在ToB的项目里，公司部门之间是树状的关系，成员结构也类似。由于windows的使用范围很广，尤其是在企业里，所以它集成的Active Directory域服务往往企业应用需要兼容的。

什么是基于目录的用户管理？

基于目录的用户管理是一种集中化的用户身份管理方式。它将组织中的所有用户信息（如用户名、密码、所属组、权限等）存储在一个统一的数据库中，即目录。通过访问这个目录，管理员可以对用户进行添加、删除、修改等操作，并对用户访问资源的权限进行统一管理。

LDAP是什么？

LDAP（Lightweight Directory Access Protocol）是一种轻量级目录访问协议。它定义了客户端如何访问和修改目录中信息的标准。LDAP目录就像一个电话簿，存储着各种对象的属性（如用户、计算机、组织单位等）。LDAP协议提供了对这些对象的查询、添加、修改和删除等操作。

Active Directory是什么？

Active Directory是微软开发的一种目录服务，它实现了LDAP协议。Active Directory通常被用于Windows网络环境中，为域中的计算机、用户和组提供集中化的管理。它不仅存储用户信息，还提供了诸如组策略、Kerberos认证等高级功能。

LDAP和Active Directory的关系

LDAP是一种协议，而Active Directory是实现了LDAP协议的一种目录服务。也就是说，Active Directory是LDAP的一个具体实现。你可以把LDAP看作是一种语言，而Active Directory看作是用这种语言写的一本书。

另外AD通过DS服务对外暴露了相关的操作，包括对象查询、认证和修改等，下面我贴一个某场景下较为完整的成员对象数据结构：

type LdapAccount = {
  objectClass: string;
  cn: string;
  distinguishedName: string;
  instanceType: string;
  whenCreated: string;
  whenChanged: string;
  displayName: string;
  uSNCreated: string;
  uSNChanged: string;
  name: string;
  objectGUID: string;
  userAccountControl: string;
  badPwdCount: string;
  codePage: string;
  countryCode: string;
  badPasswordTime: string;
  lastLogoff: string;
  lastLogon: string;
  pwdLastSet: string;
  primaryGroupID: string;
  objectSid: string;
  accountExpires: string;
  logonCount: string;
  sAMAccountName: string;
  sAMAccountType: string;
  userPrincipalName: string;
  objectCategory: string;
  dSCorePropagationData: string;
  lastLogonTimestamp: string;
};
AI写代码

可以看到它的字段是非常多的，可能很多字段某个项目不会用到，但这些字段的设计往往是日积月累的经验积累，我们在设计自己的身份认证或者账号体系的时候可以作为参考 

LDAP和Active Directory的对比

账号密码身份认证时序图

 利用ldap协议接口，与AD域通讯实现认证的简单过程如下：

说明：

• 客户端: 用户。
• 认证服务器: Nodejs后端。
• Directory Server: 目录服务器（如Active Directory）。

1. 用户在认证界面输入用户名和密码。
2. 认证服务器将用户的凭证发送给目录服务器进行验证。
3. 目录服务器查询用户的信息，并返回验证结果给认证服务器。
4. 认证服务器根据目录服务器返回的结果，告知用户认证成功或失败。

总结

基于目录的用户管理为组织提供了统一、高效的用户管理方式。LDAP作为一种标准协议，为目录服务提供了基础。Active Directory作为LDAP的具体实现，在Windows环境中得到了广泛应用。通过了解这些概念，我们可以更好地理解现代网络环境中的用户身份管理机制。

后续会出一系列的文，来详细说明相关的配置，以及具体操作的实现，写完后再补充整体的目录（现在还在实践的过程中！）