使用 AD 作为通用目录

我曾在一个大型（10 万+用户）环境中工作，其中 AD 用于保存大量的一般员工信息 - 除了通常的电子邮件和用户\部门名称之外，我们还有多个电话号码、实际办公地点（直至大楼内的办公地点）、组织层次结构（谁为谁工作）、员工编号、照片缩略图、正常时区、开始日期和其他一些我现在记不起来的东西。

不可否认，我们拥有一套非常精巧的内部控制访问 API（以及一些用于批准访问它们的授权流程），使我们能够控制委派权限，以按用户\按组更新特定的 AD 属性，因此很容易将这些 AD 属性的更新安全地绑定到 HR 应用程序中，而此类数据的管理正是在这里处理的。

作为一家大型组织的用户，我发现拥有这种信息确实很有用，并且能够通过我自己的应用程序内的简单 LDAP 查询获取这种数据而不必费尽周折才能访问人力资源数据库，这也非常有用。

如果您使用 Exchange，此功能非常有用，因为它允许人们在全球地址簿中查找其他人，特别是对于大型组织而言。如果您不使用 Exchange，那么如果没有一些自定义编程，此功能可能没有太多好处。

话虽如此，作为一个较小的组织，我们曾经运行 Exchange，仍然运行 AD，并且从未将非登录信息放入其中，除了全名和少数情况下的部门隶属关系。

我应该补充一点，最大的障碍是保持 AD 更新是 IT 的一项职能，而在许多组织中，没有一个好的流程来获取从人力资源等部门到 IT 部门填充通用目录的各种信息——通常，安全或所需权限是新员工和更新的 IT 优先事项。

我们使用电话信息、组织信息（来自我们的人力资源系统）和一些扩展属性来处理杂项。从 IT 角度来看，组织信息非常有价值，因为您可以快速查看与谁打交道，或者联系团队而不是个人。可以使用简单的 Web 前端查询电话信息。用户也习惯于通过 Outlook 查看大量信息。哦，组织信息还用于根据您所在的部门动态填充一些全局组。然后使用这些组提供基于部门的访问。简而言之，AD 是保存此类内容的好地方。

我曾经见过它在某种环境中用于监控特定计算机何时被用作一种员工监控系统，但这并没有像使用 LDAP 那样有意义。

我们将其用作与 Exchange 配合使用的通用目录，但出于安全原因，我们仍将其与用户身份验证配合使用。如果它仅供办公室内部员工使用，我们不需要这样做。