他方案来解决这个问题，希望最终能从AD迁移。

4.ActiveDirectory有哪些优势和问题？

AD的优势主要可以总结为以下几点：

优化Windows资源管理提升用户和管理员办公效率增强Windows系统、网络、数据安全提供全面可靠的审计合规报告

另一方面，AD具有以下缺点：

Mac和Linux系统上运行功能不完整配置管理难需要本地硬件前期部署成本高与云应用程序和基础设施对接有限

5.什么时候需要ActiveDirectory？

AD的大多数功能可以在没部署AD的单一系统上实现。比如为终端设置新用户或进行某种安全设置都可以在操作系统中手动完成。而一旦企业达到一定规模，不能靠手动管理系统和IT资源的时候就需要AD。AD能够大规模地跨用户和Windows系统执行组管理任务，也因此成为大型企业的“必备”方案。

需要AD的另一个常见原因是企业的审计和合规要求。那些原本可能不需要AD的企业为了满足HIPAA、PCI和GDPR等监管法规不得不部署AD。

如今，越来越多的企业开始云迁移，从本地应用到Web应用或SaaS应用、从本地基础架构到云基础架构，企业对AD的需求正在减弱，但是对身份和访问管理（IAM）解决方案的需求却达到了新的高度。

6.企业需要AD才能通过审计吗？

这实际上还是取决于企业自身的合规性需求，是否需要满足PCI或ISO等审计要求。但简单来说，企业始终都不需要AD来通过审计。一般来说，目录服务都可以保护身份安全，限制对关键资源和数据的访问，简化审计、日志记录和报告流程，因此有助于实现合规。而AD只是目录解决方案的其中一种。

7.什么时候不应该使用ActiveDirectory？

AD最适合基于Windows系统的本地IT环境。如果企业的IT环境不是这种模型，就应该考虑寻找AD的替代方案。举例来说，企业部署AD之后，要利用Mac和Linux系统、基于Web的应用、云服务器、无线网络或非Windows文件服务器，都需要附加工具才能将这些资源和AD集成，长期来看会增加成本，降低生产力。

现在，越来越多企业转向云服务，云目录平台作为AD的替代方案也受到越来越多

转载请注明:http://www.aideyishus.com/lktp/3949.html