国家电投下属单位借助宁盾逐步替换AD域，统一管理异构终端|ad|国家电力投资集团|国家电投|宁盾|异构终端|服务器|运维

在数字化转型深化与国产化替代加速的双重驱动下，企业身份基础设施调整面临多重核心挑战：如何保障账号数据的一致性、如何保障跨操作系统的兼容性、如何降低复杂业务场景的迁移门槛、如何规避迁移导致的业务中断……在众多解决方案面前，如何选择满足企业严苛需求的方案成为关键。近期，宁盾为国家电投下属单位打造的 Windows AD 信创替代方案，为面临相似挑战的企业提供了借鉴。

在信创浪潮中寻求业务稳定与安全

国家电投集团下属某单位在推进信创改造时，其 IT 架构不可避免地走向“混合异构”：既有的 Windows PC 及服务器、网络设备仍在稳定使用，后采购的麒麟、统信操作系统终端、网盘等则承载着自主可控的需求。随着 Windows 逐步换成信创操作系统，业务连续性和异构 IT 资产的数字化管理问题亟待规划。然而，设计方案时，一系列管理和安全问题接踵而至：

内外网用户统一并各自审计

业务系统分散于内外网，Windows AD 则部署于内网。业务系统如果使用 AD 信息，需要网闸频繁放行，安全风险较高，基本等同于将内网 AD 完全暴露在外网网闸。不少业务系统、终端等场景因网闸问题只能本地维护账号，无法实现真正的用户身份统一管理。

全平台访问安全性如何保障

涉及到业务系统对接的端口越多，网闸需要开放的端口也越多。此外，AD固有的高危漏洞、黄金票据提权风险、LDAP服务权限不够精细等问题在信创方案里如何避免，以保障全平台访问的安全性？

异构生态体系兼容性问题

从以 Windows 为中心的业务生态演变为 Windows、麒麟、统信、LDAP应用、非LDAP应用等混合异构生态，对信创身份域控系统的兼容性要求更为严苛。

用户体验和运维效率难兼顾

Windows AD 以 IT 运维管理为主，用户修改或重置密码需 IT 协助或借助第三方工具。IT人员的响应速度不仅影响用户的办公体验，也影响到个人绩效。

宁盾身份域管，全栈适配的身份管理底座与AD域并行，全面接管信创IT资产

在 Windows AD 信创替代场景，宁盾一直强调“先兼容、再并行、后替代”原则，确保与 Windows AD 域并行时，两套域控系统逻辑上相互独立，使用上一致。在该项目中，宁盾方案主要应用场景如下：

1. 搭建信创统一账号管理平台：将AD上的组织架构和用户账号数据同步至宁盾域管，并支持写回 AD，保证信创与非信创环境身份一致性。同时对账号进行安全管理，如设置账号权限、有效期、密码复杂度、密码有效期等。另外，接管本地服务器账号，统一在宁盾域管平台进行维护。

2. 接管异构信创终端登录认证：对麒麟、统信和老旧 WinServer 进行加域（宁盾域）管理，如分配可登录终端的账号与权限（管理员/普通用户）及其他组策略。

3. 支撑异构终端网络准入认证：对接国产AC设备，用户使用宁盾域账号密码进行入网身份验证、授权与审计。

4. 业务系统统一账号及权限管理：宁盾域管提供标准LDAPS接入服务，字段属性兼容性和AD完全一致，VPN、堡垒机、网盘、准入等应用/设备可以无缝迁入宁盾系统。

5. 接管网络设备统一账号管理：新采购和既有网络设备通过RADIUS、TACACS+协议与宁盾进行统一账号管理和AAA集成。

灵活性更强，打造更好用的国产域控

面对跨生态、跨网络、跨平台在安全性、兼容性和使用体验方面的多重挑战，宁盾给出针对性的解决方案，为企业信创转型提供有力的身份基础设施保障。

内外网各部署宁盾域管，保持用户统一

内、外网各部署2套宁盾身份域管，互为主备。仅开放外网宁盾域管至内网宁盾域管的固定端口，全程使用 SSL 加密，确保内外网之间的安全可控，以及宁盾身份域管服务的稳定性与高可用性，实现内外网用户身份统一、各自审计。

全平台SSL加密，全链路安全防护设计

按照集团要求，不可出现明文数据在内网与外网间传输。因此，宁盾使用自签发 CA 证书机构，对全平台全协议进行 SSL 加密，确保数据传输安全。

针对 Windows AD 常见安全漏洞，构建了全链路的安全防护设计：

① 协议与架构重构：摒弃了存在已知漏洞的 Samba 组件和 Kerberos 协议，转而基于 PKI 证书体系构建终端登录鉴权机制，从源头规避了远程代码执行、黄金票据提权等风险。

② 精细化权限管控：对 LDAP 服务权限进行最小化限制，默认禁用普通用户的数据同步权限，并可基于应用、IP源限制数据输出范围，有效防止组织架构等敏感信息泄露。

多场景多业务兼容，全栈适配Win与信创

宁盾身份域管在兼容性上更加完善，能承载历史 WinServer，未来 Windows AD 完整下线后，能够全面应对 WinServer 有重要第三方业务的情况。

用户自助便利，优化使用和运维体验

提供用户自服务平台，当用户忘记密码时，在浏览器里输入简短的域名即可跳转到自助改密页面，用户自行解锁、改密等。减少 IT 运维工作量，双向提升用户办公体验和运维管理体验。

成果与价值：稳定、高效、可靠的信创身份基础设施

据客户反馈，随着宁盾身份域管平台的稳定运行，信创 IT 资产已从“各自为营”变成“统一管理”，带来的价值清晰可见：

运维效率显著提升：内外网所有终端、设备、网络、应用系统的账号得到统一管理，借助宁盾域管完成账号生命周期管理自动化，运维工作量大幅减少，实现信创 IT 资产数字化管理从 0 到 1 的飞跃；
安全防护全面升级：内外网之间开放单一固定端口且全平台采用 SSL 加密，摒弃了 AD 固有的安全漏洞，筑牢信创身份域控防护体系，为信创转型提供坚实安全支撑；
业务稳定得到保障：多场景多业务兼容，不影响现网 AD 正常运行，便捷的逐步迁移手段使项目风险可控，最大程度保障了业务连续性；
用户体验更为便利：一个简便的自服务页面不仅能让员工便捷处理自身账号相关事务，还能极大减轻 IT 运维人员的工作压力，使他们能够将更多精力投入到企业核心业务的技术支持和创新工作中，双方的办公效率和满意度均直线上升，用户体验完美闭环；
服务及时响应高效：使用 AD 时遇到棘手问题，响应不及时且缺乏专业支持。而宁盾服务及时、响应快速，一对一帮助客户解决如新版信创数据库快速适配等问题，获客户称赞。