問(wèn)：我們公司允許我們通過(guò)內(nèi)聯(lián)網(wǎng)參數(shù)選擇頁(yè)面更新自己的活動(dòng)目錄（AD）用戶(hù)數(shù)據(jù)。允許用戶(hù)更新自己的AD有身份管理方面的要求嗎？更新AD數(shù)據(jù)的***實(shí)踐是什么？

答：當(dāng)談到活動(dòng)目錄更新時(shí)，應(yīng)該仔細(xì)地計(jì)劃和監(jiān)測(cè)用戶(hù)的更改。畢竟，AD不只是用來(lái)交換Global訪問(wèn)列表（GAL）：活動(dòng)目錄是一個(gè)企業(yè)的訪問(wèn)庫(kù)。這就意味著雖然它有公共信息，但它仍然允許/拒絕對(duì)許多應(yīng)用程序的訪問(wèn)。此外，目錄跟它所存儲(chǔ)的數(shù)據(jù)一樣重要，所以你應(yīng)該控制用戶(hù)輸入的信息。電話號(hào)碼應(yīng)該有個(gè)給定值（通常是區(qū)號(hào)），標(biāo)題應(yīng)該是HR形式的標(biāo)題（我記得一個(gè)工程師從自助服務(wù)中將他的標(biāo)題寫(xiě)為“宇宙之主”），其他的用戶(hù)數(shù)據(jù)也應(yīng)該遵照類(lèi)似的控制。

從身份管理的角度來(lái)看，如果活動(dòng)目錄被用來(lái)訪問(wèn)，并被用作應(yīng)用程序的用戶(hù)數(shù)據(jù)記錄庫(kù)，上面提到的矛盾觀點(diǎn)能極大的影響應(yīng)用程序的功能。不完全的、不可接受的，或者只是簡(jiǎn)單的錯(cuò)誤信息就可能導(dǎo)致使用那些數(shù)據(jù)的應(yīng)用程序出故障，或錯(cuò)誤的、無(wú)效的訪問(wèn)權(quán)限（要么拒絕授權(quán)用戶(hù)，要么允許未授權(quán)用戶(hù)）。

***實(shí)踐是：將活動(dòng)目錄當(dāng)作企業(yè)的庫(kù)。也就意味著要架構(gòu)和計(jì)劃終端用戶(hù)所管理的領(lǐng)域，給一致的/有效的數(shù)據(jù)分配所需的控制。（不管控制是一個(gè)活動(dòng)目錄控制、一個(gè)過(guò)程，還是終端用戶(hù)培訓(xùn)）

讓用戶(hù)保持他們自己的信息，可以給管理員節(jié)約很多成本，但是如果它會(huì)導(dǎo)致不可控，那它所造成的損失將比節(jié)省的成本要大很多。

【編輯推薦】

1. 如何增強(qiáng)活動(dòng)目錄安全性的五個(gè)步驟
2. 如何在活動(dòng)目錄中設(shè)置可登錄的計(jì)算機(jī)