1、聯(lián)軟安域XCAD是如何保障域賬號(hào)的密碼安全

回答：密碼都是加密存儲(chǔ)，支持多種加密算法，包括國(guó)密。

微軟本身存儲(chǔ)密碼時(shí)是密文的，我們使用了自己的技術(shù)手段，使密碼體系遷移到我們的平臺(tái)后原有的存儲(chǔ)格式不變，從而能保持原有的認(rèn)證方式。如果遷移過(guò)來(lái)后，用戶側(cè)對(duì)于密碼有變化等我們就可以變更他的存儲(chǔ)加密方式了，例如有國(guó)密的需求，在變更后密碼的加密方式也可以變?yōu)閲?guó)密。

2、微軟AD支持打印機(jī)統(tǒng)一管理，聯(lián)軟AD域是否支持打印機(jī)等啞終端的統(tǒng)一管理？

回答：支持。

聯(lián)軟安域XCAD具備統(tǒng)一外設(shè)管理能力，相關(guān)策略通過(guò)組策略安全管理實(shí)現(xiàn)。

AD域控服務(wù)器添加打印機(jī)，然后將其共享出去，這樣加域的電腦都可以使用這個(gè)打印機(jī)。AD域的操作流程如下：

①在域控制器上安裝所需的打印機(jī)驅(qū)動(dòng)程序。

②設(shè)置共享打印機(jī)的訪問(wèn)權(quán)限，可以選擇允許特定用戶或用戶組訪問(wèn)，或者選擇“所有用戶”可訪問(wèn)。

③通過(guò)組策略下發(fā)添加共享打印機(jī)。

3、聯(lián)軟安域XCAD是否支持微軟exchange？

回答： 支持，如果現(xiàn)在用戶已經(jīng)部署了AD+exchange郵箱，我們可以替代AD，為exchange郵箱提供認(rèn)證。

4、是否可以實(shí)現(xiàn)鎖屏界面登錄AD賬號(hào)后，點(diǎn)擊瀏覽器訪問(wèn)OA單點(diǎn)登錄？

回答：可以，需要該應(yīng)用進(jìn)行改造，與操作系統(tǒng)域認(rèn)證做對(duì)接，即可實(shí)現(xiàn)免認(rèn)證直接訪問(wèn)應(yīng)用（可以理解為操作系統(tǒng)就是一個(gè)portal，登錄操作系統(tǒng)的時(shí)候相當(dāng)于完成了統(tǒng)一的認(rèn)證）。如果是統(tǒng)信、麒麟的PC，則同樣需要基于操作系統(tǒng)域認(rèn)證進(jìn)行登錄。同一個(gè)應(yīng)用，做一次改造，就可以實(shí)現(xiàn)多種操作系統(tǒng)（windows、統(tǒng)信、麒麟等）域認(rèn)證的對(duì)接（協(xié)議是標(biāo)準(zhǔn)的，比如kerberos）。 

5、聯(lián)軟安域XCAD具有高可用性嗎？

①如果全部把微軟AD用戶數(shù)據(jù)遷移到聯(lián)軟AD，如何確?？煽啃?？

A1:聯(lián)軟安域XCAD是非常成熟的產(chǎn)品，可以兩地三中心的部署模式來(lái)保障高可用性。

②高可用架構(gòu)中，主備相關(guān)能力是數(shù)據(jù)庫(kù)級(jí)別復(fù)制還是應(yīng)用級(jí)別復(fù)制

A2：聯(lián)軟安域XCAD是集群模式，所有數(shù)據(jù)在各個(gè)數(shù)據(jù)中心是共享的，支持同城雙活、多地多中心。數(shù)據(jù)庫(kù)高可用，我們是應(yīng)用級(jí)別復(fù)制。

