Active Directory、Exchange、单点登录，企业账号统一管理解决方案

　　现在的公司一般都会有很多内部管理系统，比如OA、ERP、CRM、邮件系统等。员工入职之后如果每个系统都创建一个账号和密码，首先员工记系统账号就是一件非常头疼的事情，如果公司有一百个系统那就得创建一百个账号。就算我们用日记本把账号统一记录起来，可以解决账号登录的问题。每个系统直接肯定会有相关的业务联系，在OA系统账号是A1，在ERP系统账号是A2，那么我们如果对用同一员工在不同之间的业务操作。因此我们要考虑公司组织机构、岗位、员工的统一性，保证公司基础组织架构数据统一，所以就需要创建一个基础数据管理系统。

　　企业账号统一管理的目标就是：公司的组织架构、岗位、员工基础信息在所有系统中公用；一个账号可以登录所有系统，员工离职之后账号被关闭，账号不能登录系统。

　　1、我们可以使用Active Directory管理公司的组织机构、员工账号、计算机。员工入职之后在AD创建一个账号，公司所有系统都是用单点登录作为各个系统，这样我们就不用每个系统创建账号了。网络管理员可以对组织机构的OU目录、员工设置相关策略设置网络资源的管理权限。

　　Active Directory：是微软非常重要的管理工具，而且微软的重量级服务产品基本上都需要域的支持。活动目录(Active Directory)主要提供以下功能：

①服务器及客户端计算机管理：管理服务器及客户端计算机账户，所有服务器及客户端计算机加入域管理并实施组策略。

②用户服务：管理用户域账户、用户信息、企业通讯录（与电子邮件系统集成）、用户组管理、用户身份认证、用户授权管理等，按省实施组管理策略。

③资源管理：管理打印机、文件共享服务等网络资源。

④桌面配置：系统管理员可以集中的配置各种桌面配置策略，如：用户使用域中资源权限限制、界面功能的限制、应用程序执行特征限制、网络连接限制、安全配置限制等。

⑤应用系统支撑：支持财务、人事、电子邮件、企业信息门户、办公自动化、补丁管理、防病毒系统等各种应用系统。

　　Microsoft Exchange：微软Microsoft Exchange邮件系统，微软的重量级产品，可以称为最好的企业级邮件产品。部署在自己的服务器上面，尽可能的保证数据安全。

  单点登录：系统太多，登录一次，系统之间的登录不用重复登录。

AD RMS：

　　Windows Server 2008 R2 操作系统的 Active Directory 权限管理服务 (AD RMS) 是一种信息保护技术，它与支持 AD RMS 的应用程序协同工作，以防止在未经授权的情况下使用数字信息（无论是联机和脱机，还是在防火墙内外）。AD RMS 适用于需要保护敏感信息和专有信息（例如财务报表、产品说明、客户数据和机密电子邮件消息）的组织。AD RMS 通过永久使用策略（也称为使用权限和条件）提供对信息的保护，从而增强组织的安全策略，无论信息移到何处，永久使用策略都保持与信息在一起。AD RMS 永久保护任何二进制格式的数据，因此使用权限保持与信息在一起，而不是权限仅驻留在组织网络中。这样也使得使用权限在信息被授权的接收方访问（无论是联机和脱机，还是在防火墙内外）后得以强制执行。AD RMS 可以建立以下必要元素，通过永久使用策略来帮助保护信息：

• 受信任的实体。组织可以指定实体，包括作为 AD RMS 系统中受信任参与者的 个人、用户组、计算机和应用程序。通过建立受信任的实体，AD RMS 可以通过将访问权限仅授予适当的受信任参与者来帮助保护信息。
• 使用权限和条件。组织和个人可以指定定义了特定受信任实体如何可以使用受权限保护的内容的使用权限和条件。读取、复制、打印、保存、转发和编辑的权限都是使用权限。使用权限可以附加条件，例如这些权限何时过期。组织可以阻止应用程序和实体访问受权限保护的内容。
• 加密。加密是通过使用电子密钥锁定数据的过程。AD RMS 可加密信息，使访问建立在成功验证受信任实体的条件之上。一旦信息被锁定，只有在指定条件（如果有）下授予了使用权限的受信任实体可以在支持 AD RMS 的应用程序或浏览器中对信息解除锁定或解密。随后应用程序将强制执行已定义的使用权限和条件。