微软AD域控正在被加速替换：国央企信创改造的Identity底座重构指南

先说一个正在发生的事实

某央企2024年完成了信创终端占比超60%的改造，麒麟、统信操作系统跑满了办公区。但信息安全部门最近焦头烂额——信创终端入域还是个老大难问题。微软AD不认识国产操作系统，认证协议不兼容，GPO策略无法下发，账号体系成了两套平行世界。

这不是个案。

据行业统计，全球约91%的企业以微软Active Directory（AD）域控作为身份管理与资源管控的核心。在国内，这个数字在国央企中更高——AD域几乎等于“企业IT身份底座”的代名词。

而2025年起，随着国资委“2+8+N”信创体系加速落地，AD域替换已经从“要不要做”的讨论变成了“怎么做、何时完成”的执行题。

这篇文章系统梳理：

1. 微软AD域控究竟解决了什么问题
2. 国产替代方案能替代到什么程度
3. 两条主流替换路径的优劣对比
4. 落地过程中最容易踩的坑

一、微软AD域控：它到底做了什么？

很多人用AD很多年，但未必系统梳理过它到底在管什么。AD域不是“一个用户管理工具”，它是一个多层次的身份与访问控制平台。

1.1 身份认证与单点登录（SSO）

AD最核心的价值。员工入职后IT管理员创建一个账号，这个账号可以：

• 登录Windows电脑（加域）
• 访问文件共享服务器（\fileserver）
• 登录ERP、OA、邮件系统（通过SSO）
• VPN远程接入

所有这些操作只验一次密码，背后是Kerberos/NTLM认证协议在支撑。

没有AD的企业，员工每个系统一个账号，密码管理成本极高，撞库、弱密码风险成倍放大。

1.2 目录服务：用户、计算机、组的统一数据库

AD本质是一个基于LDAP协议的可扩展目录服务，以树状结构存储：

IT管理员通过组织单元（OU）对不同部门实施差异化策略，通过组策略对象（GPO）批量配置终端安全策略——这是AD区别于普通用户管理系统的关键能力。

1.3 组策略（GPO）：批量终端管控的核心

GPO是AD最强大的功能之一，也是替换方案最难复刻的部分。IT管理员可以通过GPO：

• 安全策略：强制密码复杂度、账户锁定策略
• 软件部署：自动给员工电脑安装/卸载软件
• 安全配置：禁用USB存储、关闭自动播放、配置防火墙规则
• 桌面标准化：统一桌面壁纸、屏保设置、启动菜单
• 脚本执行：用户登录/注销时自动运行脚本

一次配置，自动推送到成百上千台终端——这是AD在大型企业中无可替代的根本原因。

1.4 资源访问控制（ACL）

AD与NTFS权限体系深度集成：

• 员工访问共享文件夹，AD验证身份
• 文件服务器根据用户所属组判断权限
• IT可以审计“谁在什么时间访问了什么”

1.5 DNS集成

AD Domain Controller同时扮演DNS服务器角色，存储域内所有计算机的A记录、SRV记录（用于域控制器定位、LDAP服务发现），是整个微软生态的“神经系统”。

二、为什么国央企必须考虑替换AD？

2.1 信创政策的硬约束

这是最直接的驱动力。

国资委要求党政、金融、能源、电信等关键行业在2027年前完成核心系统的信创替代。AD域作为“数字身份底座”，如果继续跑在Windows Server上，整个信创改造的逻辑就不完整——操作系统换了，身份管理还捏在微软手里，等于换汤不换药。

很多项目在招标阶段就已经把“支持国产目录服务”列为必须满足的准入条件。

2.2 数据合规与安全审查

AD域控的域管理员账户、密码策略、审计日志是安全等保测评的核心检查项。数据存储在境外部署的Microsoft 365/Azure AD上，往往需要额外论证。国产替代方案在数据主权和合规审计层面天然更受青睐。

2.3 成本因素

微软AD不是免费午餐：

• Windows Server许可证费用
• Active Directory联合服务（ADFS）的授权
• 高可用部署（至少两台域控制器）
• 持续运维与安全更新的人力成本

对于多地分支、万人规模的企业，这笔账相当可观。

2.4 现实困境：信创终端无法入域

这是目前最普遍的痛点。微软AD只能识别Windows计算机账户，麒麟、统信UOS等国产操作系统无法加域认证。企业被迫形成两套身份管理体系——Windows用户走AD域控，信创终端走本地账号或者单独的管控系统。

