微软AD域替代方案，助力企业摆脱hw期间被攻击的窘境

在红蓝攻防演练（hw行动）中，AD域若被攻击成功，是其中一个扣分最多的一项内容。每年，宁盾都会接到大量AD在hw期间被攻击，甚至是被打穿的企业客户。过去，企业还会借助2FA双因子认证加强OA、Exchange邮箱等重要应用账号密码的安全保护，但随着信创改造范围扩大、步伐加速，采取措施补救AD漏洞均属于治标不治本，企业客户正在寻求能够替代微软AD的国产方案。

微软AD域作为企业的核心身份验证和授权系统，为应用、网络、终端、基础设施（VPN、虚拟桌面）等提供统一身份认证和鉴权。在企业场景中，微软AD的核心功能主要体现在以下6个方面：

1.应用接入管理：主要对接LDAP协议的应用，如云桌面、VPN、研发应用等；

2.终端认证及管理：Windows操作系统终端的统一接入认证及组策略、桌面管理；

3.NPS网络准入：RADIUS协议，如有线网络接入认证；

4.文件共享：NAS文件共享、打印机等设备

5.DNS服务：域控组织架构信息通过DNS下放

6.CA证书：主要用于802.1X证书认证及域控计算机与内网服务器之间建立可信的Https

AD的核心能力必须依赖于微软生态。国产应用、云应用、操作系统、服务器等等异构化的基础设施组成的新IT架构下，微软AD无法发挥作用，且现代化的IT组织对身份安全（2FA双因子认证）、身份同步（对接飞书/企微/钉钉/HR等账号）、单点登录SSO（SaaS、云/本地应用）、多类型终端统一管理（Windows、macOS、Linux、BYOD）等场景的需求增大，微软AD天然不具备这些能力。从这些客户需求来看，微软AD替代有其必然性。

企业在寻找微软AD替代国产方案时，首先要考虑到国产方案的兼容性与开放性：对微软AD的兼容性，对异构化的IT架构的开放性。保证了兼容性与开放性，那么AD迁移、后续（非）信创产品的选型、对接都将轻松不少。在这方面，宁盾国产化身份域管已经先一步在国内率先实现了高度兼容微软AD、IBM、Apache、OpenLDAP等传统身份管理系统的，同时基于标准LDAP协议自主开发的优势，对于第三方应用、设备的开放性是显而易见的。

在核心能力上，国产化身份域管已经足够成熟。对于接管微软AD的位置，国产身份域管已经积累了大量最佳实践。例如，某大型金融机构在信创改造建设中，借助宁盾国产化身份域管作为微软AD备胎，从外围应用、新购国产操作系统终端到新购信创应用再到核心应用、终端，逐步迁移、对接到宁盾国产身份域管上，逐步减少AD接管的资源，直至AD停止服务或停止使用。此外，鉴于金融行业的特殊性，宁盾国产身份域管还支持异地分布式部署，以保障系统安全可靠。

核心能力之外，国产身份域管还可以叠加其他自选能力模块，如2FA双因子认证、身份同步、单点登录SSO、泛终端敏捷准入等，助力企业信息安全建设在现代化的IT架构下更加强壮、有效。

如果您有替换微软AD、新建目录服务的需求，或AD曾被攻击，宁盾国产身份域管将有针对性的解决方案为您排忧解难。