活动目录中有多个管理器

Question 1

我的想法 ...

我们也是一个“矩阵”组织。不要陷入认为 AD 结构需要映射到组织结构的陷阱中。AD 结构是关于如何组织资源，而不是关于权限线。您可能需要找到自己的结构来使用。在这个组织中，我们首先要考虑 (1) 他们是否需要本地管理员权限，然后是 (2) 高管和远程工作人员，然后是 (3) 主要物理位置。
您可以使用安全和分发组来管理权限，当人们拥有多个部门和管理链时，这可能会非常复杂。当用户属于多个组时，AD 有办法协调冲突的权限。您应该做一些实验来了解该机制。
至于“部门”、“经理”和“直接报告”字段，除非有人为每个用户指定主要人员，否则您可能应该将其留空。人力资源部可能已经为工资系统设置了主要经理和部门。

Answer

我的想法 ...

我们也是一个“矩阵”组织。不要陷入认为 AD 结构需要映射到组织结构的陷阱中。AD 结构是关于如何组织资源，而不是关于权限线。您可能需要找到自己的结构来使用。在这个组织中，我们首先要考虑 (1) 他们是否需要本地管理员权限，然后是 (2) 高管和远程工作人员，然后是 (3) 主要物理位置。
您可以使用安全和分发组来管理权限，当人们拥有多个部门和管理链时，这可能会非常复杂。当用户属于多个组时，AD 有办法协调冲突的权限。您应该做一些实验来了解该机制。
至于“部门”、“经理”和“直接报告”字段，除非有人为每个用户指定主要人员，否则您可能应该将其留空。人力资源部可能已经为工资系统设置了主要经理和部门。

Question 2

您为该字段想出一个标准格式，然后将信息连接成一个满足该格式的字符串并填充相应的字段。

或者，您可以使用自己的字段扩展 AD 架构，或者使用您尚未使用的其他多条目字段。但是，问题在于让客户端应用程序读取这些字段...

Answer

您为该字段想出一个标准格式，然后将信息连接成一个满足该格式的字符串并填充相应的字段。

或者，您可以使用自己的字段扩展 AD 架构，或者使用您尚未使用的其他多条目字段。但是，问题在于让客户端应用程序读取这些字段...

Question 3

如果您希望用户位于多个 OUS 中，则可以使用抽象 AD 的第三方产品，如 ActiveRoles 服务器。ARS 有一种称为托管单元的对象类型，它允许额外委派权限和应用 ARS 策略，但 AD 看不到这些对象，因此您无法使用 GPO。

Answer

如果您希望用户位于多个 OUS 中，则可以使用抽象 AD 的第三方产品，如 ActiveRoles 服务器。ARS 有一种称为托管单元的对象类型，它允许额外委派权限和应用 ARS 策略，但 AD 看不到这些对象，因此您无法使用 GPO。

相关内容