活動目錄用戶如何管理?
就像Jackson Shaw所說的那樣,由Windows支配的嚴格的鑒定管理在IT決策中產生了重要的范例方法。Jackson Shaw是Quest軟件的活動目錄產品管理高級主管。Shaw說:“我們現在正在研究企業內部的活動目錄組織能夠為更多的公司帶來一如既往的支持。或者它其中的一部分能滿足更多的調整需求,或者它其中的一部分是因為活動目錄已經在市場上存在了一段時間了。幾年以前,因為它們被運行在高端應用服務器上,Unix系統管理員往往去做更多的調用。現在,這些希望被作為活動目錄的一部分,因為它是簡單易用的。
盡管,這個方法依然處于萌芽階段,John Enck指出。John Enck是位于Stamford的Gartner公司的調查副總。他說:“與我們進行探討的客戶大概數以百計了,它看上去非常地少”,盡管如此,他認為既使是很小的移動信號都能給Unix提供商帶來反應。Enck 說:“沒有人能夠提高機會。”
究竟非Windows環境能夠容易地被做成聯合微軟活動目錄的環境么?是存在于活動目錄支持者與活動目錄的競爭工具支持者之間的問題焦點,尤其是像IBM Tivoli這樣的工具。
Martin Carnegie是Gulf Breeze軟件的一名軟件訓練師,他是使用Tivoli企業版的專業咨詢員。Martin Carnegie 指出:“我認為活動目錄能夠工作在一個不同種類的環境中,但是我已經聽到因為微軟不會去追隨為LDAP(輕量級目錄訪問協議)做出的所有標準,它將導致一些問題出現。我曾經經歷過這樣一件事,當我在有活動目錄的情況下試圖去為將信息推出編寫一個Perl腳本,這種情況大概比拔牙還要糟糕。”
Quest公司的Shaw對此解釋有不同的看法。他說:“作為一名活動目錄產品管理者,我已經工作了五年半的時間了。[它]是一個來自于任何微軟競爭者的典型回答。微軟的活動目錄是能夠全面支持LDAP V3的,這意味著,他同時也能夠支持V2。很顯然,微軟的活動目錄產品是目前最大限度的支持LDAP配置的目錄產品。”
從A狀況到B狀況
一旦你決定去統一用戶和組ID時,你該怎樣開始遷移?
Centrify公司向他的DirectControl用戶建議了兩個方法。首先,對于那些只有一個系統來存儲已有的Unix,Linux和Java特性的這樣的用戶,包括現有Unix目錄信息直接到活動目錄,并且接下來映射每一個Unix賬號到適合的活動目錄賬號。一旦你完成這個任務,你就會使用DirectControl處理用戶登陸在Unix系統,來代替使用遺留下來的目錄系統。Centrify公司這樣解釋。
為Unix用戶帳號組織具有多樣存在的存儲將會需要使用兩個步驟的移動。第一步包括從現有的Unix目錄移動信息到活動目錄,也就是說,去最小化重映射文件所有者或者拒絕用戶使用新的用戶名帶來的損壞。第二步包括鞏固多重的將Unix特性導入到更小特性區域的漸進努力,Centrify公司這樣解釋。這些區域將會被物理區域,輔助的或者群角色所組織。你會有事務需要規定分組與為用戶和組命名協定,來取代為定義的用戶名做的遺留下來的多系統。
Quest公司還有一個不同的方法。不像需要去配置在系統上加入活動目錄域的Unix用戶ID合理化,Quest公司的Vintela Authentication Services(VAS)軟件允許簡便的創建改變的Unix“個性化”,為不同的系統需要,在活動目錄中定義特性。
Vintela Authentication Services具有一個腳本組件能夠在活動目錄中創建激活的Unix用戶和組,遷移現有的Unix賬戶信息到已有的活動目錄用戶和組,并且創建定制化的遷移腳本。Quest指出,當遷移相矛盾的賬戶域的時候,VAS也可以允許做二選一的Unix個性化對象的創建。
在這個部分,IBM的Tivoli目錄集成(Tivoli Directory Integrator)將會幫助做殘留在目錄,數據庫以及協作系統中的身份數據的同步操作。作為一個同步層,IBM聲稱,Tivoli目錄集成消除了集中目錄數據存儲的必要。然而,Tivoli Directory Integrator也能夠被用于連接從不同的Unix和Linux服務器得身份數據到一個中心倉庫中。
對于用戶來多,識別和定位用戶是最艱巨的一部分,不管你使用了哪幾種工具。就職于人類國際網絡的工程主管Dmitri Thorpe指出:“投資回報被設法弄到管理時間,你將會獲得的人工。我會說,現在我們能夠真正的幫助我們的Mac用戶了。”
希望活動目錄管理用戶的方法能夠對讀者有所幫助。
【編輯推薦】
