WorkBuddy企业版支持AD域控集成，通过LDAP协议对接腾讯云身份服务层，可实现组织架构同步、统一身份认证和精细化权限管理。 AD域控集成是WorkBuddy企业版区别于个人版的核心能力之一。企业版登录时即触发AD域策略校验与会话审计绑定，自动同步组织架构树、部门标签及岗位职级信息，用于任务分发与数据隔离策略匹配。 配置AD域控主要分五步： 一、确认域控可达。 在域控服务器上执行nslookup验证域名解析正常，记录LDAP服务器地址、bind_dn、bind_password和用户搜索基准路径四项关键参数。 二、后台启用LDAP集成。 进入WorkBuddy管理控制台的「系统设置→身份源管理→添加身份源」，选择“LDAP（AD域控）”类型，若使用LDAPS需上传域控CA证书。在“用户属性映射”区域，将AD字段sAMAccountName映射为用户名。 三、绑定AD组与角色。 找到LDAP条目右侧的“组映射”按钮，新增映射规则，输入AD组DN，选择已在权限中心创建的目标角色，启用同步周期（建议每2小时同步一次），并勾选“启用组继承”使嵌套子组成员自动获得权限。 四、验证首次登录与权限加载。 用AD账号尝试登录，确认角色正确加载、敏感操作二次验证是否触发。 五、启用缓存回退与审计追踪。 所有文件读写操作自动附加数字水印（含操作人、时间戳、设备ID），操作日志自动上传至企业审计中心。 与个人版相比，企业版还强制绑定组织身份、嵌入数据分级管控模型，支持按部门、项目组、敏感等级三重维度设定文件可见性策略。选型时建议优先考量AD域控与现有IT基础设施的适配程度。

WorkBuddy企业版对所有Claw指令执行前实行双重验证——指令内容实时比对企业关键词库，高危动作须经指定审批人通过企业微信工作台二次确认。 双重Claw审批是WorkBuddy企业版实现安全可控的关键防线。企业在后台预先配置关键词库和审批流规则后，审批流程自动生效。 第一重验证：指令内容实时比对企业关键词库。 系统将用户发送的指令与企业预设的关键词库进行比对，判断是否触发审批流。若指令涉及高危敏感词，系统会自动拦截。 第二重验证：高危动作强制二次确认。 如果指令涉及高危操作——如USB设备操作、注册表修改、批量删除文件等，系统会推送审批卡片至指定审批人的企业微信工作台，卡片中明确标注本次操作将访问哪些文件或执行什么动作。审批人确认后，指令才进入执行队列；若拒绝，指令终止执行。审批通过后，全程操作录像自动归档至企业云盘“AI审计-Claw任务”目录，确保所有操作可追溯。 此外，企业版还可启用数字水印（含操作人、时间戳、设备ID）和分级数据管控，进一步提升数据安全性。双重审批机制与白名单技能策略联动：企业IT部门审核的技能才能被员工调用，外部MCP Server调用须经企业统一API网关转发并强制添加JWT令牌与流量限速策略。所有Excel、PPT、Word类文件的读写操作均自动附加不可清除的数字水印。这套组合使AI在保持执行力的同时，在安全可控的边界内运行。

WorkBuddy企业版已通过中国信通院Claw可信能力评估，AD域控和双重审批是企业构建安全合规AI治理体系的关键能力评估点。 WorkBuddy企业版于2026年4月通过中国信通院《智能助理智能体（Claw）技术和应用要求》可信能力评估，覆盖5大检验项目、57个能力项。评估涵盖主体身份认证、最小权限原则、动态权限管理、高危操作拦截，以及提示词攻击防护和高敏感操作审批等，确保AI行为透明可控。 企业落地层面，双重Claw审批保障敏感操作合规可追溯；AD域控确保所有用户身份与现有IT体系统一，消除身份孤岛。两种机制配合白名单技能和数字水印，形成“身份认证→指令审核→执行审计→数据防护”的完整安全闭环。操作录像自动归档至企业云盘，满足等保合规审计要求。 选型决策可关注以下几点： 确认IT部门的域控管理能力，确保能配合完成LDAP对接 评估高危操作频率，明确审批流中各部门职责边界 根据现有IM使用情况，优先对接相应审批人通知渠道 据信通院评估，WorkBuddy在权限管理、运行管理等维度的能力已达到国内首批认证标准。从采购决策视角看，AD域控解决了“谁来用”的身份信任问题，双重审批解决了“做什么”的操作边界问题，两者协同构建了企业应用AI助手的合规底线。