在信創(chuàng)國產(chǎn)化替代的浪潮下，聯(lián)軟推出了可擴(kuò)展的中國AD域控（以下簡稱XCAD）作為微軟Active Directory的平滑替代方案，展現(xiàn)出獨(dú)特的差異化優(yōu)勢，助力企業(yè)構(gòu)建安全、高效、自主可控的身份管理平臺(tái)。不僅如此，即使客戶沒有微軟AD，也可以為各類客戶提供一個(gè)更安全、更可控、更便捷的統(tǒng)一身份管理平臺(tái)。 

 一、替換微軟AD的差異化優(yōu)勢

平滑遷移，業(yè)務(wù)無縫銜接

XCAD采用三階段遷移策略（加域共存、主域切換、微軟退域），實(shí)現(xiàn)與微軟AD的無縫對(duì)接。支持組織架構(gòu)和用戶密碼的全量及增量同步，終端用戶無需重新創(chuàng)建賬號(hào)密碼即可登錄；同時(shí)支持域用戶權(quán)限同步，原對(duì)接過域認(rèn)證或單點(diǎn)登錄的業(yè)務(wù)無需重新對(duì)接，業(yè)務(wù)連續(xù)性得到保障。通過權(quán)重分流認(rèn)證機(jī)制，XCAD可與微軟AD共同提供服務(wù)，逐步完成切換，用戶全程無感知。

多終端統(tǒng)一納管，無需客戶端

XCAD突破操作系統(tǒng)限制，無需安裝Agent即可統(tǒng)一管理Windows、統(tǒng)信UOS、銀河麒麟等異構(gòu)終端。支持基于RBAC/ABAC模型的細(xì)粒度權(quán)限控制，并可通過組策略統(tǒng)一下發(fā)屏保、壁紙、外設(shè)管理等策略，大幅提升運(yùn)維效率。

原生安全能力，主動(dòng)防御風(fēng)險(xiǎn)

XCAD集成身份安全網(wǎng)關(guān)，自動(dòng)過濾SMB V1、LDAP明文等不安全協(xié)議，強(qiáng)制啟用Kerberos認(rèn)證和國密算法加密。提供弱口令檢測、異常登錄攔截、僵尸賬號(hào)治理等策略，有效防御暴破攻擊和橫向移動(dòng)風(fēng)險(xiǎn)，內(nèi)置低代碼安全大屏，實(shí)時(shí)展示登錄審計(jì)和威脅事件。

國產(chǎn)化合規(guī)與生態(tài)適配

基于統(tǒng)信、麒麟等國產(chǎn)服務(wù)器部署，XCAD完全符合信創(chuàng)政策要求，支持2027年前完成基礎(chǔ)軟件國產(chǎn)化替代目標(biāo)。提供標(biāo)準(zhǔn)協(xié)議接口LDAP/RADIUS/SAML/OAuth2可快速對(duì)接OA、VPN、云桌面等業(yè)務(wù)系統(tǒng)，減少二次開發(fā)成本。

成熟案例驗(yàn)證，金融級(jí)可靠性

XCAD已在多家客戶實(shí)現(xiàn)成功應(yīng)用，如南方電網(wǎng)、建信基金、三峽人壽等。

運(yùn)維效率提升，成本優(yōu)化

通過無客戶端管理和Web自助服務(wù)平臺(tái)，XCAD顯著降低運(yùn)維復(fù)雜度。員工可自助修改密碼，管理員通過策略批量下發(fā)功能將配置效率提升60%以上。模塊化架構(gòu)支持靈活擴(kuò)展，適應(yīng)云化及混合IT環(huán)境。

二、無微軟AD的應(yīng)用場景

XCAD通過技術(shù)突破與業(yè)務(wù)場景的深度融合，成為信創(chuàng)時(shí)代數(shù)字身份基礎(chǔ)設(shè)施的首選解決方案。即使客戶沒有部署微軟AD，XCAD依然能提供獨(dú)特的價(jià)值，主要體現(xiàn)在以下幾個(gè)方面：

