快速浏览上表，您会发现可以从任一方创建并删除用户，但是用户的注册将取决于创建用户的位置。在 Active Directory 中可以很轻松地实现用户数据在系统间的同步，而在 Lotus Domino 上却不可以。最后，组创建只是一个 Active Directory 任务。因此在您的环境中使用 ADSync 时需要熟悉该表。

　　使用 Active Directory Users and Computers 工具的 Synchronize with Domino 按钮可以实现 ADSync 的密码同步。通过按下 Ctrl + Alt + Del 而发起的密码更改不会触发同步。若要同步 Active Directory 和 Notes HTTP 的密码，应在 Active Directory Users and Computers 工具中高亮显示用户，然后单击 Synchronize with Domino。

　　ADSync 是 MMC 管理单元，旨在简化系统管理员的工作。但是，它没有提供任何编程选项可简化用户或组的创建和/或同步的操作。

　　2.2. 方案二

　　第二种方案是我们把AD作为外部的LDAP来使用，Domino使用其作为额外的认证中心完成认证，由Domino自带的用户用户目录完成授权和额外信息的存储。

　　2.2.1. 工作原理与适用范围

　　在Domino中可以启用“Directory Assistance”外部目录服务来连接和使用外部LDAP目录来进行外部人员认证和信息查询。“Directory Assistance”是一种服务器可以用来查找在本地主 Domino 目录之外的某个目录中的信息的功能。采用了这种内外部同时认证的方式，当用户没有在Domino认证通过时，会自动到AD中去进行认证。即同一个用户名在AD和Domino中的口令不一样也可以通过认证，但是由于AD和Domino中对用户名的表达方式不同会造成Domino中的ACL和用户名获取不正确。

　　我们通过下图来说明整体的实现思路。

　　我们假设在AD中和Domino中都有用户名为test1的用户，此用户在AD中的唯一标识为： CN=test1,CN=users,DC=ibm,Dc=com; 在Domino中的唯一标识为：cn=test1,o=ibm 。

　　首先用户使用test1与口令password登录Domino系统。如果用户名和口令与Domino目录中的用户名和口令相符，则通过验证返回cn=test1,o=ibm (即：test1/ibm)。如果用户名和口令与Domino目录中的用户名和口令不相符，则Domino会通过Directory Assistance到AD中去进行验证。如果用户名和口令与AD目录中的用户名和口令不相符，则通过验证返回CN=test1,CN=users,DC=ibm,Dc=com。由于CN=test1,CN=users,DC=ibm,Dc=com会和原有在Domino中的用户名不一样导致ACL出错，所以需要通过Directory Assistance 将AD中预存Domino用户的信息(cn=test1,o=ibm)替换掉CN=test1,CN=users,DC=ibm,Dc=com。最终返回符合Domino使用的cn=test1,o=ibm (即：test1/ibm)。此方案的优势在于我们可以不用担心AD与Domino中的用户验证问题，对于Domino应用来说可以灵活的控制Domino中的用户信息和组织结构等等，对AD同步完全可以通过LDAP标准的操作来完成，可控力比较强。但需要AD一个属性放置Domino用户，和一套LDAP同步程序。

　　2.2.2. 安装和设置

　　在配置Domino服务器之前，我们需要将AD中的用户注册到Domino目录中去，此过程可以使用方案一中的ADSync、Lotus Administrator批量用户注册、或LDAP操作进行。在这里我们使用手工将AD中的CN=test1,CN=users,DC=hongyi,DC=com,DC=cn的用户注册到Domino中，在Domino中其用户为cn=test1,o=hongyi(test1/hongyi)。

　　把Domino中的用户名添加到AD中，在这个样例中我们使用AD“描述”字段来存放Domino的用户名称。