6、林、域相關(guān)問(wèn)題

①多林多域場(chǎng)景下，就需要多個(gè)信創(chuàng)AD去做配置對(duì)接業(yè)務(wù)系統(tǒng)嗎？

如果是多個(gè)林，就是多套微軟AD，一個(gè)AD只能是一個(gè)林，我們就需要部署多套。

如果是一個(gè)林，多個(gè)域（父域子域），聯(lián)軟安域XCAD只需要部署一套。

②聯(lián)軟安域XCAD支持對(duì)接到微軟域控上哪些林、域級(jí)別？

我們支持2003-2016，推薦2008和2012版本（我們有成熟的測(cè)試環(huán)境）。

目前測(cè)試的現(xiàn)場(chǎng)中，2008和2012的版本比較多。

③聯(lián)軟安域XCAD支是否具備微軟父域、子域相關(guān)概念功能

目前的方案是和用戶的域合并成一個(gè)域。

父域和子域是為了分級(jí)管理，比如總部是父域，分支是子域，分布式部署來(lái)滿足全集團(tuán)的需求，受限于AD的可擴(kuò)展性。父域的策略，子域可以繼承。

聯(lián)軟安域XCAD是集中式管理，每個(gè)分支作為一個(gè)OU，一個(gè)部門(mén)，實(shí)現(xiàn)用戶需求。

我們不做父域子域的概念，如果是父子域，需要做身份治理，統(tǒng)一賬號(hào)，我們支持分級(jí)管理。

如果一定要實(shí)現(xiàn)父子域，也可以做，只不過(guò)成本比較高。

我們目前的方案：集群部署，多地多中心，每個(gè)區(qū)域都有全量數(shù)據(jù)。通過(guò)分級(jí)管理員，例如，我們只允許山東的管理員只能維護(hù)山東的用戶數(shù)據(jù)。

未來(lái)的趨勢(shì)：所有的大型集團(tuán)，未來(lái)認(rèn)證中心都收口到集團(tuán)。

④在多分支部署下，終端PC的認(rèn)證流程節(jié)點(diǎn)拓?fù)湔f(shuō)明

AD自身的設(shè)計(jì)中，通過(guò)父子域的方式解決分布式部署的問(wèn)題，總部-分支的問(wèn)題。如果用聯(lián)軟的AD，就不會(huì)存在這個(gè)問(wèn)題，我們建議通過(guò)集中化部署信創(chuàng)AD集群，做統(tǒng)一認(rèn)證。

7、微軟AD上某些端口為高危端口，聯(lián)軟安域XCAD是否支持自定義高危端口？（如445、135等）

答：支持，可以在聯(lián)軟安域XCAD側(cè)自定義高危端口，但因?yàn)樾薷牡亩丝诮詾闃?biāo)準(zhǔn)協(xié)議的端口，所以在服務(wù)端修改的同時(shí)，加域終端也需要進(jìn)行端口改造，由客戶自行完成端口變更。 

8、微軟AD和DNS服務(wù)器屬于同一套，聯(lián)軟AD域是否也具備DNS功能？

回答：具備，聯(lián)軟安域XCAD包含DNS解析功能。

9、聯(lián)軟安域XCAD對(duì)接客戶業(yè)務(wù)系統(tǒng)的話需要安裝客戶端嗎？需要二開(kāi)嗎？

如果是實(shí)現(xiàn)和原有應(yīng)用系統(tǒng)對(duì)接微軟AD，實(shí)現(xiàn)LDAP認(rèn)證或單點(diǎn)登錄效果，這種不用對(duì)接，不論BS應(yīng)用還是CS應(yīng)用，都不需要安裝客戶端。這種對(duì)接是該應(yīng)用本身就可以對(duì)接微軟AD，我們可以平滑替代AD，不用對(duì)接。

如果要拓展成IAM的項(xiàng)目，那會(huì)涉及到應(yīng)用對(duì)接，比如用OIDC、Oauth2、SAML、CAS等協(xié)議。

10、聯(lián)軟安域XCAD如何做到無(wú)代理的？

答：聯(lián)軟安域XCAD底層適配了所有的微軟AD的協(xié)議，同時(shí)有的身份安全網(wǎng)關(guān)進(jìn)行協(xié)議的轉(zhuǎn)化和安全保障，對(duì)于微軟AD的終端加域認(rèn)證、組策略、LDAP等能力可以實(shí)現(xiàn)無(wú)縫平滑替代，不需要退域加域，對(duì)于終端來(lái)說(shuō)就是加入正常域控，因此可以實(shí)現(xiàn)無(wú)代理。