隨著國資委79號文的明確要求，中央企業(yè)正緊鑼密鼓地推進信創(chuàng)替代工作，力爭在2027年前實現(xiàn)100%的國產(chǎn)化目標。在這場深刻的數(shù)字化轉(zhuǎn)型浪潮中，大型央企國企普遍面臨著Windows與國產(chǎn)操作系統(tǒng)（如統(tǒng)信UOS、麒麟OS）并存的復(fù)雜過渡環(huán)境。身份管理碎片化、高昂的遷移成本以及傳統(tǒng)Windows AD與國產(chǎn)OS協(xié)議兼容性不足等痛點，成為擺在企業(yè)面前的巨大挑戰(zhàn)。

聯(lián)軟科技于2025年9月3日14:00，成功舉辦“聯(lián)軟UniXCAD擴展的中國AD域控解決方案”線上直播活動。本次活動特邀聯(lián)軟XCAD產(chǎn)品負責人陳楊先生，為廣大與會者深入剖析行業(yè)現(xiàn)狀，并詳細解讀聯(lián)軟XCAD方案如何以技術(shù)創(chuàng)新賦能企業(yè)，實現(xiàn)AD系統(tǒng)的平滑、高效、安全替換。

Q&A

1. 國資委要求2027年前完成AD國產(chǎn)化替換，目前各行業(yè)已進入改造加速期，當下哪些行業(yè)的改造進度明顯領(lǐng)先？

國產(chǎn)化替代主要聚焦于“2+8+N”領(lǐng)域。其中，“2”指的是黨政兩大關(guān)鍵領(lǐng)域，“8”涵蓋金融、電力、電信、石油、交通、教育、醫(yī)療、航空航天等八大關(guān)鍵行業(yè)，而“N”則代表其他各行各業(yè)。目前來看，國央企的改造進度最為領(lǐng)先，緊隨其后的是金融行業(yè)，特別是銀行、證券、基金等機構(gòu)，其國產(chǎn)化改造工作已走在前列。

2. 替換微軟AD這一過程中，企業(yè)面臨著哪些困難？

最大的困難主要集中在生態(tài)兼容和共存問題上。微軟AD在中國市場深耕二十余載，建立起一個龐大而緊密的生態(tài)系統(tǒng)。因此，替換微軟AD不僅要考慮自身系統(tǒng)的平替，更要確保與原有生態(tài)的良好對接。在切換過程中，與微軟生態(tài)的平滑共存期至關(guān)重要，這才能保證替換過程的順暢與無感。

3. 簡單介紹下聯(lián)軟XCAD擴展的中國域控方案，是如何解決這些痛點？是否能夠完全替代微軟AD的功能？微軟AD用了幾十年，聯(lián)軟XCAD擴展的中國域控方案能兼容得了微軟曾經(jīng)的生態(tài)嗎？例如解決與現(xiàn)有操作系統(tǒng)、辦公軟件及業(yè)務(wù)系統(tǒng)的適配問題？

聯(lián)軟XCAD在研發(fā)之初，便以微軟AD域控對標，核心思路就是要實現(xiàn)微軟AD的“平替”。這意味著，首先要做到對現(xiàn)有Windows PC的平滑接管；其次，在國產(chǎn)化替代后，要確保統(tǒng)信、麒麟等國產(chǎn)操作系統(tǒng)的終端也能無縫融入管理體系。所以，我們的方案能夠完全平替微軟AD，在與Windows AD共存的階段，逐步將企業(yè)新采購的國產(chǎn)PC終端納入管理。在此基礎(chǔ)上，我們還能全面接管包括Exchange郵箱等微軟生態(tài)應(yīng)用，這些應(yīng)用通常通過LDAP協(xié)議請求微軟AD域的認證。我們的方案能夠?qū)崿F(xiàn)這些應(yīng)用的平滑接入，確保員工登錄操作系統(tǒng)和使用各類應(yīng)用時完全無感知，這是我們方案最大的特點。

