我必须向 Windows Server 2003 Active Directory 中的某个用户授予某些权限,这些权限仅在特定的用户集合中有效。最初的想法是只创建一个 OU,我们将授予该特定用户某些权限(创建用户、重置密码、将用户添加到组等)。但是,在进一步阅读之后,我不确定是否需要 OU,而且我真的不确定什么时候需要 OU。这让我很烦,我真的想在使用或不使用 OU 之前更好地了解它们的用途。
我在网上搜索了很多,结果各不相同,从模糊的“使用组织单位来组织 AD”到有点具体“如果一个完全独立的组需要对部分用户进行特殊的管理访问,则将 OU 添加到域中。”此时,后者听起来最合适。从技术上讲,您只能在 OU 上使用控制委派向导。但是,我认为没有什么可以阻止我手动将权限单独分配给域组并有效地拥有相同的权限。我在这里遗漏了什么?谢谢。
答案1
一般来说,OU 用于:
保持事物整洁有序。您的用户与群组隔离,您的群组与计算机隔离,站点 A 中的对象与站点 B 中的对象隔离,等等。
控制委托。只有当您拥有多个访问级别或多个站点且每个站点都有不同的管理员时才真正需要。即便如此,我还是会提前计划并进行设置以启用它。
组策略。由于策略应用可以通过权限或 WMI 过滤器进行管理,因此并非完全必要,但同样,如果用户在 OU X 中,则他们可以获得策略 Y,这有助于了解这一点。
请注意,在上面不能将 GPO 应用于容器,因此如果您不创建 OU,则必须将所有 GPO 设置在顶级(域)级别,并使用 WMI 或安全性对其进行过滤。更轻松您和其他所有人都可以只使用 OU,除非您遇到您想要/需要的特定策略无法使用 OU 模型来完成(或者可以完成但很混乱)的情况。
除了我最后两点中提到的明显的技术要求外,我认为保持整洁就足够了。例如,从 100 个列表中找到您想要的对象比从 1500 个列表中找到它更容易。它还将您创建的对象(主要是用户、计算机和组)与内置对象分开,这有助于防止发生严重事故(“好吧,谁删除了管理员帐户?”)。
答案2
OU 用于组织 Active Directory 中的对象。典型示例如下:
myDomain.loc
├─Users
├─Servers
│ ├Domain Controllers
│ └Member Servers
└─Workstations
├New York
├London
└Brisbane
这样可以更轻松地直观地区分域中的对象,而不必依赖记忆或四处挖掘。使用此结构,您还可以将策略应用于特定容器。您可以将通用 Internet Explorer 策略应用于工作站 OU,以便它适用于该树中的所有子对象。然后,您可以为子 OU 设置特定的 Internet Explorer 设置(例如,为伦敦工作站设置 IE 主页的不同策略,为纽约工作站设置不同的主页等)。
在您的具体示例中,您似乎希望将 AD 控制权委托给一组用户。在这种情况下,正确的方法是创建一个新的安全组,并使所有目标用户成为该组的成员。然后,您将打开 AD 用户和计算机,右键单击您希望用户/组控制的 OU,然后选择委托控制。
现在...如果您正确组织了 AD,您就可以精细地控制您希望该组用户控制的内容。例如,您可以创建一个名为 NewYork-Admins 的组,并将该组的控制权委托给纽约工作站,而不是所有工作站。
对于这种类型的委派,理想的 AD 结构应该是与以下类似的结构:
myDomain.loc
├─Domain Controllers
├─Special Users
└─Locations
├─New York
│ ├─Users
│ ├─Workstations
│ ├─Servers
│ ├─Contacts
│ ├─Servers
│ └─Groups
├─London
│ ├─Users
│ ├─Workstations
│ ├─Servers
│ ├─Contacts
│ ├─Servers
│ └─Groups
└─Brisbane
├─Users
├─Workstations
├─Servers
├─Contacts
├─Servers
└─Groups
这使得您能够以非常精细的方式将控制权委托给 AD 对象。
答案3
我创建了两个 OU,一个用于存储“员工”,另一个用于存储需要向我们的 FTP 服务器进行身份验证的客户端。
我使用 OU 的原因是我的某些设备可以通过 LDAP 进行身份验证,但不能(似乎?)仅识别组成员身份。此外,封锁外部帐户“感觉”更好。如果我有更大的基础设施和更多的客户,我会为他们创建自己的域。