Active Directory 现代化指南

您可能知道，现代化 Active Directory 可以带来很多好处 - 更简单的管理、更高的业务生产力、更低的成本、更强的安全性和网络弹性等等。但实现这一目标的过程似乎相当艰巨。技术和非技术方面的主要障碍是什么？您将如何展示成功？您应该整合到现有目录、建立新的森林还是跳到云端？

本文解决了所有这些问题以及更多问题，为您充满信心地开始现代化 Active Directory 提供了所需的基础。

技术考虑

任何 Active Directory 现代化项目的第一步都是仔细、彻底地评估现有目录。虽然每个环境都是独特的，但也存在常见的障碍。特别注意下面详述的问题将有助于确保您的项目取得成功。

请注意，这些注意事项同样适用于小型组织和大型企业 - 当涉及 Active Directory 现代化时，挑战与 AD 复杂性的关系比与组织规模的关系更为密切。

森林和域结构

随着时间的推移，IT 环境（尤其是 Active Directory）趋于变得越来越复杂。事实上，Active Directory 现代化的一个关键驱动力是驯服笨重的 AD 架构和相关的混乱，这些混乱使强有力的治理和安全性变得非常困难。以下是需要注意的关键要素：

• 森林 - 公司重组和并购 (M&A) 交易通常会产生多个缺乏连贯治理和监督的 Active Directory 森林。整合这些林可能是 Active Directory 现代化的重要组成部分。
• 域——AD域通常按照组织的结构建模；例如，您可以为芝加哥办事处建立一个域，为西雅图办事处建立另一个域。但当重组或裁员发生时，你精心规划的结构就会瞬间变得过时。
• 组织单位 (OU) - 给定域中的对象通常分组为 OU，它们通常更详细地反映组织的结构；例如，每个办公室的域可能有每个部门的 OU。重组和并购等组织变革可能会扰乱 OU 结构，但造成 OU 混乱的另一个原因是：组织通常会创建临时性的 OU，但当相关项目或其他目的完成后，这些 OU 永远不会被删除。
• 架构 - AD 架构包含可以创建的每个对象类以及 AD 对象可以具有的每个属性的正式定义。当今技术的快速进步可能意味着最精心规划的模式需要更新。但更改架构可能会导致严重的业务中断，因此 IT 团队可以采取解决方法。在现代化 Active Directory 时，请务必积极寻找它们。

身份和访问管理

向下移动一层，我们来到每个域的 AD 数据库。这些数据库通常也急需清理。事实上，随着员工的来来去去、应用程序和数据存储库的部署和退役，以及业务需求随着时间的推移而变化，AD 数据库可能会因过时的用户和计算机帐户、过度配置的用户、不需要的安全组等而变得混乱。当您计划实现 Active Directory 现代化时，清理所有身份和访问权限至关重要。

特别值得关注的是高特权帐户，包括有权访问敏感信息的业务用户以及拥有域管理员和企业管理员等强大组成员身份的管理员。请务必仔细检查所有服务帐户，这些帐户通常被授予比实际需要的更多的权限。

根除攻击路径也很重要——可滥用的权限和操作链可能使攻击者在破坏常规用户帐户的情况下通过几个步骤即可获得管理权限。使用正确的攻击路径管理工具，您可以可视化这些攻击路径并查明它们共享的瓶颈；通过缓解这些问题，您可以显着提高未来的安全性。

组策略

组策略是 Active Directory 的一项强大功能，使管理员能够跨域集中管理用户和计算机。组织通常拥有数百或数千个组策略对象 (GPO)，用于实施密码策略、部署软件、阻止用户在其计算机上安装应用程序等等。

GPO 基础设施很快就会变得复杂。特别是，GPO 可能具有冲突的设置，并且组织通常具有嵌套的 OU。因此，为了准确确定哪些设置应用于哪些 OU，管理员需要处理 GPO 优先级、覆盖选项和阻止继承。

