問：我們公司允許我們通過內(nèi)聯(lián)網(wǎng)參數(shù)選擇頁面更新自己的活動目錄（AD）用戶數(shù)據(jù)。允許用戶更新自己的AD有身份管理方面的要求嗎？更新AD數(shù)據(jù)的***實踐是什么？

答：當談到活動目錄更新時，應該仔細地計劃和監(jiān)測用戶的更改。畢竟，AD不只是用來交換Global訪問列表（GAL）：活動目錄是一個企業(yè)的訪問庫。這就意味著雖然它有公共信息，但它仍然允許/拒絕對許多應用程序的訪問。此外，目錄跟它所存儲的數(shù)據(jù)一樣重要，所以你應該控制用戶輸入的信息。電話號碼應該有個給定值（通常是區(qū)號），標題應該是HR形式的標題（我記得一個工程師從自助服務中將他的標題寫為“宇宙之主”），其他的用戶數(shù)據(jù)也應該遵照類似的控制。

從身份管理的角度來看，如果活動目錄被用來訪問，并被用作應用程序的用戶數(shù)據(jù)記錄庫，上面提到的矛盾觀點能極大的影響應用程序的功能。不完全的、不可接受的，或者只是簡單的錯誤信息就可能導致使用那些數(shù)據(jù)的應用程序出故障，或錯誤的、無效的訪問權(quán)限（要么拒絕授權(quán)用戶，要么允許未授權(quán)用戶）。

***實踐是：將活動目錄當作企業(yè)的庫。也就意味著要架構(gòu)和計劃終端用戶所管理的領(lǐng)域，給一致的/有效的數(shù)據(jù)分配所需的控制。（不管控制是一個活動目錄控制、一個過程，還是終端用戶培訓）

讓用戶保持他們自己的信息，可以給管理員節(jié)約很多成本，但是如果它會導致不可控，那它所造成的損失將比節(jié)省的成本要大很多。

【編輯推薦】

1. 如何增強活動目錄安全性的五個步驟
2. 如何在活動目錄中設置可登錄的計算機