摘要:某 500 强大型国企基于宁盾身份域管构建了国产身份域控,一步到位替换掉 Windows AD,在保证 AD 身份一致性的前提下,实现了存量应用、信创应用、Windows/麒麟/统信操作系统混合终端统一纳管。信创与非信创资产均得到统一管控,不仅降低了 IT 运
某 500 强大型国企基于宁盾身份域管构建了国产身份域控,一步到位替换掉 Windows AD,在保证 AD 身份一致性的前提下,实现了存量应用、信创应用、Windows/麒麟/统信操作系统混合终端统一纳管。信创与非信创资产均得到统一管控,不仅降低了 IT 运维的复杂度与成本,更为业务平滑迁移至信创 IT 架构筑牢了数字身份管理基石。
某中字头国企成立于上世纪 80 年代,属国有企业 500 强。在信息技术自主可控战略提出之后,该企业积极响应,规划信创 IT 基础架构建设方案,逐步上线了国产邮箱、麒麟、统信等信创资产。
IT 底层环境的变化会对企业运营、安全防护等多方面产生影响。当前,该企业信息化管理呈现两极分化。一侧是以 Windows 专业版、Exchange 邮件系统、自研办公应用等集成了 Windows AD 域为代表的统一管理局面,另一侧是麒麟、统信操作系统终端、国产邮箱等为代表的分散、独立维护的信创资产。受国产化政策影响,既有资产将逐步迁移或替换为信创应用/设备,Windows AD 域也将切换为国产身份域控,这一过程中有不少问题亟待解决。其中,最典型的三个问题如下:
信创与非信创资产如何统一管理?既有的非信创资产,像 Windows 终端、Exchange 邮件系统、NAS、自研办公应用等大多集成了Windows AD。而信创资产(国产邮件系统、麒麟KylinOS、统信UOS 终端/设备)还未实现统一管理。这就意味着公司内部至少会存在 2 套账号密码体系,身份管理碎片化的问题不仅影响 IT 运维成本与效率,每一类信创资产都需要投入人力手动创建、变更账号密码,既繁琐又低效,而且还会影响整体信创改造的数字化管理水平。
信创终端的安全合规如何满足?作为国企,安全合规工作至关重要。过去,Windows 终端的屏保、浏览器信任站点、定期修改密码及密码复杂度要求等都能通过 AD 下发组策略完成。换成信创终端后,这些组策略能否在信创终端内复用,以保障信创终端的安全性?
信创改造期间业务连续性如何保证?尽管该公司对微软 AD 的使用不算深入,但员工访问电脑、邮箱、应用系统等都依赖 AD 域账号进行身份认证、权限管控等。由 AD 域切换至国产身份域控时,数据如何平滑迁移,AD 账号能否复用,业务是否会受影响?
针对以上问题,宁盾提供了一套安全可靠的信创数字身份域管解决方案。
信创数字身份域管,即宁盾自主研发的国产身份域控系统,旨在解决「微软 AD 国产化替代」问题或为企业「新建身份域控」。该方案可确保客户业务不受影响,从 AD 域平滑切换至国产域控,用户继续使用原 AD 域账号密码就能登录 Windows(专业版和家庭版)、信创终端、邮箱、有线与无线网络、NAS、虚拟桌面等资源。同时,AD 域的组策略也可以继续复用,实现信创与非信创资产统一管理。方案设计如下:
复用AD账号,建立信创统一身份源宁盾身份域管深度兼容 Windows AD,与 AD 有相同的目录结构。将 AD 上的组织架构和用户身份信息同步至宁盾身份域管,以建立信创统一身份源,为信创资产及非信创资产提供统一身份认证与权限管理。后续账号变更维护等操作在宁盾身份域管上进行,而宁盾域管具备“双向同步”能力,能实时将账号变更操作写回 AD ,确保当前及未来仍然集成 AD 的应用与设备能继续正常使用,不受影响。这一步是实现信创与非信创资产统一管理的基础。
如此一来,身份管理碎片化的问题便迎刃而解。无论是信创应用、设备,还是原来的非信创资源,员工继续使用 AD 账号都能正常登录办公。若未来增加其他应用、设备或安全产品,统一的信创身份源为 IT 资源树立了身份规范,能减轻大量身份对接工作,从而缩短产品选型周期、降低投入成本。
复用AD组策略,跨系统终端统一合规解决混合终端(Win、麒麟、统信)统一登录认证问题后,宁盾身份域管复用该企业所使用的 AD 组策略,像登录用户权限、电脑屏保、密码策略(复杂度、长度、密码锁定、定期修改等)等通过宁盾域管客户端(NDA)下发给 Windows、麒麟、统信。最终,在宁盾域管这个平台上完成多操作系统终端的统一登录认证与集中管理,充分满足合规性要求。
应用免改造,快速迁移至国产域控得益于与 AD 目录结构的高度兼容,过去集成在 AD 上的大量应用、业务系统,如VPN、NAS、研发类应用等,可免改造快速集成到宁盾身份域管。此外,新采购的信创应用,如邮箱、虚拟桌面、OA系统等均由宁盾统一接管登录认证与权限校验。
针对既有 Windows 终端上的数据,宁盾提供便捷迁移工具,迁移过程中用户全程无感知,从而在不影响现网 AD 的情况下,确保业务不中断。
开启用户自服务,便利用户与运维体验日常办公中,员工忘记密码或账号被锁定的情况时有发生。按照 Windows AD 的技术机制,只能由 IT 管理人员统一处理。若人员规模庞大,这种机制的呆板与不便就会日益凸显。
宁盾域管深知企业日常办公场景的痛点,建议客户开启用户自服务功能,允许员工在自服务平台按照密码复杂度要求自主修改/重置密码、修改手机号、解换绑动态令牌、解锁账号等。有了自服务平台,既能增加员工自主性,提升使用体验,又大大降低了运维人员参与度,将运维从琐碎的事务中解放出来,实现了用户体验的双向提升。
客户收益宁盾信创数字身份域管解决了该企业 Windows AD 国产化替代的问题。保留了原有登录习惯和安全策略,并对使用体验进行了优化提升。对该企业而言,采用宁盾域管的价值还体现在:
提升管理水平与效率:宁盾身份域管具备完整的 AD 能力,且覆盖场景更全面,无论是关键 AD 场景,还是信创场景,都能完全兼容,系统性地提升企业数字身份管理水平。
信息安全防护更到位:域控关键技术采用自主研发,规避 AD 高危漏洞、端口及权限问题,在安全合规层面可控、可靠。
推进信创改造更深入:信创基础软硬件、中间件、数据库、云桌面、信息安全产品等全栈信创兼容,推动信创改造更加深入彻底。
来源:宁盾
