我们使用 Active Directory 作为 Web 应用程序的用户存储。我们所有的用户信息,例如名字、姓氏、电子邮件、电话、公司等,都存储在用户记录中。
现在我们需要存储更多信息,除了这些字段之外,模式中没有我们可以使用的预先存在的字段。我们需要的字段是安全问题和安全问题答案。
我认为我们应该扩展 Active Directory 架构以包含这些字段,从而将所有用户信息保存在单个数据存储中。然而,我们的 IT 部门认为 Active Directory 永远不应该扩展,因为他们认为这太危险了,而且 Active Directory 不应该这样使用。
谁是对的?确定哪些类型的属性可以添加到架构中的原理是什么?
Th
AD 模式是为了扩展。 临时 AD 管理员一直害怕扩展架构,特别是因为后面通常会出现“永久”一词。 但事实是ldap中的peramanent确实没有任何意义。 如果新的模式属性或对象从未被使用,那么不会对目录产生不利的性能影响,除非您无法忍受查看未使用的模式的想法。 永久架构的唯一风险是它与现有或未来的架构冲突,这种情况很少见,特别是如果您使用独特的命名,例如“JohnsCompanySecurityAttribute1”等。我在一家医院工作了 9 年,扩展架构是很常见的事情,并且是其中的一部分AD 或 ADAM 的值。 如果您的 IT 人员仍然不相信,他们可以在架构扩展期间暂时使几个 DC 脱机。 这里是一些与在敏感的临床环境中大量使用 AD/AM 相关的无耻自我推销。
Active Directory 最初的架构支持非常糟糕。 也就是说,您无法删除某些内容,也无法对架构进行太多更改。
在更高版本(2008 R2)中,您可以使用架构执行更多操作。 使用其他目录服务的人不会有这种非理性的恐惧。
请考虑在存储数据时对数据进行加密。