随着国资委79号文的明确要求，中央企业正紧锣密鼓地推进信创替代工作，力争在2027年前实现100%的国产化目标。在这场深刻的数字化转型浪潮中，大型央企国企普遍面临着Windows与国产操作系统（如统信UOS、麒麟OS）并存的复杂过渡环境。身份管理碎片化、高昂的迁移成本以及传统Windows AD与国产OS协议兼容性不足等痛点，成为摆在企业面前的巨大挑战。

联软科技于2025年9月3日14:00，成功举办“联软UniXCAD扩展的中国AD域控解决方案”线上直播活动。本次活动特邀联软XCAD产品负责人陈杨先生，为广大与会者深入剖析行业现状，并详细解读联软XCAD方案如何以技术创新赋能企业，实现AD系统的平滑、高效、安全替换。

Q&A

1. 国资委要求2027年前完成AD国产化替换，目前各行业已进入改造加速期，当下哪些行业的改造进度明显领先？

国产化替代主要聚焦于“2+8+N”领域。其中，“2”指的是党政两大关键领域，“8”涵盖金融、电力、电信、石油、交通、教育、医疗、航空航天等八大关键行业，而“N”则代表其他各行各业。目前来看，国央企的改造进度最为领先，紧随其后的是金融行业，特别是银行、证券、基金等机构，其国产化改造工作已走在前列。

2. 替换微软AD这一过程中，企业面临着哪些困难？

最大的困难主要集中在生态兼容和共存问题上。微软AD在中国市场深耕二十余载，建立起一个庞大而紧密的生态系统。因此，替换微软AD不仅要考虑自身系统的平替，更要确保与原有生态的良好对接。在切换过程中，与微软生态的平滑共存期至关重要，这才能保证替换过程的顺畅与无感。

3. 简单介绍下联软XCAD扩展的中国域控方案，是如何解决这些痛点？是否能够完全替代微软AD的功能？微软AD用了几十年，联软XCAD扩展的中国域控方案能兼容得了微软曾经的生态吗？例如解决与现有操作系统、办公软件及业务系统的适配问题？

联软XCAD在研发之初，便以微软AD域控对标，核心思路就是要实现微软AD的“平替”。这意味着，首先要做到对现有Windows PC的平滑接管；其次，在国产化替代后，要确保统信、麒麟等国产操作系统的终端也能无缝融入管理体系。所以，我们的方案能够完全平替微软AD，在与Windows AD共存的阶段，逐步将企业新采购的国产PC终端纳入管理。在此基础上，我们还能全面接管包括Exchange邮箱等微软生态应用，这些应用通常通过LDAP协议请求微软AD域的认证。我们的方案能够实现这些应用的平滑接入，确保员工登录操作系统和使用各类应用时完全无感知，这是我们方案最大的特点。

4. 有一些客户采用的方案存在客户端装到崩溃？或者弱口令被通报的情况？联软XCAD扩展的中国域控方案是如何解决的？

关于客户端导致系统崩溃的问题，我们的方案正好相反。联软XCAD采用无客户端的指导方案，直接在协议层介入，将操作系统视为原生客户端。这意味着无需在每台电脑上安装独立的客户端，从而规避了因客户端与不同操作系统版本、生态应用之间的兼容性问题。

针对弱口令问题，我们深知这是国央企面临的普遍挑战。例如，我们曾拜访的宁波钢铁就急需治理弱密码。微软AD的组策略在定义弱密码方面存在局限性，例如“123@COM”这种符合多种格式的密码，在微软AD看来是强密码，但在当前数字化环境下极易被破解。联软XCAD产品可以自定义弱密码策略，能够精准检测并强制要求用户修改。这远超微软AD组策略的能力。

5. 企业最担忧AD数据迁移中的账号丢失和权限错配，联软方案如何保证千万级用户的平滑替换？

账号丢失和权限错配确实是当前国产AD厂商普遍存在的弱点。联软XCAD方案正是为了解决这一痛点而生，我们能够完整继承微软AD的域账号及其密码，以及整个活动目录中的所有权限配置。无论是操作系统层面的权限、组设置，还是微软生态应用的权限，我们都能实现平滑接管，对原有系统没有任何影响，确保千万级用户的无感替换。

