有关活动目录的常见问答

在Windows 2000系统下，已经有过开展活动目录的成功案例吗？
总的来说，答案是肯定的。Gartner已经和那些实现了活动目录的企业进行了交谈，这些企业的目的是为了适应单独区域内部用户的数量从数百个到175,000的浮动变化。Gartner也确保了一个用户使用活动目录做为一个extranet（轻量级目录存取协议(Lightweight Directory Access Protocol, LDAP)）目录，以实现驱动3,500,000个用户。如果要对配置活动目录做一个全面的评价，那就是：发展前景长远、非常棒！启用活动目录将存在怎样的一般性缺陷呢？以下是Gartner发现企业最普遍遇到的顿挫：疏忽对目录设计和开展带来的行政方面的问题进行估计。可以看到关于组织单元(OU)与区域边界、区域与forest boundarIEs以及对非Windows域名系统进行综合的解决方案的争论仍是热门话题。这些争论可能将导致延迟设计和实施开展的时间。没能从以下几个方面全面分析活动目录复制的需求1)可利用的网络带宽量2)区域控制器的硬件配置（特别是网络集线器域名控制器）。如果活动目录不能可靠地完成复制过程，它将无法完全地发挥其功能。过多地嵌套OU或组，导致极度复杂的组策略或在组策略处理过程中很低的性能。Gartner也已经与几个设计了非常复杂的组策略的企业进行了交流，他们表示必须要将低复杂度，因为这样将大大降低性能或一些不可预期的后果。我们建议企业配置时不要超过五级嵌套OU 。配置、展开
如果一个企业还没有开展活动目录，是否它应该等待配置活动目录的Windows Server 2003版本呢？你应该基于你对时间和活动目录特性的需求对此做决定。在时间问题上，Windows Server 2003 Active Directory将在2003年发布（概率是90%）。我们认为Active Directory适合于在Type B企业（技术的主流采纳者）中进行小型配置（用户数量可以达到5000）。但是，我们建议Type B企业在配置Windows Server 2003 Active Directory域名控制器并关联Windows 2000域名控制器之前再等60天。我们也建议Type B在进行中级配置（用户可达25,000）之前等待60天，以及在配置大型（用户超过25,000）Windows Server 2003 Active Directory环境之前等待90天。最后，我们建议Type C企业（对技术采纳持保守态度的企业）在进行任何类型的配置之前等待6个月。对于多数企业，这意味着在2003年应该计划大范围配置Windows Server 2003 Active Directory 。在特性方面，Windows Server 2003包括bug fix以及对Active Directory进行了改进。企业应该对Windows Server 2003 Active Directory新增的特性评估后再决定是否有价值配置它们的Active Directory 。如果没有实际价值，企业应该考虑配置Windows 2000 Active Directory，以后再升级到Windows Server 2003 Active Directory（比如说2004年）。值得注意的是，混合配置Windows 2000和Windows Server 2003 Active Directory 域名控制器的价值有限，企业应该计划实现一个版本的稳定。为了能满足计划可能不断变化的需求，我应该使用什么样的组织结构？

考虑到企业的行政结构和公共部门很大的变动性，对于这个问题没有普遍适用的规则。然而，Gartner已经发现了三个有效的方法，用来为Active Directory建立一个变动控制技术：

让directory team或directory architect管理变化请求。当directory team/architec是全球IS部门的一部分时，这个方法工作得最好。
对于多域环境，成立一个区域管理员的管理部门，这些管理员必须对任何变化没有异议。显然，仅当是有限数目域的情况下，这种方法才能很好工作。
创建一个部门，在这里集中了各个领域（如安全、网络、Windows系统管理以及桌面和用程序开发）的专业人士。在这种情况下，尽管这种想法是完美的，但是没有得到正式批准。
我需要第三方工具来有效管理Active Directory？
许多企业可以使用由微软提供的工具和资源来管理Active Directory环境。但是，在一些特别领域里第三方工具提供了另外的价值：

安全报告和审核
管理多域或multiple-forest实现
管理和配置组策略
监测Active Directory的状态是否处于正常
实现基于任务的管理模型（相对于Active Directory的层次模型）
提供相关工具的厂商有：Aelita Software、BindView、FullArmor、NetIQ、NetPro和Quest Software 。
对于我自己的目录需要，是否可以按照Active Directory来标准化？
大多数情况下，答案是不可以。操作系统和应用程序通常是和特定的目录相关联。举个例子来说，NetWare要求是eDirectory，Oracle应用软件则要求的是Oracle Internet Directory，Lotus Notes需要Notes目录，等等。Gartner强烈推荐企业应该走目录整合路线。
我应该使用Active Directory来作为企业的目录协议函数库（LDAP）目录吗？
这个要依赖于将访问该目录的应用程序。在这里有两点需要考虑：

尽管Active Directory 是适应LDAP 3，但是存在大量LDAP规范的扩展。程序员在写程序时可能会选择那些不被Active Directory支持的规范。在当前市场中，这个问题不是只发生在Active Directory身上，企业必须测试应用程序与目标目录的兼容性。
甚至当一个应用程序使用Active Directory来工作的，厂商也可能不支持它。实际上，任何厂商仅仅支持有限数目的目录形式，他们的产品不可能兼容任何LDAP目录。Gartner认为，对于大多数企业来说，配置一个不被软件开发商支持的目录的风险是相当高的。
还要提的一点是，在Active Directory内全面的LDAP支持将不断改善。Windows Server 2003的发布就包括了一些新的LDAP特性，并且Gartner预测微软将在2003年发布一个称作Active Directory in Application Mode (AD/AM)的改进版，来单独支持LDAP 。
【有关活动目录的常见问答】底线
企业配置Active Directory的发展势头很好。一旦有新产品的发布，企业必须认真将其配置需求与Windows Server 2003 Active Directory和Active Directory in Application Mode进行匹配。企业也应该注意成功配置了Active Directory的案例（或其他的目录产品），并需要关注应用程序兼容性和企业的行政结构。