如果您正在考虑迁移到云端，那么还有另一个问题：Entra ID 中没有 GPO。清楚了解当前有效的组策略后，您需要分析它是否适合您未来的需求，并在 Microsoft Intune 中制定适当的策略。没有简单的 GPO 到 Intune 迁移路径；两者就像苹果和橘子。

信托

组织经常在其 Active Directory 域和林之间建立信任关系。他们这样做有充分的理由：信任有助于为用户提供无缝的身份验证和授权体验，使他们能够访问完成工作所需的资源。然而，AD 森林意味着一个明确的安全边界，而信任本质上是跨越这些边界的桥梁。这些桥梁不仅可以被合法员工使用，还可以被恶意内部人员和渴望在环境中横向移动的对手滥用。

不幸的是，与用户对象和 GPO 一样，信任可能会过时。但是，如果没有清晰详细地了解信任的存在以及它们的使用方式，管理员可能非常不愿意删除它们。因此，在现代化 Active Directory 之前了解并清理您的信任至关重要。

遗留应用程序和技术

Active Directory 现代化的另一个关键考虑因素是您的应用程序资产。许多组织拥有对运营和收入至关重要但难以迁移的遗留软件解决方案。例如，供应商可能不再支持该产品，因此没有可以在现代化环境中运行的版本。或者它可能是一款无人真正理解的本土应用程序，或者甚至没有任何源代码可供审查和更新。识别这些应用程序并弄清楚如何在现代化环境中提供它们的功能至关重要。

此外，请务必寻找其他遗留技术并确定如何逐步淘汰它们，包括 NTLMv1 等不安全协议、遗留文件共享以及 Windows Server 2003 和 Windows XP 等不受支持的操作系统。

设备

Active Directory 现代化通常还涉及设备的更改，包括分配给企业用户的台式机和笔记本电脑。用户的计算机上通常有许多自定义设置甚至个人数据，从图标布局到选择的背景照片。为了避免生产力问题和愤怒同事的大量投诉，您需要确保在项目期间忠实地保留用户配置文件。

这个目标似乎遥不可及，尤其是当您将设备从域加入过渡到 Entra 加入时。微软提供了一个名为 Autopilot 的工具，但它实际上是为部署新设备而不是迁移已在使用的机器而设计的。 Autopilot 将擦除设备并重新安装操作系统，让您承担手动备份然后重建配置文件的艰巨任务。幸运的是，有一个 SaaS 迁移解决方案，使您能够快速轻松地将 Windows 10 和 11 设备迁移到 Entra ID，而无需重新映像和重建配置文件。

IT流程

除了评估 AD 基础设施本身之外，查看围绕其构建的所有流程（例如 Active Directory 管理、Active Directory 安全性和 Active Directory 报告）也至关重要。随着时间的推移，这些流程可能会变得松懈或偏离现代最佳实践。一个常见问题是在急于完成收购或合并的 IT 集成时未能实施一致的流程和政策。

以下是在现代化 Active Directory 时需要牢记的一些重要注意事项：

• 安全性 - 请务必根据零信任原则（例如显式验证、最小特权和违规假设）审查您的安全实践。请记住，在大多数情况下，Microsoft 不再推荐红森林安全模型；相反，应考虑采用企业访问模型，该模型侧重于了解和保护您最有价值的资产，即第 0 层或控制平面。
• 命名 - 作为现代化计划的一部分，请务必为用户、计算机、GPO、安全组和其他 AD 组件建立标准命名实践。严格遵循这些标准将有助于确保准确的配置、强大的安全性、IT 生产力、法规遵从性等。
• 生命周期管理 - 查看创建和停用 AD 对象的流程，尤其是用户帐户以及安全和通讯组。实施生命周期控制策略可以帮助您避免与新环境中 AD 对象蔓延相关的风险。
• 影子 IT — 要解决影子 IT，发现隐藏在员工办公桌下的服务器以及使用未经授权的云服务是必要的，但还不够。还要认真审视导致用户参与影子 IT 的流程，例如冗长且不灵活的审批工作流程以及缺乏关于影子 IT 危险原因的沟通。然后考虑可以采取的控制措施来防止它，并在它偷偷溜进来时立即发现它。
• 备份和恢复 — 现代化 Active Directory 是确保您拥有无懈可击的 AD 灾难恢复策略的绝佳机会。寻找一种解决方案，提供灵活的备份选项、单个 AD 对象和属性的轻松粒度恢复以及快速林恢复。如果您要现代化到混合环境，请确保您可以恢复纯云属性，例如 Microsoft 365 许可证、角色分配和条件访问。

