Active directory 这是扩展Active Directory架构的适当理由吗？

我们使用Active Directory作为web应用程序的用户存储。我们的所有用户信息，如名字、姓氏、电子邮件、电话、公司等，都存储在那里的用户记录中

现在我们需要存储更多的信息，除了这些字段之外，模式中没有我们可以使用的预先存在的字段。我们需要的领域是安全问题和安全问题答案

我觉得我们应该扩展Active Directory模式以包括这些字段，从而将所有用户信息保存在单个数据存储中。然而，我们的IT部门认为永远不应该扩展Active Directory，因为他们觉得它太危险了，Active Directory不打算这样使用

谁是对的，确定哪些类型的属性可以添加到模式中的原理是什么

---

Active Directory最初的架构支持非常糟糕。也就是说，您不能删除某些内容，也不能对模式进行太多更改

在更高版本（2008 R2）中，您可以使用schema做更多的工作。使用其他目录服务的人不会有这种非理性的恐惧

---

请考虑在存储数据时对数据进行加密。 广告模式是要扩展的。临时广告管理员总是害怕扩展模式，特别是因为“永久”一词通常紧跟其后。但事实是，ldap中的peramanent实际上毫无意义。如果从未使用过新的模式属性或对象，则不会对目录产生不利的性能影响，除非您不想查看未使用的模式。永久模式的唯一风险是它与现有或未来模式冲突，尤其是如果您使用独特的命名，如“JohnsCompanySecurityAttribute1”等，这种风险非常罕见。我在一家医院工作了9年，扩展模式是常见的，是AD或ADAM价值的一部分。如果您的IT人员仍然不相信，他们可以在模式扩展期间暂时让几个DC脱机。在敏感的临床环境中，大量使用AD/AM会导致一些无耻的自我宣传。

我们的IT人员特别担心添加这些项目会导致整个广告林崩溃。这真的有可能吗？第二，你觉得我考虑的字段应该是AD中的字段吗？@John Hansen，那么，使用内置功能添加新的（以前不存在的）受支持的属性与它们有关吗？也许他们应该解释一下人们期望这样一个问题如何表现出来？或者换句话说，目录服务设计为使用模式。发布的每个产品都会使用更多的模式。为什么害怕？你是对的。我认为这也是一个历史问题，因为广告最初只是一个技术目录。当我在处理其他“企业目录”时，比如eDirectory或Sun DSEE，模式扩展确实是很常见的。考虑到微软的身份识别策略是在Active Directory上从头开始构建的，因此广告必须受到与其竞争对手相同的待遇，这应该被认为是正常的：）