隨著國(guó)資委79號(hào)文的明確要求，中央企業(yè)正緊鑼密鼓地推進(jìn)信創(chuàng)替代工作，力爭(zhēng)在2027年前實(shí)現(xiàn)100%的國(guó)產(chǎn)化目標(biāo)。在這場(chǎng)深刻的數(shù)字化轉(zhuǎn)型浪潮中，大型央企國(guó)企普遍面臨著Windows與國(guó)產(chǎn)操作系統(tǒng)（如統(tǒng)信UOS、麒麟OS）并存的復(fù)雜過(guò)渡環(huán)境。身份管理碎片化、高昂的遷移成本以及傳統(tǒng)Windows AD與國(guó)產(chǎn)OS協(xié)議兼容性不足等痛點(diǎn)，成為擺在企業(yè)面前的巨大挑戰(zhàn)。

聯(lián)軟科技于2025年9月3日14:00，成功舉辦“聯(lián)軟UniXCAD擴(kuò)展的中國(guó)AD域控解決方案”線上直播活動(dòng)。本次活動(dòng)特邀聯(lián)軟XCAD產(chǎn)品負(fù)責(zé)人陳楊先生，為廣大與會(huì)者深入剖析行業(yè)現(xiàn)狀，并詳細(xì)解讀聯(lián)軟XCAD方案如何以技術(shù)創(chuàng)新賦能企業(yè)，實(shí)現(xiàn)AD系統(tǒng)的平滑、高效、安全替換。

Q&A

1. 國(guó)資委要求2027年前完成AD國(guó)產(chǎn)化替換，目前各行業(yè)已進(jìn)入改造加速期，當(dāng)下哪些行業(yè)的改造進(jìn)度明顯領(lǐng)先？

國(guó)產(chǎn)化替代主要聚焦于“2+8+N”領(lǐng)域。其中，“2”指的是黨政兩大關(guān)鍵領(lǐng)域，“8”涵蓋金融、電力、電信、石油、交通、教育、醫(yī)療、航空航天等八大關(guān)鍵行業(yè)，而“N”則代表其他各行各業(yè)。目前來(lái)看，國(guó)央企的改造進(jìn)度最為領(lǐng)先，緊隨其后的是金融行業(yè)，特別是銀行、證券、基金等機(jī)構(gòu)，其國(guó)產(chǎn)化改造工作已走在前列。

2. 替換微軟AD這一過(guò)程中，企業(yè)面臨著哪些困難？

最大的困難主要集中在生態(tài)兼容和共存問(wèn)題上。微軟AD在中國(guó)市場(chǎng)深耕二十余載，建立起一個(gè)龐大而緊密的生態(tài)系統(tǒng)。因此，替換微軟AD不僅要考慮自身系統(tǒng)的平替，更要確保與原有生態(tài)的良好對(duì)接。在切換過(guò)程中，與微軟生態(tài)的平滑共存期至關(guān)重要，這才能保證替換過(guò)程的順暢與無(wú)感。

3. 簡(jiǎn)單介紹下聯(lián)軟XCAD擴(kuò)展的中國(guó)域控方案，是如何解決這些痛點(diǎn)？是否能夠完全替代微軟AD的功能？微軟AD用了幾十年，聯(lián)軟XCAD擴(kuò)展的中國(guó)域控方案能兼容得了微軟曾經(jīng)的生態(tài)嗎？例如解決與現(xiàn)有操作系統(tǒng)、辦公軟件及業(yè)務(wù)系統(tǒng)的適配問(wèn)題？

聯(lián)軟XCAD在研發(fā)之初，便以微軟AD域控對(duì)標(biāo)，核心思路就是要實(shí)現(xiàn)微軟AD的“平替”。這意味著，首先要做到對(duì)現(xiàn)有Windows PC的平滑接管；其次，在國(guó)產(chǎn)化替代后，要確保統(tǒng)信、麒麟等國(guó)產(chǎn)操作系統(tǒng)的終端也能無(wú)縫融入管理體系。所以，我們的方案能夠完全平替微軟AD，在與Windows AD共存的階段，逐步將企業(yè)新采購(gòu)的國(guó)產(chǎn)PC終端納入管理。在此基礎(chǔ)上，我們還能全面接管包括Exchange郵箱等微軟生態(tài)應(yīng)用，這些應(yīng)用通常通過(guò)LDAP協(xié)議請(qǐng)求微軟AD域的認(rèn)證。我們的方案能夠?qū)崿F(xiàn)這些應(yīng)用的平滑接入，確保員工登錄操作系統(tǒng)和使用各類(lèi)應(yīng)用時(shí)完全無(wú)感知，這是我們方案最大的特點(diǎn)。

4. 有一些客戶采用的方案存在客戶端裝到崩潰？或者弱口令被通報(bào)的情況？聯(lián)軟XCAD擴(kuò)展的中國(guó)域控方案是如何解決的？

關(guān)于客戶端導(dǎo)致系統(tǒng)崩潰的問(wèn)題，我們的方案正好相反。聯(lián)軟XCAD采用無(wú)客戶端的指導(dǎo)方案，直接在協(xié)議層介入，將操作系統(tǒng)視為原生客戶端。這意味著無(wú)需在每臺(tái)電腦上安裝獨(dú)立的客戶端，從而規(guī)避了因客戶端與不同操作系統(tǒng)版本、生態(tài)應(yīng)用之間的兼容性問(wèn)題。

