针对

针对

我们希望为我们的 (Win 2003) AD 层次结构添加一些逻辑结构。我们有一个域和大约 500 个用户。所有用户和计算机目前都组织在一个 OU 中。所有安全和分发组都在第二个 OU 中。组成员资格基本上是基于单个用户的,没有组嵌套。

我的问题:

  1. 对于这种规模的组织,是否值得根据部门、地理位置和/或对象类别(即计算机、用户、组)设计 OU 层次结构,并将用户、计算机和组移动到相关 OU 中?
  2. 如果是的话,您将如何构建层次结构,例如部门->位置->对象类?
  3. 我们是否应该在适当的情况下嵌套组,以便更好地映射到企业应用程序角色和 Exchange 地址条目?

答案1

以下是微软对AD逻辑设计建议的核心原则:

  • 首先设计控制委派,因为这是基于 AD 权限的,并且是最不灵活的修改轴。如果您不进行控制委派,那么不必担心这一点(但我还是会为此做计划——即使在这么小的组织中,您也可能需要分支机构中的指定用户能够重置密码等)。

  • 第二个设计是应用组策略。通过安全组成员身份过滤组策略应用允许 GPO 仅应用于目录中链接点以下的用户或计算机对象的子集,因此该轴比 AD 权限具有更多的灵活性。

  • 最后,设计要考虑组织性和易用性。让您自己和其他管理员能够轻松找到所需内容。

在设计时考虑这些注意事项,并按建议优先考虑它们。以后很容易(相对而言)更改内容,并且您永远不会在第一次尝试时“正确无误”。在对第一个域控制器进行 DCPROMO 之前,我通常会在纸上或白板上绘制拟议的结构,并介绍潜在的使用场景,以查看我的设计是否“经得起考验”。这是解决设计中问题的好方法。

(也不要忘记站点对象上的组策略应用程序。在站点上链接 GPO 时,必须小心跨域 GPO 应用程序,但如果您处于单域环境,则可以通过将 GPO 链接到站点来获得许多强大的功能。使用它来完成一些示例场景 - 我发现它非常适合加载具有“站点特定”设置的软件,或者通过环回组策略处理在登录到某些物理位置的计算机时向用户提供特定的登录脚本。)

答案2

我总是将用户、计算机和组分成单独的 OU,原因很简单,这样更易​​于管理。

如果您没有令人信服的理由采用特定的 AD 结构,那么请从管理角度设计您的 AD。考虑一下您将在哪里应用策略。

如果您在部门级别应用大多数政策,请使用 Department\Location\Object

如果您在位置级别应用大多数策略,请使用 Location\Department\Object

如果您以其他方式执行此操作,则意味着您必须在多个 OU 上链接您的策略,这会涉及不必要的工作。

嵌套组非常好,并且使得 AD 的管理更加容易。

我倾向于以“使其易于管理”为理念来设计 AD 结构,而不是反映物理公司结构,然而两者通常是相同的。

答案3

我想,如果我必须再次重新设计我的 AD,我会做一些不同的事情,但我发现:

用户 - 将这些人员划分为部门,但也要为临时或代理人员设立区域。这些人员的位置并不那么重要,因为毫无疑问人们会四处走动。

计算机 - 将其分为位置和子位置。例如 OfficeComputers/LondonOffice/Room103 (Finance)。这意味着您可以将设置应用于一个位置或办公室 - 例如不同的代理服务器或不同的防病毒设置(当然,只有当 AV 管理程序使用 AD 时才可以)- 无需重新组织,并且希望不必打开环回处理的麻烦。

我还发现不使用内置用户或计算机组很有用,这不是任何技术问题,而只是为了让您可以轻松地看到不应该出现的地方。

最后,也拆分您的服务器,我选择了位置/角色,似乎效果很好。

答案4

在这种情况下,我只是按位置拆分它们。 生成的 OU 结构将如下所示:

Location1
-Computers
-Groups
-Users

Location2
-Computers
-Groups
-Users

ETC。

我觉得这里没有必要进一步划分,例如按部门划分,因为这会产生额外的管理开销,而实际上不会带来太多回报。但是按位置划分可以让你在每个站点实施委派。

相关内容