一文读懂企业用户目录

一文读懂企业用户目录

用户目录是一个数据库，用于管理员工和其他用户，创建用户对 IT 资源的访问并控制访问。用户目录非常类似于保存电话号码、地址、职位等数据的企业目录。事实上，有些企业也会将这些数据存储在用户目录中。然而，这种做法在现代人力资源系统中很少发生。

本文将深入浅出地介绍用户目录的基本概念及运行原理。

1. 什么是用户目录？

为了解释用户目录的基本概念，可以先看一个简单的表格，表格说明了企业人员以及该人员可能需要的资源，如下图所示：

顶部一栏列举了企业的各种 IT 资源，如网络、业务应用、服务器等。最左边一列代表不同用户，用户的每一行中都可以看出该用户需要哪些访问权限。

用户目录就类似上述表格，对用户目录的持续精确管理是企业成功的关键。由于用户的变动，IT 资源的增删，以及日常出现的安全威胁，云目录服务正逐渐成为用户和资源安全管理的重要平台。数据落后的目录可能导致业务中断或某些员工的访问权限过多。在实际操作中，用户目录中每个单元格包含的实质性数据可能更多，比上述二元表格更加复杂。

举例来说，在实际的用户目录中，用户可能具有不同的访问级别。因此，特定的应用等 IT 资源可能对应管理员、只读用户和读/写用户的访问。此外，表中的每个单元格都可能包含其他数据，如密码复杂度、是否需要多因素认证（MFA）以及密码轮换频率。随着企业业务发展，用户目录的大小和深度都会随之增加。

2. 用户目录如何运作？

企业实际使用的用户目录功能也与上述表格类似，目录中的员工姓名、邮件地址和用户凭证都存储在身份提供程序（IdP）中。

企业内可能有部分用户（如高层或法务部门）需要访问所有资源。但是，其他用户的日常工作并不需要访问法律文件之类的数据。比如销售团队可能不需要了解企业办公室的租赁文件。为此，企业可以降低其他用户的访问权限级别，避免产生安全问题，也不影响工作效率。

通常这种访问权限与组织结构是相互关联的。那么目录服务是如何体现组织结构并进行管理呢？就是我们常说的组织单元（OU）、域组件（DC）、域（domain）、林（forest）。

目录服务中的信息以树状的层次结构来存储数据，目录服务中的对象都驻留在域中，一组使用相同域名系统（DNS）的域就构成树，多个树集合构成了林。每个对象在目录服务中都有一个完整路径 DN（Distinguished Name，标识名称）。DN 有三个属性：OU （Organizational Unit，组织单元）表示特定的部门、位置、团队或功能；DC （Domain Compenent，域组件）表示域名的部分；CN（Common Name，通用名称）表示用户名或计算机名。

例：

CN=test,OU=developer,DC=domainname,DC=com

在上面的代码中 CN=test 可能代表一个用户名，OU=developer 代表一个目录服务中的组织单位。这句话的含义可能是说明 test 这个对象处在domainname.com 域的 developer 组织单元中。

3. 云目录帮助企业打通身份

版权声明：本文内容由网络用户投稿，版权归原作者所有，本站不拥有其著作权，亦不承担相应法律责任。如果您发现本站中有涉嫌抄袭或描述失实的内容，请联系我们jiasou666@gmail.com 处理，核实后本网站将在24小时内删除侵权内容。