1、聯(lián)軟安域XCAD是如何保障域賬號的密碼安全

回答：密碼都是加密存儲，支持多種加密算法，包括國密。

微軟本身存儲密碼時是密文的，我們使用了自己的技術手段，使密碼體系遷移到我們的平臺后原有的存儲格式不變，從而能保持原有的認證方式。如果遷移過來后，用戶側對于密碼有變化等我們就可以變更他的存儲加密方式了，例如有國密的需求，在變更后密碼的加密方式也可以變?yōu)閲堋?/p>

2、微軟AD支持打印機統(tǒng)一管理，聯(lián)軟AD域是否支持打印機等啞終端的統(tǒng)一管理？

回答：支持。

聯(lián)軟安域XCAD具備統(tǒng)一外設管理能力，相關策略通過組策略安全管理實現(xiàn)。

AD域控服務器添加打印機，然后將其共享出去，這樣加域的電腦都可以使用這個打印機。AD域的操作流程如下：

①在域控制器上安裝所需的打印機驅動程序。

②設置共享打印機的訪問權限，可以選擇允許特定用戶或用戶組訪問，或者選擇“所有用戶”可訪問。

③通過組策略下發(fā)添加共享打印機。

3、聯(lián)軟安域XCAD是否支持微軟exchange？

回答： 支持，如果現(xiàn)在用戶已經(jīng)部署了AD+exchange郵箱，我們可以替代AD，為exchange郵箱提供認證。

4、是否可以實現(xiàn)鎖屏界面登錄AD賬號后，點擊瀏覽器訪問OA單點登錄？

回答：可以，需要該應用進行改造，與操作系統(tǒng)域認證做對接，即可實現(xiàn)免認證直接訪問應用（可以理解為操作系統(tǒng)就是一個portal，登錄操作系統(tǒng)的時候相當于完成了統(tǒng)一的認證）。如果是統(tǒng)信、麒麟的PC，則同樣需要基于操作系統(tǒng)域認證進行登錄。同一個應用，做一次改造，就可以實現(xiàn)多種操作系統(tǒng)（windows、統(tǒng)信、麒麟等）域認證的對接（協(xié)議是標準的，比如kerberos）。 

5、聯(lián)軟安域XCAD具有高可用性嗎？

①如果全部把微軟AD用戶數(shù)據(jù)遷移到聯(lián)軟AD，如何確保可靠性？

A1:聯(lián)軟安域XCAD是非常成熟的產品，可以兩地三中心的部署模式來保障高可用性。

②高可用架構中，主備相關能力是數(shù)據(jù)庫級別復制還是應用級別復制

A2：聯(lián)軟安域XCAD是集群模式，所有數(shù)據(jù)在各個數(shù)據(jù)中心是共享的，支持同城雙活、多地多中心。數(shù)據(jù)庫高可用，我們是應用級別復制。

6、林、域相關問題

①多林多域場景下，就需要多個信創(chuàng)AD去做配置對接業(yè)務系統(tǒng)嗎？

如果是多個林，就是多套微軟AD，一個AD只能是一個林，我們就需要部署多套。

如果是一個林，多個域（父域子域），聯(lián)軟安域XCAD只需要部署一套。

②聯(lián)軟安域XCAD支持對接到微軟域控上哪些林、域級別？

我們支持2003-2016，推薦2008和2012版本（我們有成熟的測試環(huán)境）。

目前測試的現(xiàn)場中，2008和2012的版本比較多。

③聯(lián)軟安域XCAD支是否具備微軟父域、子域相關概念功能

目前的方案是和用戶的域合并成一個域。

父域和子域是為了分級管理，比如總部是父域，分支是子域，分布式部署來滿足全集團的需求，受限于AD的可擴展性。父域的策略，子域可以繼承。

聯(lián)軟安域XCAD是集中式管理，每個分支作為一個OU，一個部門，實現(xiàn)用戶需求。

我們不做父域子域的概念，如果是父子域，需要做身份治理，統(tǒng)一賬號，我們支持分級管理。

如果一定要實現(xiàn)父子域，也可以做，只不過成本比較高。

我們目前的方案：集群部署，多地多中心，每個區(qū)域都有全量數(shù)據(jù)。通過分級管理員，例如，我們只允許山東的管理員只能維護山東的用戶數(shù)據(jù)。

未來的趨勢：所有的大型集團，未來認證中心都收口到集團。

④在多分支部署下，終端PC的認證流程節(jié)點拓撲說明

AD自身的設計中，通過父子域的方式解決分布式部署的問題，總部-分支的問題。如果用聯(lián)軟的AD，就不會存在這個問題，我們建議通過集中化部署信創(chuàng)AD集群，做統(tǒng)一認證。

7、微軟AD上某些端口為高危端口，聯(lián)軟安域XCAD是否支持自定義高危端口？（如445、135等）

答：支持，可以在聯(lián)軟安域XCAD側自定義高危端口，但因為修改的端口皆為標準協(xié)議的端口，所以在服務端修改的同時，加域終端也需要進行端口改造，由客戶自行完成端口變更。 

8、微軟AD和DNS服務器屬于同一套，聯(lián)軟AD域是否也具備DNS功能？

回答：具備，聯(lián)軟安域XCAD包含DNS解析功能。

9、聯(lián)軟安域XCAD對接客戶業(yè)務系統(tǒng)的話需要安裝客戶端嗎？需要二開嗎？

如果是實現(xiàn)和原有應用系統(tǒng)對接微軟AD，實現(xiàn)LDAP認證或單點登錄效果，這種不用對接，不論BS應用還是CS應用，都不需要安裝客戶端。這種對接是該應用本身就可以對接微軟AD，我們可以平滑替代AD，不用對接。

如果要拓展成IAM的項目，那會涉及到應用對接，比如用OIDC、Oauth2、SAML、CAS等協(xié)議。

10、聯(lián)軟安域XCAD如何做到無代理的？

答：聯(lián)軟安域XCAD底層適配了所有的微軟AD的協(xié)議，同時有的身份安全網(wǎng)關進行協(xié)議的轉化和安全保障，對于微軟AD的終端加域認證、組策略、LDAP等能力可以實現(xiàn)無縫平滑替代，不需要退域加域，對于終端來說就是加入正常域控，因此可以實現(xiàn)無代理。