写这个系列的文章的想法在我脑海里其实已经酝酿很久了，只是最近事多，就耽搁了，从今天开始，起码保证每2天一更吧。此举不仅是对我这十年工作生涯的一些经验和感悟的总结，也希望以我粗鄙浅陋的学识能够让同行们有可以借鉴的地方。

今天要讲的是AD，我在这里讲的不是技术性很强的文章，而且这类技术文章在网上一搜一大把，但是很多此类文章都是教人们怎么去搭建这个服务器、服务器怎么操作的方法，以及会出现哪些问题，所以我想从一个不一样的角度去谈这类技术和服务，可能是一些结合实际情况的方法、以及如何站在公司层面去架构此服务的问题。

首先我们要知道什么是AD：

Active Directory 活动目录的缩写，一款微软专门用来实施企业管理的、强大的应用软件。

其次我们要知道它能用来干嘛：

所有局域网内的终端通过AD可以实现统一的设备管理、统一的账号分配、统一的应用软件管理、统一的策略分发。

换言之，AD是微软自主研发出来的一款我所见过的最神奇的、最有管理效率的、最稳定的、成本低廉且经久不衰的终端管理软件。

然后我们要弄清楚实施完它之后能给我们带来哪些好处？

1. 第一个好处就是它能帮我们实现账号的统一管理，账号管理绝对是困扰很多公司IT管理部门的问题，做过信息化系统项目或者在大型公司工作的人可能会遇到这样的问题，公司里面有几套系统，分别得用几套账号，由于账号的不同，那么IT部门在做权限管理、账号录入、账号登记、清除的时候，可能会面临一个人的账号得弄几次，这不仅仅造成工作效率的降低、人员工资成本的升高（IT人员每天要多花几个小时处理此类问题）、还有员工的IT体验满意度会大大下降。所以它的第一个好处我认为是最重要的。

2. 它实现了初级的权限划分和管控功能，AD上面可以通过将用户分组、按照Windows的权限规划方式来进行相应的用户授权，以此来达到控制全公司各个部门用户权限的目的，而且IT部门可以采用AD中分组、组织单元（OU）的方式建立一个类似于公司组织机构树的分类，以此来匹配各分子公司及各部门的访问权限和用户权限级别。

3. 它可以从AD服务器上制定IT终端相关的策略，按需分发至公司或者某个部门、甚至某个人。举个例子，通过域组策略，我们可以实现整个公司统一桌面环境、统一软件、统一环境变量。再举一个，我们可以分发一条策略到研发部门，禁止USB设备的接入。所以，这样做，相当于是解放了IT人员的生产力，不至于让IT人员到每个终端上面去设置组策略，可以让他们有时间去干更多有意义的事情。

4. 它可以提高企业的安全性，由于账号统一、终端入口的统一，那么我们就很容易做到账号禁用、终端机器禁用、以及相应软件安装的管理，我们可以很容易地规划用户的行为，让他们按照公司制定的方针和政策来使用电脑设备。

5. 它可以跟很多的应用、服务、系统集成，很多同行应该都知道LDAP，那么它就是AD的一部分，通过连接LDAP的接口，我们可以实现将AD账户导入到很多不同的应用服务和系统中去，并以此来实行权限的统一管理过程。

再次我们应该弄清楚我们需要在什么时机、什么环境去实施它：

1. 微软是一个超大的IT公司，他自己就在用着自己的AD产品，所以越大型的公司就应该越要用它，在管理PC端方面，无人能出其右。（现在都在讲移动互联网、但是我们得搞清楚，很多移动互联网的产品都是在PC端开发出来的，而且现在大多数企业办公还是离不开PC）

2. 中型公司也是需要的，因为中型公司的规模一般也不小，而且可能面临扩展速度快、分支机构多、人员流动性强的问题，所以需要统一的终端管理归口，这样才能跟上公司发展的节奏。

3. 中小型公司，我还是建议你用吧，因为咱们总要从杂牌军走向正规军，那为什么那些正规军中已经用得很成熟的东西我们不拿来用呢，即使人少、但总能提升点效率，不是吗？

最后我要说的是AD作为微软的企业服务基础产品，它也是很多微软强大应用必备的底层架构框架之一，例如Exchange、Sharepoint、Lync(现在应该叫skype-business)，所以我的理解是，作为一名IT人，如果不会用它，不会用好它，不能深层次地理解它的好处，也就无法成为一名合格的IT管理人员。