人性化考虑

除了 Active Directory 现代化所涉及的技术挑战之外，您还需要关注相关人员，包括 IT 专业人员和所有不同的业务利益相关者。

IT 团队：克服技能挑战

在最好的情况下，迁移是一项复杂的工作，有许多移动部分。即使是在自己的领域拥有丰富专业知识的 IT 专业人员也可能永远不会负责迁移项目，尤其是像现代化 Active Directory 这样重要的迁移项目。

此外，如果您的项目涉及本地 AD 和 Entra ID 之间的转换，您需要确保您的 IT 团队拥有适当的技能。如前所述，迁移到云意味着基于对本地 GPO 以及 Microsoft 云中独特的安全现实的透彻了解，从头开始创建 Intune 策略。您的团队还需要了解如何将设备从域加入过渡到 Entra 加入，并准备好安全有效地管理它们。除此之外，他们还需要了解如何管理和治理 SharePoint 和 Teams 等 Microsoft 365 工作负载。仅仅阅读一本书或参加在线课程是远远不够的，因此让他们尽快开始熟练掌握云技术的旅程。

请注意，一些组织面临着相反的挑战：它们是基于云的，并收购了拥有大量场所基础设施和相关技术债务的组织。在这种情况下，他们的 IT 专业人员可能缺乏执行 IT 集成所需的 AD 专业知识。

无论哪种情况，明智的做法是考虑与已经完成了许多成功项目并且对内部团队想要承担的工作量持灵活态度的迁移专家合作。

业务利益相关者：证明您的项目成功

为了确保您的项目被认为是成功的，请务必确定所有利益相关者并了解他们的目标和优先事项。如前所述，特定部门可能依赖于关键的遗留应用程序，并且需要在现代化环境中具有足够相似的功能。与此同时，首席技术官可能会专注于通过减少本地基础设施占用空间甚至完全消除本地数据中心来控制成本。

记录您的发现，并确保获得关于成功实现 Active Directory 现代化的特定目标的签字。

规划考虑因素

一旦您了解了当前的环境以及成功的样子，您就可以继续规划项目。 Active Directory 现代化可以采取多种不同的形式：

• 整合到您现有的森林之一
• 搬到新森林（通常称为绿地）
• 完全或混合迁移到云

最佳选择取决于您组织的具体情况和目标。迁移到全新的环境可能是一个难得的机会，可以从头开始，而不是尝试合并到现有目录中，即使在清理之后，也可能不太理想，特别是如果您的架构需要修改的话。然而，这可能是一个更长、更复杂的过程。

迁移到云通常是一个有吸引力的选择。它使您能够拥抱 Microsoft 的未来愿景并获得相关收益。许多有价值的新功能首先在 Entra ID 中提供，有时仅在 Entra ID 中提供。出于技术、业务、合规性或其他原因维护本地 AD 的组织可以选择具有同步功能的混合目录。如果您选择采用 Entra ID，请务必查看这些常见的云迁移挑战。

要点

现代化 Active Directory 不仅仅是一个有吸引力的白日梦；而且是一个令人向往的梦想。这是一个可以实现的目标。首先对您当前的环境进行全面评估，特别注意上述技术注意事项。确保您拥有合适的技能，无论是在内部还是通过值得信赖的合作伙伴，并与所有利益相关者合作，明确定义成功是什么样子。然后选择您的迁移路径并开始认真规划。有了正确的迁移工具和正确的合作伙伴，迁移过程会比您想象的更快、更轻松。