问：我们公司允许我们通过内联网参数选择页面更新自己的活动目录（AD）用户数据。允许用户更新自己的AD有身份管理方面的要求吗？更新AD数据的***实践是什么？

答：当谈到活动目录更新时，应该仔细地计划和监测用户的更改。毕竟，AD不只是用来交换Global访问列表（GAL）：活动目录是一个企业的访问库。这就意味着虽然它有公共信息，但它仍然允许/拒绝对许多应用程序的访问。此外，目录跟它所存储的数据一样重要，所以你应该控制用户输入的信息。电话号码应该有个给定值（通常是区号），标题应该是HR形式的标题（我记得一个工程师从自助服务中将他的标题写为“宇宙之主”），其他的用户数据也应该遵照类似的控制。

从身份管理的角度来看，如果活动目录被用来访问，并被用作应用程序的用户数据记录库，上面提到的矛盾观点能极大的影响应用程序的功能。不完全的、不可接受的，或者只是简单的错误信息就可能导致使用那些数据的应用程序出故障，或错误的、无效的访问权限（要么拒绝授权用户，要么允许未授权用户）。

***实践是：将活动目录当作企业的库。也就意味着要架构和计划终端用户所管理的领域，给一致的/有效的数据分配所需的控制。（不管控制是一个活动目录控制、一个过程，还是终端用户培训）

让用户保持他们自己的信息，可以给管理员节约很多成本，但是如果它会导致不可控，那它所造成的损失将比节省的成本要大很多。

【编辑推荐】

1. 如何增强活动目录安全性的五个步骤
2. 如何在活动目录中设置可登录的计算机