据统计，全球超 91% 的具规模企业将 Microsoft Active Directory （微软AD）作为数字化身份的基础底座。通常企业达到 300 人以上规模开始建设 AD，而高科技企业早在 50-60 人左右规模时就开始搭建。

AD身份域管是企业身份的事实标准

AD 由微软公司开发于 1999 年，与 Windows 2000 版本一同发布。AD 关联的应用场景众多，且技术壁垒颇高，例如：Windows 终端、Exchange、Sharepoint、云桌面（如Citrix、VMware）、网络、核心应用（ERP、OA）等 IT 资源均依赖 AD 提供统一认证与管理。由此可见，AD 已成为事实上的企业身份标准。

结合 AD 在企业 IT 架构中的建设路径来看，当前信创环境下，要做国产化改造，先行建设类似于 AD 的数字身份底座是推进国产化信创的关键因素之一。如果围绕国资委 79 号文关于 2027 年底前实现信息化系统全面替代的目标，提前规划、搭建国产化身份域管，能够帮助国资企业在国产化 IT 办公系统架构中建立统一的身份标准，降低后续信创产品选型、接入成本及运维压力，从而加速国产化改造的步伐，让国资信创的路线更明朗清晰，未来 IT 建设也将少走很多弯路。因此，宁盾认为信创环境下，建设国产身份域管，越早越好。
 

搭建国产身份域管的三个契机

信创国产化改造的本质是国产异构架构迁移。

从当前国资央企和头部领军企业信创改造的动作可以看出，以下三个触发点是企业提前规划国产身份域管的最佳契机。

1、未雨绸缪，提早规划

企业搭建了 AD 但使用不太深入，尤其没有使用加域及组策略功能。基于信创要求，企业开始思考如何建设类似于 AD 能力的国产身份域管。

2、信创采购，事件驱动

采购信创 PC 终端（麒麟、统信操作系统）、国产软件（OA、邮箱、Office等）、VDI（虚拟桌面，如华为、深信服、新华三等），企业寻求国产身份域管以提供统一认证和管理。

3、安全运维叠加信创要求

攻防演练中 AD 可能出现安全风险，出于安全运维和信创双重考虑，企业会寻找国产身份域管。
 

如何构建国产身份域管标准

随着信创推进，央国企、金融等8大行业办公生产基础设施朝着国产化异构迁移，其身份基础设施由 AD来担当，负责管理近 4500 万员工身份。在国产化情况下，如何帮助企业搭建类似于 AD 的国产身份域管平台？从增量信创视角去看待，国产身份域管应该具备哪些核心能力才能成为信创企业的数字身份底座？为了回答这个问题，我们解构了 AD 的五大核心能力。

微软AD的5大核心能力：

1. 终端管理：Windows终端认证、GPO、桌面管理    
2. 应用管理：LDAP认证    
3. NPS网络准入：RADIUS认证    
4. 文件共享
5. DNS服务

    

对于文件共享和 DNS 服务两项能力，目前 NAS、网盘和 DNS 厂商已有成熟的国产化方案提供支持。而终端管理、应用管理、网络准入三大核心功能，是国产身份域管建设的关键能力。此外，国产身份域管还需拥有对接云上 IT 资源、非 LDAP 应用等能力，才能成为信创企业业务上云、业务敏捷的强大后盾。

 

国产身份域管的建设方向

从 2027 年全面替换的目标来看，国资信创还剩下 4 年时间，国产身份域管建设应及早提上日程。AD 是个复杂产品，牵扯到公司诸多业务，IT 负责人在规划国产身份域管方案时也希望有最佳实践方法论能给予指导。在参与央国企信创改造项目期间，宁盾发现，保持业务的持续性、AD 管理持续性、AD 服务可持续性是搭建国产身份域管、推进信创建设的前提和基础。

鉴于国产身份域管的建设和生态联动贯穿了企业信创改造的全过程，企业未来 IT 信息系统建设和升级、业务扩张全部围绕着国产身份域管而行。因此，要确保“持续性”，国产身份域管还必须具备对原有系统的兼容性、产品的可靠性以及合规性等能力。

在上述背景下，宁盾认为国产身份域管的建设大致可以划分为三个阶段：

第一阶段，通过核心场景验证

企业在调研选型时，国产身份域管必须通过三个核心场景的测试验证，测试通过即可以立项。在 2027 年底前，国产身份域管可以慢慢打磨完善。

管终端：国产身份域管必须实现 Windows 和信创终端的统一管理；

管应用：核心应用能够无缝对接，如信创文档、邮箱、OA、财务；

管VDI：主流信创云桌面可以无缝对接。

第二阶段，接入新购信创产品

引入国产身份域管后，可优先对接新采购的信创产品，如信创替换的国产应用、新购服务器及桌面PC。此阶段新建基础设施试运行磨合过程，IT 部门也有机会和身份域管厂商一起调整优化。

第三阶段，迁移遗留终端/系统

逐步将非关键系统切到国产身份域管上，当边缘系统与国产身份域管磨合好后，用户也建立了信心，届时再将核心应用适当切换到国产身份域管上。

 

围绕AD研发14年，为客户提供有力保障

宁盾从 2009 年成立至今，始终围绕域管进行研发创新。从围绕 AD 周边能力增强进行研发逐渐深入到国产身份域管，覆盖身份、网络、端侧、应用层及数据库层等五大核心场景，成为国内最深的 AD 技术栈积累厂商之一。14 年经验积累，近 3000 家企业客户的良好口碑，数百家合作伙伴的信任与支持，宁盾身份域管将为客户提供有力保障。

如今，宁盾身份域管陆续在金融、央国企头部客户信创建设中得到验证，并获得企业 IT 负责人、AD 专家的认可。在推进国产化改造的浪潮下，宁盾将助力企业循序渐进平滑过渡到国产 IT 环境。