針對(duì)弱口令問(wèn)題，我們深知這是國(guó)央企面臨的普遍挑戰(zhàn)。例如，我們?cè)菰L的寧波鋼鐵就急需治理弱密碼。微軟AD的組策略在定義弱密碼方面存在局限性，例如“123@COM”這種符合多種格式的密碼，在微軟AD看來(lái)是強(qiáng)密碼，但在當(dāng)前數(shù)字化環(huán)境下極易被破解。聯(lián)軟XCAD產(chǎn)品可以自定義弱密碼策略，能夠精準(zhǔn)檢測(cè)并強(qiáng)制要求用戶修改。這遠(yuǎn)超微軟AD組策略的能力。

5. 企業(yè)最擔(dān)憂AD數(shù)據(jù)遷移中的賬號(hào)丟失和權(quán)限錯(cuò)配，聯(lián)軟方案如何保證千萬(wàn)級(jí)用戶的平滑替換？

賬號(hào)丟失和權(quán)限錯(cuò)配確實(shí)是當(dāng)前國(guó)產(chǎn)AD廠商普遍存在的弱點(diǎn)。聯(lián)軟XCAD方案正是為了解決這一痛點(diǎn)而生，我們能夠完整繼承微軟AD的域賬號(hào)及其密碼，以及整個(gè)活動(dòng)目錄中的所有權(quán)限配置。無(wú)論是操作系統(tǒng)層面的權(quán)限、組設(shè)置，還是微軟生態(tài)應(yīng)用的權(quán)限，我們都能實(shí)現(xiàn)平滑接管，對(duì)原有系統(tǒng)沒(méi)有任何影響，確保千萬(wàn)級(jí)用戶的無(wú)感替換。

6. 信創(chuàng)AD如何解決國(guó)產(chǎn)操作系統(tǒng)（麒麟/統(tǒng)信）與傳統(tǒng)Windows域控的協(xié)議兼容問(wèn)題？是否存在性能折衷？

我們實(shí)現(xiàn)無(wú)感兼容的關(guān)鍵在于產(chǎn)品架構(gòu)中增加了一個(gè)“智能網(wǎng)關(guān)”。這個(gè)智能網(wǎng)關(guān)的核心能力就是進(jìn)行協(xié)議轉(zhuǎn)換。它能夠以不同操作系統(tǒng)所熟悉的協(xié)議進(jìn)行通信，例如，面對(duì)微軟AD認(rèn)證時(shí)使用Kerberos協(xié)議，而面對(duì)統(tǒng)信和麒麟操作系統(tǒng)登錄認(rèn)證時(shí)則使用它們各自的協(xié)議。就像一個(gè)精通多種語(yǔ)言的翻譯官，確保了各種系統(tǒng)間的順暢溝通。

在性能方面，微軟AD經(jīng)過(guò)二十年的發(fā)展，生態(tài)和性能已非常成熟。我們經(jīng)過(guò)嚴(yán)格測(cè)試，一臺(tái)微軟AD支持7000臺(tái)PC的規(guī)模，聯(lián)軟XCAD基本也能做到1:1的替換，性能已接近微軟AD。此外，我們采用微服務(wù)架構(gòu)，支持集中式部署和兩地三中心部署，具備彈性伸縮能力，可根據(jù)需求增加硬件配置和計(jì)算能力，確保了出色的靈活性和性能保障。

7. 從AD切換到國(guó)產(chǎn)域管，除軟件費(fèi)用外，企業(yè)在硬件投入、運(yùn)維人力上需要增加預(yù)算嗎？

恰恰相反，我們的方案能大幅降低企業(yè)的運(yùn)維成本。許多企業(yè)在不同區(qū)域（如南方電網(wǎng)在云南、廣東）分別部署多套域控，同時(shí)又采購(gòu)統(tǒng)信或麒麟的域控，這導(dǎo)致運(yùn)維人員需要維護(hù)多套獨(dú)立的域控平臺(tái)，無(wú)論從管理人力還是硬件投入上都成本高昂。而聯(lián)軟XCAD能夠同時(shí)納管微軟、統(tǒng)信、麒麟，企業(yè)只需維護(hù)一套系統(tǒng)。這意味著賬號(hào)運(yùn)維成本大幅降低，賬號(hào)創(chuàng)建、修改、密碼重置等全生命周期管理都只需在一個(gè)平臺(tái)上完成，極大地提升了效率，降低了運(yùn)維負(fù)擔(dān)。

8. 聯(lián)軟XCAD擴(kuò)展的中國(guó)域控方案已經(jīng)在各行各業(yè)有了落地案例，請(qǐng)簡(jiǎn)介紹下我們的落地案例，我們是如何打動(dòng)客戶的或幫助客戶解決了什么問(wèn)題、達(dá)成了什么效果？