两套体系并行意味着：

• IT运维复杂度翻倍
• 账号生命周期管理无法统一
• 安全策略无法一致执行
• 员工体验割裂

三、国产替代方案核心能力对比

经过2024—2025年的大量项目落地验证，目前市场上主流方案可分为两类：以宁盾为代表的国产身份域管和以联软XCAD为代表的扩展AD兼容方案。

3.1 宁盾国产化身份域管（NDS）

定位：以迁移替换微软AD、IBM TDS为目标的原生国产方案。

核心能力：

• 高度兼容AD/TDS原有的目录结构，支持平滑无缝迁移
• 支持Windows、Linux、麒麟Kylin、统信UOS等多种终端统一加域管理
• 基于标准LDAP服务自主研发，具有自主知识产权
• 支持国密算法存储密码，满足合规要求
• 与原有AD协议兼容，应用无需改造

优势：

• 原生支持信创终端，身份管理一步到位
• 迁移过程用户无感知，管理员操作习惯延续
• 支持等保2.0三级认证

适用场景：金融、央国企、军工等强合规要求的信创改造项目。

3.2 联软安域XCAD域控方案

定位：在保留微软AD协议兼容性的同时，实现平滑替换。

核心能力：

• 底层适配所有微软AD协议（Kerberos、LDAP、NTLM等）
• 通过身份安全网关进行协议转换与安全保障
• 支持终端加域认证、组策略（GPO）下发、LDAP查询的完整替代
• 全终端兼容：Windows、麒麟、统信、云桌面
• 三层架构设计保障高可用

优势：

• 对已有AD应用生态的系统改造量最小
• GPO策略替代较为完整，过渡平滑
• 支持信创云桌面场景，是差异化亮点
• 密码体系迁移支持国密

适用场景：已有大量基于AD认证的成熟应用系统，改造窗口期短，不希望大规模重构应用的场景。

3.3 能力映射对比

注：GPO替代是行业共同的技术难点，目前两个方案均无法100%复刻AD全部GPO能力，部分复杂策略需配合MDM/终端管理工具补充。

四、两条替换路径：渐进式 vs 一步到位

路径一：渐进式（推荐多数企业）

核心理念：不一次性推翻AD，而是在保留AD的基础上并行部署国产域管，逐步将身份认证切换过来。

典型步骤：

1. 部署国产域控，与现有AD建立信任关系
2. 新增信创终端先接入国产域控
3. 新建应用系统优先对接国产域控LDAP
4. 逐步将Windows终端从AD迁出
5. 最终下线AD域控

优点：

• 风险可控，不影响现有业务
• 员工无感知，变更管理压力小
• 问题可以分阶段暴露和解决

缺点：

• 双域并行期间运维复杂度高
• 总替换周期长（通常12—24个月）

路径二：一步到位（新部署场景推荐）

核心理念：在新建系统或全面信创改造项目中，直接以国产域控作为身份底座，不再部署微软AD。

典型步骤：

1. 新建环境直接部署国产域控
2. 应用系统建设阶段就对接国产LDAP
3. 终端全部入国产域
4. 数据迁移与合规论证并行

优点：

• 架构清晰，无历史包袱
• 建设周期短，节省双轨运维成本

缺点：

• 对现有应用改造工作量大
• 切换窗口风险集中

五、落地过程中的高频踩坑

基于多个实际改造项目，总结以下高发问题：

5.1 应用认证对接比预想的复杂

很多业务系统（OA、ERP、票务系统）在开发时hardcode了AD认证逻辑，切换时需要逐个应用修改配置。建议在项目规划阶段就做一次完整的应用认证审计，评估改造工作量。

5.2 GPO策略迁移有缺口

AD的GPO是规则引擎，国产方案通常只能覆盖80%的常用策略（密码策略、壁纸、禁用USB等），剩余20%的精细化策略需要通过终端安全管理产品（如某厂商的EDP）来兜底。这一点必须在方案选型阶段与厂商明确。

5.3 密码迁移的安全问题

迁移过程中用户名和密码的映射关系需要安全处理。联软XCAD采用密码密文迁移技术，宁盾则通过对接AD账号体系实现无缝切换，两种方式都需要在测试环境充分验证。

5.4 过渡期的双账号管理

在迁移窗口期，员工的AD账号和国产域账号需要并行一段。如果两个密码策略不一致（如AD要求12位、国产域要求8位），会带来用户体验问题和安全风险。建议统一密码策略，并提前告知员工账号切换计划。

六、结语：替换不是目的，掌控才是

AD域替换的本质不是“把微软的东西换成国产的”，而是在信创大背景下，重新掌握企业数字身份管理的主动权。

选型时有一个关键判断标准：这个方案，能不能让我在不修改现有应用的情况下平滑切换？ 能做到的，落地难度至少降一半。

对于已经上了规模的企业（万人以上、多地分支），建议从试点部门开始渐进替换，同时把应用认证对接这个“隐藏工程量”提前摸清楚。替换过程中的经验，往往比替换结果本身更有价值。

参考资料：联软科技XCAD域控方案白皮书（2025）、宁盾信创身份域管产品文档（2025）、Microsoft Learn AD域官方文档（2026.04）、国资委信创工作相关政策文件。文中方案能力对比基于公开资料整理，具体项目请以各厂商最新产品说明为准。