在信創(chuàng)國產(chǎn)化替代的浪潮下，聯(lián)軟推出了可擴展的中國AD域控（以下簡稱XCAD）作為微軟Active Directory的平滑替代方案，展現(xiàn)出獨特的差異化優(yōu)勢，助力企業(yè)構(gòu)建安全、高效、自主可控的身份管理平臺。不僅如此，即使客戶沒有微軟AD，也可以為各類客戶提供一個更安全、更可控、更便捷的統(tǒng)一身份管理平臺。 

 一、替換微軟AD的差異化優(yōu)勢

平滑遷移，業(yè)務(wù)無縫銜接

XCAD采用三階段遷移策略（加域共存、主域切換、微軟退域），實現(xiàn)與微軟AD的無縫對接。支持組織架構(gòu)和用戶密碼的全量及增量同步，終端用戶無需重新創(chuàng)建賬號密碼即可登錄；同時支持域用戶權(quán)限同步，原對接過域認(rèn)證或單點登錄的業(yè)務(wù)無需重新對接，業(yè)務(wù)連續(xù)性得到保障。通過權(quán)重分流認(rèn)證機制，XCAD可與微軟AD共同提供服務(wù)，逐步完成切換，用戶全程無感知。

多終端統(tǒng)一納管，無需客戶端

XCAD突破操作系統(tǒng)限制，無需安裝Agent即可統(tǒng)一管理Windows、統(tǒng)信UOS、銀河麒麟等異構(gòu)終端。支持基于RBAC/ABAC模型的細(xì)粒度權(quán)限控制，并可通過組策略統(tǒng)一下發(fā)屏保、壁紙、外設(shè)管理等策略，大幅提升運維效率。

原生安全能力，主動防御風(fēng)險

XCAD集成身份安全網(wǎng)關(guān)，自動過濾SMB V1、LDAP明文等不安全協(xié)議，強制啟用Kerberos認(rèn)證和國密算法加密。提供弱口令檢測、異常登錄攔截、僵尸賬號治理等策略，有效防御暴破攻擊和橫向移動風(fēng)險，內(nèi)置低代碼安全大屏，實時展示登錄審計和威脅事件。

國產(chǎn)化合規(guī)與生態(tài)適配

基于統(tǒng)信、麒麟等國產(chǎn)服務(wù)器部署，XCAD完全符合信創(chuàng)政策要求，支持2027年前完成基礎(chǔ)軟件國產(chǎn)化替代目標(biāo)。提供標(biāo)準(zhǔn)協(xié)議接口LDAP/RADIUS/SAML/OAuth2可快速對接OA、VPN、云桌面等業(yè)務(wù)系統(tǒng)，減少二次開發(fā)成本。

成熟案例驗證，金融級可靠性

XCAD已在多家客戶實現(xiàn)成功應(yīng)用，如南方電網(wǎng)、建信基金、三峽人壽等。

運維效率提升，成本優(yōu)化

通過無客戶端管理和Web自助服務(wù)平臺，XCAD顯著降低運維復(fù)雜度。員工可自助修改密碼，管理員通過策略批量下發(fā)功能將配置效率提升60%以上。模塊化架構(gòu)支持靈活擴展，適應(yīng)云化及混合IT環(huán)境。

二、無微軟AD的應(yīng)用場景

XCAD通過技術(shù)突破與業(yè)務(wù)場景的深度融合，成為信創(chuàng)時代數(shù)字身份基礎(chǔ)設(shè)施的首選解決方案。即使客戶沒有部署微軟AD，XCAD依然能提供獨特的價值，主要體現(xiàn)在以下幾個方面：

三層架構(gòu)革新，從根源提升安全防護

相較于微軟AD的兩層架構(gòu)，XCAD創(chuàng)新采用“終端-身份安全網(wǎng)關(guān)-核心服務(wù)”三層架構(gòu)。身份網(wǎng)關(guān)作為安全緩沖，屏蔽域控直接暴露。通過協(xié)議轉(zhuǎn)換，對外提供更安全的接口，收斂攻擊面。同時，身份網(wǎng)關(guān)具備實時入侵檢測與防護阻斷能力，可主動攔截暴力破解等攻擊行為。

終端身份統(tǒng)一管控與弱密碼治理

在沒有域控的環(huán)境下，客戶的辦公電腦通常使用本地賬號密碼登錄，這會帶來明顯的安全隱患：

員工可能設(shè)置弱密碼（如“123456”）甚至不設(shè)密碼，難以有效管理。

本地賬號無法實現(xiàn)統(tǒng)一的密碼策略和認(rèn)證管理。

XCAD可以一套系統(tǒng)納管所有終端，接管操作系統(tǒng)的登錄認(rèn)證，將所有終端的認(rèn)證集中到XCAD平臺。通過組策略，XCAD能夠直接禁用本地賬號登錄，并強制要求使用符合規(guī)范的強密碼，從根源上解決弱口令問題，滿足等保合規(guī)要求。

無客戶端設(shè)備準(zhǔn)入認(rèn)證

XCAD可以實現(xiàn)無客戶端的設(shè)備級準(zhǔn)入認(rèn)證。終端只要加入XCAD域，用戶在登錄操作系統(tǒng)時，其認(rèn)證請求就會發(fā)往XCAD進行校驗。這相當(dāng)于在操作系統(tǒng)登錄環(huán)節(jié)就完成了一次準(zhǔn)入控制，比網(wǎng)絡(luò)層面的準(zhǔn)入更前置！

對于一些不支持標(biāo)準(zhǔn)網(wǎng)絡(luò)準(zhǔn)入?yún)f(xié)議的IoT設(shè)備等，這種方式能有效補充網(wǎng)絡(luò)準(zhǔn)入的不足，降低實施復(fù)雜度。

原生安全策略加固

XCAD內(nèi)置的安全能力可以直接為終端提供保護：

自動過濾不安全協(xié)議（如SMB V1、LDAP明文），強制使用Kerberos認(rèn)證和國密算法加密。

通過組策略下發(fā)安全基線，如關(guān)閉高危端口、進行漏洞檢測等，無需安裝額外客戶端。

靈活適配不同客戶規(guī)模

對于預(yù)算有限的中小企業(yè)，XCAD可以提供一體機等輕量部署方案，以較低成本解決終端賬號統(tǒng)一管理和基礎(chǔ)安全需求，無需像大型方案那樣復(fù)雜昂貴。

為未來擴展打下基礎(chǔ)

即使客戶當(dāng)前沒有AD，部署XCAD也是為其建立了一個自主可控的身份管理基石。未來業(yè)務(wù)系統(tǒng)如OA、VPN、云桌面等需要統(tǒng)一認(rèn)證時，可以直接通過LDAP/ RADIUS /SAML等標(biāo)準(zhǔn)協(xié)議對接XCAD，避免重復(fù)建設(shè)。

總而言之，聯(lián)軟科技可擴展的中國AD域控不僅在于平滑替代微軟AD，更在于為各類客戶提供一個更安全、更可控、更便捷的統(tǒng)一身份管理平臺，構(gòu)建屬于客戶自己的自主可控的數(shù)字身份基礎(chǔ)設(shè)施。