我們使用Active Directory作爲我們Web應用程序的用戶存儲。我們所有的用戶信息,例如名字,姓氏,電子郵件,電話,公司等都存儲在那裏的用戶記錄中。這是擴展Active Directory架構的合適理由嗎?
現在,我們需要存儲一對夫婦件信息,除了這些領域有沒有在架構預先存在的領域,我們可以使用。我們需要的領域是安全問題和安全問題答案。
我覺得我們應該擴展Active Directory架構以包括這些領域,從而保持我們所有的用戶信息,在一個單一的數據存儲。但是,我們的IT部門認爲Active Directory不應該被延長,因爲他們覺得這太危險了,Active Directory不會被這樣使用。
誰是正確的,什麼是確定哪些屬性的類型確定添加到架構的理念是什麼?
釷
Active Directory中最初有非常糟糕的模式支持。也就是說,你不能刪除一些東西,你不能更改模式。
有了更高版本(2008 R2)你與模式做更多的事的能力。使用其他目錄服務的人不會有這種非理性的恐懼。
不要認爲你保存它的數據進行加密。
AD模式旨在被擴展。偶然的AD管理員一直害怕擴展模式,特別是因爲通常遵循「永久」這個詞。但事實是,在ldap中永久存在是沒有意義的。如果新的模式屬性或對象從未被利用過,那麼對目錄沒有不利的性能影響,除非你不能考慮查看未使用的模式。永久性模式的唯一風險是它與現有的或未來的模式衝突,而且如果使用諸如「JohnsCompanySecurityAttribute1」等獨特命名,這種情況很少見。我在醫院工作了9年,擴展模式是常見的地方,並且是部分的AD或ADAM的價值。如果他們仍然不服氣,那麼您的IT人員可以在架構擴展期間總是臨時讓幾個DC脫機。 Here是在敏感的臨牀環境中與重度AD/AM使用相關的一些無恥自我推銷。
你說得對。我認爲這也是一個歷史問題,因爲公元始於技術目錄。當我在研究eDirectory或Sun DSEE等其他「企業目錄」時,架構擴展確實是常見的地方。考慮到微軟的身份識別策略是建立在Active Directory基礎之上的,所以AD應該被認爲是正常的,AD必須經受與其競爭對手相同的待遇:) – 2011-09-06 22:14:29
我們的IT人員特別擔心以某種方式通過添加這些項目來降低整個AD森林。這是一種真正的可能性嗎?其次,你覺得我正在考慮的領域是應該在AD中的領域嗎? – 2011-05-20 05:32:58
@John Hansen那麼,使用內置的功能來添加新的(之前不存在的)支持的屬性是否與他們有關?也許他們應該解釋預期這樣一個問題的表現方式?換句話說,目錄服務被設計爲使用模式。每個發佈的產品總是使用更多的架構。爲什麼害怕? – geoffc 2011-05-20 14:23:13