1. 用户需求与面临的问题

　　当前用户已有MS Active Directory Server(简称：AD)作为统一用户管理平台。AD对多个应用的用户验证和用户的基本信息进行维护，其中包括对用户的新增、重名、删除、信息修改与用户组的维护。

　　IBM Lotus Domino 平台是业界流行的办公自动化(简称：OA)，为企业快速建立其符合企业要求和管理思路的办公自动化软件系统。在Domino 平台也内含符合国际标准的用户目录系统，提供企业级用户目录与认证服务。

　　AD是已存在的统一用户目录系统，Domino是最先进应用最广的OA开发平台，如何使两者有一个好的结合和集成?如何使用户管理可以得以统一?如何满足OA系统中用户信息、权限管理超出AD管理范围的额外需求?

　　2. 解决方案

　　在此我们提出两种解决方案供选择，每种解决方案具有自己的优点和缺点，可以在不同的情况下进行选择使用。

　　2.1. 方案一

　　第一种方案我们采用Lotus Domino Active Directory Synchronization(简称：ADSync)统一管理和同步Domino用户目录。

　　ADSync 允许管理员来保持 Domino Directory 和 Active Directory 用户和组的同步。管理员可以注册、同步属性和密码，而且在 Active Directory 中对用户和组执行重命名和删除操作时，还会在 Domino Directory 中执行同样的操作，反之亦然。其特性包括两个目录之间的容器映射和属性映射，以及注册用户时所使用的策略。

　　2.1.1. 工作原理与适用范围

　　ADSync是Lotus Note Administrator的一个组件，提供一个组件与Windows 管理控制台集成，提供一个集成的操作环境在创建AD用户的同时有可选项向Domino目录中注册用户名。在注册用户时，提供用户验证字、用户组织单元、用户密码一并完成用户在Domino重的注册。由于ADSync是MMC(Microsoft Management Console)的一个组件并不是Windows的一个后台服务，所以不通过MMC所有改的用户信息(如：密码，人员信息)不会自动同步到Domino目录中，必须手动促发其同步。

　　使用 ADSync 时比较棘手的问题之一就是：要全面了解哪一方可执行哪些操作;即哪些操作可由 Active Directory 执行，哪些操作可由 Domino Administrator 客户机执行。但是，如果使用表 1 中的信息，上述内容是比较容易理解的。表中的第一列包含任务，后面两列指明任务是否在其原始平台上进行操作。

　　表 1. 从 Active Directory 和 Lotus Domino 发起的 ADSync 操作