6. 信创AD如何解决国产操作系统（麒麟/统信）与传统Windows域控的协议兼容问题？是否存在性能折衷？

我们实现无感兼容的关键在于产品架构中增加了一个“智能网关”。这个智能网关的核心能力就是进行协议转换。它能够以不同操作系统所熟悉的协议进行通信，例如，面对微软AD认证时使用Kerberos协议，而面对统信和麒麟操作系统登录认证时则使用它们各自的协议。就像一个精通多种语言的翻译官，确保了各种系统间的顺畅沟通。

在性能方面，微软AD经过二十年的发展，生态和性能已非常成熟。我们经过严格测试，一台微软AD支持7000台PC的规模，联软XCAD基本也能做到1:1的替换，性能已接近微软AD。此外，我们采用微服务架构，支持集中式部署和两地三中心部署，具备弹性伸缩能力，可根据需求增加硬件配置和计算能力，确保了出色的灵活性和性能保障。

7. 从AD切换到国产域管，除软件费用外，企业在硬件投入、运维人力上需要增加预算吗？

恰恰相反，我们的方案能大幅降低企业的运维成本。许多企业在不同区域（如南方电网在云南、广东）分别部署多套域控，同时又采购统信或麒麟的域控，这导致运维人员需要维护多套独立的域控平台，无论从管理人力还是硬件投入上都成本高昂。而联软XCAD能够同时纳管微软、统信、麒麟，企业只需维护一套系统。这意味着账号运维成本大幅降低，账号创建、修改、密码重置等全生命周期管理都只需在一个平台上完成，极大地提升了效率，降低了运维负担。

8. 联软XCAD扩展的中国域控方案已经在各行各业有了落地案例，请简介绍下我们的落地案例，我们是如何打动客户的或帮助客户解决了什么问题、达成了什么效果？

目前我们已在国央企领域积累了丰富的成功案例，包括国核设计院、南方电网、宁波钢铁等。

以南方电网为例，其拥有近70万台终端（40万台Windows，25万台统信），每个省份都有自己的域控。他们面临的核心痛点是绝对不能安装客户端，因为如此庞大的终端数量，安装客户端的工作量巨大且周期漫长，还会因终端操作系统版本和生态应用带来复杂的兼容性问题。我们的产品完美匹配了他们纳管多种操作系统终端的需求。通过部署联软信创AD，无需创建任何新账号，员工无论是使用微软PC还是统信、麒麟PC，都能直接沿用原有账号登录，完全无感。实施工作量极小，员工体验没有任何改变，这让他们印象深刻。

另一个案例是宁波钢铁的弱密码治理问题。他们领导要求治理弱密码已持续一两年，但仍未解决。原因在于微软AD的密码策略无法自定义，无法识别并强制修改“123@com”这类表面合规实则脆弱的密码。联软XCAD允许客户自定义弱密码规则，并将其纳入密码库进行检测和治理。此外，我们支持统一强制员工在规定时间内修改密码，若不修改则密码失效。更重要的是，我们提供了便捷的自助密码修改页面，员工可通过手机或电脑，点击链接即可随时随地修改密码，极大地方便了用户，同时也打通了企业门户和应用系统，实现了密码的统一管理。

9. 您认为未来3年信创AD市场趋势有何变化？

我认为未来三年，整个数字化时代将走向“大一统”。过去，IAM（身份与访问管理）统一的是应用账号和登录，而域控管理的是操作系统账号和登录。未来，这两者必将合二为一，一个账号既能登录操作系统，也能登录各种应用，这将大大提升企业效率。这种“大一统”不仅包括电脑和应用登录，还将涵盖网络的准入认证。所以，未来XIAM（扩展身份与访问管理）将全面统一操作系统、网络准入、应用账号、认证，乃至权限授权，实现全网统一的身份管理。

可以说，在央国企信创改造进程中，AD系统的国产化替代工作所面临着生态兼容性、海量用户数据与权限体系的迁移复杂性以及高度定制化的企业级需求三大核心挑战。

联软XCAD扩展的中国域控方案，能凭借其无客户端、协议层智能转换、灵活自定义弱密码策略以及对微软AD生态的全面平滑继承能力，彻底解决这些难题。它不仅能够帮助企业实现IT架构的平稳过渡和业务连续性保障，更在成本节约和运维效率提升方面展现出显著优势。未来，随着XIAM理念的逐步落地，联软科技将踔厉奋进、持续创新，为中国企业的数字化转型和国产化推进贡献更大力量。