微軟 Active Directory（AD）可以說是最常見的本地目錄服務或身份源（IdP）。它開發于20世紀90年代后期，也經歷了21世紀的身份管理現代化。但無論 IT 環境如何發展，管理員和企業對 AD 一直疑問重重，甚至產生了誤解。

本期文章為微軟 AD 問答系列的基礎篇，將盡可能用最簡單直觀的說明解答關于 AD 的各類問題，本期內容主要包括微軟 AD 的基本概念、使用的協議、目標客戶等。

1. 什么是 Active Directory？

AD 是一種目錄服務或身份提供程序（IdP），于1999年首次推出 AD，和 windows 2000 Server 版本一同發布。AD 主要是為了幫助管理員將用戶連接到基于 Windows 的 IT 資源，同時管理和保護基于 Windows 的業務系統和應用。AD 負責存儲有關網絡對象（如用戶、組、系統、網絡、應用、數字資產等）及其相互關系的信息。

管理員可以使用 AD 創建用戶并授權用戶訪問 Windows 終端、服務器和應用等。另外，AD 還能用于控制系統組、強制執行安全設置和軟件更新。 訪問和控制都是基于域的概念實現的。所謂域，其實就是一個包含和排除的概念，傳統上用于物理位置的區分。過去很多 IT 資源都托管在本地，成為域（內網）的一部分。內網用戶可以訪問所需的本地資源。而在內網以外的用戶就需要 VPN ，假裝用戶處于內網中，從而實現訪問。當 IT 資源和人員處于相同的物理環境時，這種訪問控制方法可以起到很好的效果。 相比之下，AD 所屬的身份和訪問管理（IAM）又進一步拓展了應用的范圍，通常還涉及單點登錄（SSO）或移動設備管理（MDM）等輔助解決方案。寧盾身份目錄即服務 (DaaS） 就是可增強AD在復雜IT環境下的能力的云目錄方案。

2. Active Directory 使用哪種協議？

Active Directory 主要利用 DNS/DHCP 網絡協議和輕量級目錄訪問協議（LDAP），以及用于身份驗證的微軟專有 Kerberos 版本。 很多人問為什么 AD 原生支持的協議這么少，沒有 SAML 和 RADIUS 這些常用協議。雖然不清楚微軟的想法，但多協議的確是身份和訪問管理的未來方向。而要讓 AD 支持 SAML、RADIUS 等協議，可以采用微軟附加方案或第三方解決方案，比如對接寧盾 DaaS 方案，可以擴展單點登錄（SSO）、多因子認證（MFA）、用戶自服務等多種能力。

3. 為什么 Active Directory 被稱為活動目錄？

目前對于AD 名稱的由來最貼切的一種解釋是 AD 會主動更新目錄存儲的信息。例如，當管理員從組織中添加或刪除用戶時，Active Directory 會自動將用戶的更改情況復制到所有目錄服務器。這種更改會定期發生，以便同步最新信息。 在今天的 IT 系統中，AD 這種主動更新信息的行為已經司空見慣了。但是，在目錄服務計算機化之前，目錄自動更新的概念還是具有一定創新意義的。畢竟在 AD 推出的時代，人們還用百科全書查東西。

4. 哪些企業在使用 Active Directory？

一般來說，企業部署了 AD 之后，員工在不知情的情況下每天都會用到 AD 的功能，包括工作機的登錄、應用程序的訪問、打印機和文件的共享等。 但 AD 的主要用戶其實是管理員，他們需要實際操作、管理和配置 AD。具體來說可能包括 IT 部門、IT 安全部門、開發運維以及 IT 工程團隊。

全球大部分企業和組織幾乎都會使用包括 AD 在內的目錄服務，除了提高生產力之外，還能控制對企業 IT 資源的訪問。訪問控制是現代企業運營的一大重心。

5. 為什么 Active Directory 很重要？

早在21世紀初，Active Directory 已經是推動商業世界運轉的其中一個齒輪。大大小小的企業幾乎都部署了 AD。這樣一個基礎工具默默無聞地在后臺運行，以至于每天使用 AD 的用戶甚至都沒有意識到它的存在，更不知道它是安全訪問終端、應用、網絡和文件的大功臣。簡而言之，目錄服務的主要職責就是將用戶連接到相應的 IT 資源，而 AD 為用戶連接到 Windows 資源已經服務了近20年。