目前我們已在國(guó)央企領(lǐng)域積累了豐富的成功案例，包括國(guó)核設(shè)計(jì)院、南方電網(wǎng)、寧波鋼鐵等。

以南方電網(wǎng)為例，其擁有近70萬(wàn)臺(tái)終端（40萬(wàn)臺(tái)Windows，25萬(wàn)臺(tái)統(tǒng)信），每個(gè)省份都有自己的域控。他們面臨的核心痛點(diǎn)是絕對(duì)不能安裝客戶端，因?yàn)槿绱她嫶蟮慕K端數(shù)量，安裝客戶端的工作量巨大且周期漫長(zhǎng)，還會(huì)因終端操作系統(tǒng)版本和生態(tài)應(yīng)用帶來(lái)復(fù)雜的兼容性問(wèn)題。我們的產(chǎn)品完美匹配了他們納管多種操作系統(tǒng)終端的需求。通過(guò)部署聯(lián)軟信創(chuàng)AD，無(wú)需創(chuàng)建任何新賬號(hào)，員工無(wú)論是使用微軟PC還是統(tǒng)信、麒麟PC，都能直接沿用原有賬號(hào)登錄，完全無(wú)感。實(shí)施工作量極小，員工體驗(yàn)沒(méi)有任何改變，這讓他們印象深刻。

另一個(gè)案例是寧波鋼鐵的弱密碼治理問(wèn)題。他們領(lǐng)導(dǎo)要求治理弱密碼已持續(xù)一兩年，但仍未解決。原因在于微軟AD的密碼策略無(wú)法自定義，無(wú)法識(shí)別并強(qiáng)制修改“123@com”這類(lèi)表面合規(guī)實(shí)則脆弱的密碼。聯(lián)軟XCAD允許客戶自定義弱密碼規(guī)則，并將其納入密碼庫(kù)進(jìn)行檢測(cè)和治理。此外，我們支持統(tǒng)一強(qiáng)制員工在規(guī)定時(shí)間內(nèi)修改密碼，若不修改則密碼失效。更重要的是，我們提供了便捷的自助密碼修改頁(yè)面，員工可通過(guò)手機(jī)或電腦，點(diǎn)擊鏈接即可隨時(shí)隨地修改密碼，極大地方便了用戶，同時(shí)也打通了企業(yè)門(mén)戶和應(yīng)用系統(tǒng)，實(shí)現(xiàn)了密碼的統(tǒng)一管理。

9. 您認(rèn)為未來(lái)3年信創(chuàng)AD市場(chǎng)趨勢(shì)有何變化？

我認(rèn)為未來(lái)三年，整個(gè)數(shù)字化時(shí)代將走向“大一統(tǒng)”。過(guò)去，IAM（身份與訪問(wèn)管理）統(tǒng)一的是應(yīng)用賬號(hào)和登錄，而域控管理的是操作系統(tǒng)賬號(hào)和登錄。未來(lái)，這兩者必將合二為一，一個(gè)賬號(hào)既能登錄操作系統(tǒng)，也能登錄各種應(yīng)用，這將大大提升企業(yè)效率。這種“大一統(tǒng)”不僅包括電腦和應(yīng)用登錄，還將涵蓋網(wǎng)絡(luò)的準(zhǔn)入認(rèn)證。所以，未來(lái)XIAM（擴(kuò)展身份與訪問(wèn)管理）將全面統(tǒng)一操作系統(tǒng)、網(wǎng)絡(luò)準(zhǔn)入、應(yīng)用賬號(hào)、認(rèn)證，乃至權(quán)限授權(quán)，實(shí)現(xiàn)全網(wǎng)統(tǒng)一的身份管理。

可以說(shuō)，在央國(guó)企信創(chuàng)改造進(jìn)程中，AD系統(tǒng)的國(guó)產(chǎn)化替代工作所面臨著生態(tài)兼容性、海量用戶數(shù)據(jù)與權(quán)限體系的遷移復(fù)雜性以及高度定制化的企業(yè)級(jí)需求三大核心挑戰(zhàn)。

聯(lián)軟XCAD擴(kuò)展的中國(guó)域控方案，能憑借其無(wú)客戶端、協(xié)議層智能轉(zhuǎn)換、靈活自定義弱密碼策略以及對(duì)微軟AD生態(tài)的全面平滑繼承能力，徹底解決這些難題。它不僅能夠幫助企業(yè)實(shí)現(xiàn)IT架構(gòu)的平穩(wěn)過(guò)渡和業(yè)務(wù)連續(xù)性保障，更在成本節(jié)約和運(yùn)維效率提升方面展現(xiàn)出顯著優(yōu)勢(shì)。未來(lái)，隨著XIAM理念的逐步落地，聯(lián)軟科技將踔厲奮進(jìn)、持續(xù)創(chuàng)新，為中國(guó)企業(yè)的數(shù)字化轉(zhuǎn)型和國(guó)產(chǎn)化推進(jìn)貢獻(xiàn)更大力量。