寫這個系列的文章的想法在我腦海里其實已經醞釀很久了，只是最近事多，就耽擱了，從今天開始，起碼保證每2天一更吧。此舉不僅是對我這十年工作生涯的一些經驗和感悟的總結，也希望以我粗鄙淺陋的學識能夠讓同行們有可以借鑒的地方。

今天要講的是AD，我在這里講的不是技術性很強的文章，而且這類技術文章在網上一搜一大把，但是很多此類文章都是教人們怎么去搭建這個服務器、服務器怎么操作的方法，以及會出現哪些問題，所以我想從一個不一樣的角度去談這類技術和服務，可能是一些結合實際情況的方法、以及如何站在公司層面去架構此服務的問題。

首先我們要知道什么是AD：

Active Directory 活動目錄的縮寫，一款微軟專門用來實施企業管理的、強大的應用軟件。

其次我們要知道它能用來干嘛：

所有局域網內的終端通過AD可以實現統一的設備管理、統一的賬號分配、統一的應用軟件管理、統一的策略分發。

換言之，AD是微軟自主研發出來的一款我所見過的最神奇的、最有管理效率的、最穩定的、成本低廉且經久不衰的終端管理軟件。

然后我們要弄清楚實施完它之后能給我們帶來哪些好處？

1. 第一個好處就是它能幫我們實現賬號的統一管理，賬號管理絕對是困擾很多公司IT管理部門的問題，做過信息化系統項目或者在大型公司工作的人可能會遇到這樣的問題，公司里面有幾套系統，分別得用幾套賬號，由于賬號的不同，那么IT部門在做權限管理、賬號錄入、賬號登記、清除的時候，可能會面臨一個人的賬號得弄幾次，這不僅僅造成工作效率的降低、人員工資成本的升高（IT人員每天要多花幾個小時處理此類問題）、還有員工的IT體驗滿意度會大大下降。所以它的第一個好處我認為是最重要的。

2. 它實現了初級的權限劃分和管控功能，AD上面可以通過將用戶分組、按照Windows的權限規劃方式來進行相應的用戶授權，以此來達到控制全公司各個部門用戶權限的目的，而且IT部門可以采用AD中分組、組織單元（OU）的方式建立一個類似于公司組織機構樹的分類，以此來匹配各分子公司及各部門的訪問權限和用戶權限級別。

3. 它可以從AD服務器上制定IT終端相關的策略，按需分發至公司或者某個部門、甚至某個人。舉個例子，通過域組策略，我們可以實現整個公司統一桌面環境、統一軟件、統一環境變量。再舉一個，我們可以分發一條策略到研發部門，禁止USB設備的接入。所以，這樣做，相當于是解放了IT人員的生產力，不至于讓IT人員到每個終端上面去設置組策略，可以讓他們有時間去干更多有意義的事情。

4. 它可以提高企業的安全性，由于賬號統一、終端入口的統一，那么我們就很容易做到賬號禁用、終端機器禁用、以及相應軟件安裝的管理，我們可以很容易地規劃用戶的行為，讓他們按照公司制定的方針和政策來使用電腦設備。

5. 它可以跟很多的應用、服務、系統集成，很多同行應該都知道LDAP，那么它就是AD的一部分，通過連接LDAP的接口，我們可以實現將AD賬戶導入到很多不同的應用服務和系統中去，并以此來實行權限的統一管理過程。

再次我們應該弄清楚我們需要在什么時機、什么環境去實施它：

1. 微軟是一個超大的IT公司，他自己就在用著自己的AD產品，所以越大型的公司就應該越要用它，在管理PC端方面，無人能出其右。（現在都在講移動互聯網、但是我們得搞清楚，很多移動互聯網的產品都是在PC端開發出來的，而且現在大多數企業辦公還是離不開PC）

2. 中型公司也是需要的，因為中型公司的規模一般也不小，而且可能面臨擴展速度快、分支機構多、人員流動性強的問題，所以需要統一的終端管理歸口，這樣才能跟上公司發展的節奏。

3. 中小型公司，我還是建議你用吧，因為咱們總要從雜牌軍走向正規軍，那為什么那些正規軍中已經用得很成熟的東西我們不拿來用呢，即使人少、但總能提升點效率，不是嗎？

最后我要說的是AD作為微軟的企業服務基礎產品，它也是很多微軟強大應用必備的底層架構框架之一，例如Exchange、Sharepoint、Lync(現在應該叫skype-business)，所以我的理解是，作為一名IT人，如果不會用它，不會用好它，不能深層次地理解它的好處，也就無法成為一名合格的IT管理人員。