三層架構(gòu)革新，從根源提升安全防護(hù)

相較于微軟AD的兩層架構(gòu)，XCAD創(chuàng)新采用“終端-身份安全網(wǎng)關(guān)-核心服務(wù)”三層架構(gòu)。身份網(wǎng)關(guān)作為安全緩沖，屏蔽域控直接暴露。通過協(xié)議轉(zhuǎn)換，對(duì)外提供更安全的接口，收斂攻擊面。同時(shí)，身份網(wǎng)關(guān)具備實(shí)時(shí)入侵檢測與防護(hù)阻斷能力，可主動(dòng)攔截暴力破解等攻擊行為。

終端身份統(tǒng)一管控與弱密碼治理

在沒有域控的環(huán)境下，客戶的辦公電腦通常使用本地賬號(hào)密碼登錄，這會(huì)帶來明顯的安全隱患：

員工可能設(shè)置弱密碼（如“123456”）甚至不設(shè)密碼，難以有效管理。

本地賬號(hào)無法實(shí)現(xiàn)統(tǒng)一的密碼策略和認(rèn)證管理。

XCAD可以一套系統(tǒng)納管所有終端，接管操作系統(tǒng)的登錄認(rèn)證，將所有終端的認(rèn)證集中到XCAD平臺(tái)。通過組策略，XCAD能夠直接禁用本地賬號(hào)登錄，并強(qiáng)制要求使用符合規(guī)范的強(qiáng)密碼，從根源上解決弱口令問題，滿足等保合規(guī)要求。

無客戶端設(shè)備準(zhǔn)入認(rèn)證

XCAD可以實(shí)現(xiàn)無客戶端的設(shè)備級(jí)準(zhǔn)入認(rèn)證。終端只要加入XCAD域，用戶在登錄操作系統(tǒng)時(shí)，其認(rèn)證請(qǐng)求就會(huì)發(fā)往XCAD進(jìn)行校驗(yàn)。這相當(dāng)于在操作系統(tǒng)登錄環(huán)節(jié)就完成了一次準(zhǔn)入控制，比網(wǎng)絡(luò)層面的準(zhǔn)入更前置！

對(duì)于一些不支持標(biāo)準(zhǔn)網(wǎng)絡(luò)準(zhǔn)入?yún)f(xié)議的IoT設(shè)備等，這種方式能有效補(bǔ)充網(wǎng)絡(luò)準(zhǔn)入的不足，降低實(shí)施復(fù)雜度。

原生安全策略加固

XCAD內(nèi)置的安全能力可以直接為終端提供保護(hù)：

自動(dòng)過濾不安全協(xié)議（如SMB V1、LDAP明文），強(qiáng)制使用Kerberos認(rèn)證和國密算法加密。

通過組策略下發(fā)安全基線，如關(guān)閉高危端口、進(jìn)行漏洞檢測等，無需安裝額外客戶端。

靈活適配不同客戶規(guī)模

對(duì)于預(yù)算有限的中小企業(yè)，XCAD可以提供一體機(jī)等輕量部署方案，以較低成本解決終端賬號(hào)統(tǒng)一管理和基礎(chǔ)安全需求，無需像大型方案那樣復(fù)雜昂貴。

為未來擴(kuò)展打下基礎(chǔ)

即使客戶當(dāng)前沒有AD，部署XCAD也是為其建立了一個(gè)自主可控的身份管理基石。未來業(yè)務(wù)系統(tǒng)如OA、VPN、云桌面等需要統(tǒng)一認(rèn)證時(shí)，可以直接通過LDAP/ RADIUS /SAML等標(biāo)準(zhǔn)協(xié)議對(duì)接XCAD，避免重復(fù)建設(shè)。

總而言之，聯(lián)軟科技可擴(kuò)展的中國AD域控不僅在于平滑替代微軟AD，更在于為各類客戶提供一個(gè)更安全、更可控、更便捷的統(tǒng)一身份管理平臺(tái)，構(gòu)建屬于客戶自己的自主可控的數(shù)字身份基礎(chǔ)設(shè)施。