4. 有一些客戶采用的方案存在客戶端裝到崩潰？或者弱口令被通報的情況？聯(lián)軟XCAD擴展的中國域控方案是如何解決的？

關(guān)于客戶端導(dǎo)致系統(tǒng)崩潰的問題，我們的方案正好相反。聯(lián)軟XCAD采用無客戶端的指導(dǎo)方案，直接在協(xié)議層介入，將操作系統(tǒng)視為原生客戶端。這意味著無需在每臺電腦上安裝獨立的客戶端，從而規(guī)避了因客戶端與不同操作系統(tǒng)版本、生態(tài)應(yīng)用之間的兼容性問題。

針對弱口令問題，我們深知這是國央企面臨的普遍挑戰(zhàn)。例如，我們曾拜訪的寧波鋼鐵就急需治理弱密碼。微軟AD的組策略在定義弱密碼方面存在局限性，例如“123@COM”這種符合多種格式的密碼，在微軟AD看來是強密碼，但在當前數(shù)字化環(huán)境下極易被破解。聯(lián)軟XCAD產(chǎn)品可以自定義弱密碼策略，能夠精準檢測并強制要求用戶修改。這遠超微軟AD組策略的能力。

5. 企業(yè)最擔憂AD數(shù)據(jù)遷移中的賬號丟失和權(quán)限錯配，聯(lián)軟方案如何保證千萬級用戶的平滑替換？

賬號丟失和權(quán)限錯配確實是當前國產(chǎn)AD廠商普遍存在的弱點。聯(lián)軟XCAD方案正是為了解決這一痛點而生，我們能夠完整繼承微軟AD的域賬號及其密碼，以及整個活動目錄中的所有權(quán)限配置。無論是操作系統(tǒng)層面的權(quán)限、組設(shè)置，還是微軟生態(tài)應(yīng)用的權(quán)限，我們都能實現(xiàn)平滑接管，對原有系統(tǒng)沒有任何影響，確保千萬級用戶的無感替換。

6. 信創(chuàng)AD如何解決國產(chǎn)操作系統(tǒng)（麒麟/統(tǒng)信）與傳統(tǒng)Windows域控的協(xié)議兼容問題？是否存在性能折衷？

我們實現(xiàn)無感兼容的關(guān)鍵在于產(chǎn)品架構(gòu)中增加了一個“智能網(wǎng)關(guān)”。這個智能網(wǎng)關(guān)的核心能力就是進行協(xié)議轉(zhuǎn)換。它能夠以不同操作系統(tǒng)所熟悉的協(xié)議進行通信，例如，面對微軟AD認證時使用Kerberos協(xié)議，而面對統(tǒng)信和麒麟操作系統(tǒng)登錄認證時則使用它們各自的協(xié)議。就像一個精通多種語言的翻譯官，確保了各種系統(tǒng)間的順暢溝通。

在性能方面，微軟AD經(jīng)過二十年的發(fā)展，生態(tài)和性能已非常成熟。我們經(jīng)過嚴格測試，一臺微軟AD支持7000臺PC的規(guī)模，聯(lián)軟XCAD基本也能做到1:1的替換，性能已接近微軟AD。此外，我們采用微服務(wù)架構(gòu)，支持集中式部署和兩地三中心部署，具備彈性伸縮能力，可根據(jù)需求增加硬件配置和計算能力，確保了出色的靈活性和性能保障。

7. 從AD切換到國產(chǎn)域管，除軟件費用外，企業(yè)在硬件投入、運維人力上需要增加預(yù)算嗎？

恰恰相反，我們的方案能大幅降低企業(yè)的運維成本。許多企業(yè)在不同區(qū)域（如南方電網(wǎng)在云南、廣東）分別部署多套域控，同時又采購統(tǒng)信或麒麟的域控，這導(dǎo)致運維人員需要維護多套獨立的域控平臺，無論從管理人力還是硬件投入上都成本高昂。而聯(lián)軟XCAD能夠同時納管微軟、統(tǒng)信、麒麟，企業(yè)只需維護一套系統(tǒng)。這意味著賬號運維成本大幅降低，賬號創(chuàng)建、修改、密碼重置等全生命周期管理都只需在一個平臺上完成，極大地提升了效率，降低了運維負擔。

