我计划为 70 台计算机和 50 多个用户创建一个基于 Windows Server 2008 的域,这些域将分布在两栋不同的建筑物中,由一条专用的 100 Mbps 线路连接。我计划在两栋建筑物中使用一个域控制器。我们预计在 3 年内将增长到 150 台以上计算机和 100 个用户。我们的大部分工作涉及大型文件共享(目前有几 TB 的文件服务器)和一些专门的研究硬件和软件。
我不确定在域中组织用户的最佳方式是什么。我应该按组织单位安排他们吗?我应该使用组吗?两者结合?甚至是多个域?您能针对这种规模和复杂性提出一些指导方针吗?
提前谢谢了。
答案1
你不需要多域环境。只有在以下情况下才需要使用多域环境:有(在 Windows 2003 环境中,对不同用户使用不同的密码策略,使用域作为两个或多个非常大的环境的复制边界)。单域环境是可行的方法。
您在每个物理位置放置至少一个 DC 是正确的。请确保设置 AD 的“站点”和“子网”配置,以便 AD 可以做出智能复制决策,并且(更重要的是)客户端计算机可以做出智能决策,决定在登录期间与哪个 DC 通信。两个 DC 都应勾选为“全局目录”服务器,并应为其位置的 PC 提供 DNS 服务。(您应该将远端 DC 指定为 PC 的辅助 DNS 服务器,但您希望它们首先与其位置的 DC 通信。)
在 Active Directory (AD) 中将用户、计算机、组和其他对象组织到 OU 中基于两个标准:
- 在 AD 中委托管理任务的控制
- 组策略的应用
作为第三个考虑因素,您可能会将 AD 中的对象组织得在视觉上易于定位,但这完全是出于美学考虑。
控制委派与修改 AD 中的默认权限有关,以允许其他用户执行管理任务。想象一下这样一个场景:您有一个异地分支机构,而该办公室中有一位“IT 高级用户”,她想为办公室中忘记密码的用户执行密码重置。
通过将控制权委托给她(将她放在一个组中并将控制权委托给该组)来重置密码仅有的在代表她办公室用户的用户帐户对象所在的 OU 上(可能在子 OU 中——委派默认继承到子 OU),您授予她仅为这些用户重置密码的权限。
在小型组织中可能没有大量的控制委托,但是当您在“白板”上描述您的潜在配置时至少应该考虑这一点。
组策略通常通过将组策略对象链接到 OU 来应用于用户或计算机。(完全可以使用没有任何 OU 的组策略,但这很麻烦,而且不是一种现实的部署策略。)例如,如果您需要通过“软件安装策略”将应用程序安装到会计部门的所有 PC 上,那么将 PC 组织到代表部门的 OU 中将使您能够轻松地将 GPO 定位到所有这些 PC。
组策略的应用可以通过其他方式控制(用户或计算机的组成员身份、WMI 过滤、通过链接到“站点”对象的组策略对象的 IP 子网),而控制委派只能在 OU 基础上进行。因此,控制委派是您首先要考虑的设计问题(即确保建议的 OU 布局适合您所需的控制委派策略),而组策略应用(更灵活)是次要问题。
最好找一个熟悉 Active Directory 的人坐下来和你聊几个小时,问你一些关于如何使用 AD 的问题,然后提出一个设计方案。这听起来像是一个非常简单的环境,OU 层次结构以后很容易重新设计,但一个好的 AD 顾问可能会给你一些很好的想法,随着你的成长,这些想法可以让你最大限度地减少管理费用并简化向用户提供功能的流程。
编辑:
我对您评论中的“OU 层次结构应该复制我组织的结构”的说法有些异议。OU 层次结构应该支持您所需的控制委派和组策略应用策略。如果它碰巧与您的“组织结构图”或其他组织结构图相似,那就这样吧。但是,AD 不是“组织结构图”,您不应假设 OU 层次结构最终会看起来像任何现有的组织结构图。
安全组用于授予共享文件夹等资源的权限。(您也可以在权限中命名单个用户,但除了主目录等极端情况外,您不应该这样做。)OU 不是“安全主体”——即它们没有与之关联的安全标识符 (SID),因此不能在权限中命名。
AD OU 层次结构用于控制组策略应用。
在 OU 层次结构上设置的权限(以及这些权限之下的层次结构)控制 Active Directory 中管理职责的委派。
有时,创建“会计”OU 和“会计”安全组感觉像是重复。不幸的是,产品就是这样设计的。不过,在很多情况下,我并没有遇到过这种情况。
令人费解的是,安全组是 AD 对象,因此可以更改其权限以允许任意一组用户控制该组的成员身份。该组又可用于控制其他类型的访问(例如,共享文件夹的权限或在 AD 中执行其他管理任务的权限)。这种性质的最容易理解的组是“域管理员”。委派某人控制“域管理员”组成员身份的权限(有意或无意地)可以授予该委派管理员将某人(可能是他们自己)提升为“域管理员”的权利。
基本上,在设计时需要仔细考虑对安全组成员的控制委托。你可以用它做一些非常强大和有趣的事情,但你需要仔细考虑。