8. 聯(lián)軟XCAD擴展的中國域控方案已經(jīng)在各行各業(yè)有了落地案例，請簡介紹下我們的落地案例，我們是如何打動客戶的或幫助客戶解決了什么問題、達成了什么效果？

目前我們已在國央企領(lǐng)域積累了豐富的成功案例，包括國核設(shè)計院、南方電網(wǎng)、寧波鋼鐵等。

以南方電網(wǎng)為例，其擁有近70萬臺終端（40萬臺Windows，25萬臺統(tǒng)信），每個省份都有自己的域控。他們面臨的核心痛點是絕對不能安裝客戶端，因為如此龐大的終端數(shù)量，安裝客戶端的工作量巨大且周期漫長，還會因終端操作系統(tǒng)版本和生態(tài)應(yīng)用帶來復(fù)雜的兼容性問題。我們的產(chǎn)品完美匹配了他們納管多種操作系統(tǒng)終端的需求。通過部署聯(lián)軟信創(chuàng)AD，無需創(chuàng)建任何新賬號，員工無論是使用微軟PC還是統(tǒng)信、麒麟PC，都能直接沿用原有賬號登錄，完全無感。實施工作量極小，員工體驗沒有任何改變，這讓他們印象深刻。

另一個案例是寧波鋼鐵的弱密碼治理問題。他們領(lǐng)導(dǎo)要求治理弱密碼已持續(xù)一兩年，但仍未解決。原因在于微軟AD的密碼策略無法自定義，無法識別并強制修改“123@com”這類表面合規(guī)實則脆弱的密碼。聯(lián)軟XCAD允許客戶自定義弱密碼規(guī)則，并將其納入密碼庫進行檢測和治理。此外，我們支持統(tǒng)一強制員工在規(guī)定時間內(nèi)修改密碼，若不修改則密碼失效。更重要的是，我們提供了便捷的自助密碼修改頁面，員工可通過手機或電腦，點擊鏈接即可隨時隨地修改密碼，極大地方便了用戶，同時也打通了企業(yè)門戶和應(yīng)用系統(tǒng)，實現(xiàn)了密碼的統(tǒng)一管理。

9. 您認為未來3年信創(chuàng)AD市場趨勢有何變化？

我認為未來三年，整個數(shù)字化時代將走向“大一統(tǒng)”。過去，IAM（身份與訪問管理）統(tǒng)一的是應(yīng)用賬號和登錄，而域控管理的是操作系統(tǒng)賬號和登錄。未來，這兩者必將合二為一，一個賬號既能登錄操作系統(tǒng)，也能登錄各種應(yīng)用，這將大大提升企業(yè)效率。這種“大一統(tǒng)”不僅包括電腦和應(yīng)用登錄，還將涵蓋網(wǎng)絡(luò)的準入認證。所以，未來XIAM（擴展身份與訪問管理）將全面統(tǒng)一操作系統(tǒng)、網(wǎng)絡(luò)準入、應(yīng)用賬號、認證，乃至權(quán)限授權(quán)，實現(xiàn)全網(wǎng)統(tǒng)一的身份管理。

可以說，在央國企信創(chuàng)改造進程中，AD系統(tǒng)的國產(chǎn)化替代工作所面臨著生態(tài)兼容性、海量用戶數(shù)據(jù)與權(quán)限體系的遷移復(fù)雜性以及高度定制化的企業(yè)級需求三大核心挑戰(zhàn)。

聯(lián)軟XCAD擴展的中國域控方案，能憑借其無客戶端、協(xié)議層智能轉(zhuǎn)換、靈活自定義弱密碼策略以及對微軟AD生態(tài)的全面平滑繼承能力，徹底解決這些難題。它不僅能夠幫助企業(yè)實現(xiàn)IT架構(gòu)的平穩(wěn)過渡和業(yè)務(wù)連續(xù)性保障，更在成本節(jié)約和運維效率提升方面展現(xiàn)出顯著優(yōu)勢。未來，隨著XIAM理念的逐步落地，聯(lián)軟科技將踔厲奮進、持續(xù)創(chuàng)新，為中國企業(yè)的數(shù)字化轉(zhuǎn)型和國產(chǎn)化推進貢獻更大力量。