Active Directory 结构规划?

Active Directory 结构规划?

可能重复:
如何规划新的 Active Directory 结构?

我正在为一家由六个截然不同的业务部门组成的跨国公司规划一个新的 Active Directory 结构。

有人可以解释和/或推荐一些关于这个实现的指针吗?

每个业务部门目前都有自己的 Windows NT 4.0 域和全套 IT 人员(管理员和服务台)。

我可以为该组织选择哪种类型的结构?为什么?此外,与其他选择相比,这种设计可能产生什么影响?

答案1

有多种因素会影响 AD 设计,我可以看到您的设计中存在一些棘手的问题。以下因素会影响您的森林最终的设计方式:

  • 政治“六个截然不同的业务部门”。这可能就是您花费最多时间的事情。每个业务部门都有自己的做事方式,而 AD 结构需要与这些方式兼容。即使这些方式与其他 BU 的工作方式截然相反。
  • IT 决策流程这可能是政治的一个子集,但这一点将极大地影响您的最终设计。如果业务经理可以否决这一级别的 IT 决策,那么就会产生影响。业务部门之间的争论对流程的影响也是如此。
  • WAN 链接各个站点之间的紧密程度将决定几个关键决策。如果站点可用性高,您可以节省一些成本。如果站点不可靠或速度慢,则可能会迫使您做出其他决策。
  • 组织规模每个地点的员工数量也会影响某些决策。大型组织将拥有自己的独立 IT 部门。每个 BU 都已经拥有这样的部门(您这么说),但这些 BU 内的大型子部门可能也是如此。
  • IT行政架构管理特定用户群体的人员将为最终的结构提出一种层次结构形式。
  • 业务管理架构组织结构图的外观将暗示最终结构的另一种层次形式。

从这里看来,无论实际域如何布局,您似乎都拥有多站点(AD 术语)基础设施。WAN 链接的位置和质量将决定必须声明站点的位置。每个站点都需要自己的域控制器和全局目录,无论实际域如何布局。您已经预先构建了 6 个站点(那些预先存在的 NT4 域),但最终可能会有更多站点。如果您最终拥有多个域,则某些站点可能需要多个 DC;运营需求将决定这一点。

Windows 2008 提供的一项非常有趣的功能是只读 DC。这是一个包含域数据库完整副本(减去安全原则)的 DC。可以声明允许对其进行身份验证的用户组,并且 RODC 将缓存这些凭据。这对于跨不稳定 WAN 链接的小型站点非常有用,因为它允许这些用户在其 WAN 链接中断时仍能够进行身份验证并使用域资源,并且如果 DC 计算机本身被盗,则对公司的暴露程度会降到最低。这些相对较新,因此处理它们尚未出现在互联网上的所有 AD 设计文档中。

这就是网络基础设施,也是最简单的部分。现在到了最难的部分。弄清楚:

  • 如果需要多个域
    • 如果有,有多少
  • 域内的组织单位布局,或管理此类组织的政策
  • 管理组策略管理的策略
  • 处理对 IT 实体的适当权利委托

域名数量

单一域名可以让一些事情变得简单,这也是人们所期望的。但是,由于有六个截然不同的业务部门,这可能在政治上是不允许的。主要的症结在于谁是域管理员,以及这些人是否受到普遍信任。一些团体可能坚持认为他们需要拥有完全的域管理员权限,但不允许其他团体在他们的领域拥有这些权限。这些争斗导致了多个域树的出现。

如果同意使用多域林,那么接下来的斗争将是谁成为企业管理员。必须有人来担任,而且他们可能是中央办公室类型的。这方面的不确定性,加上业务经理担心保护他们的影响范围而参与这一技术过程,可能会迫使您进入一个多林环境,并精心选择跨域信任。这是最像旧 NT 样式域的模型。如果可能的话,您不希望出现这种情况。

了解“域管理员”究竟允许哪些不能以某种方式委派的任务,以及任何愿意倾听的人,都将为您带来回报。人们确实担心“外国管理员会查看我们的东西”。如果您有足够的委派,您可以在不成为域管理员的情况下执行相当多的 AD 管理任务,而这正是可以安抚紧张的经理们的事情。

拥有多个域可能需要您在特定站点中为多个域拥有 DC。总部(如果有)是实现此目的的好地方,但请尽量避免在其他办公室需要它。

组织单位

确定域结构后,下一步就是确定域内的组织单位结构。这一点很重要,因为 GPO 依赖于此结构,而精心挑选的结构可以降低 IT 支持成本。在此过程中,政治也可能再次抬头。

如果您最终拥有多个域,那么关于 OU 结构的宏大统一策略可能无法实现;决定权可能最终落到每个域的域管理员手中。

如果您最终拥有一个或几个大型域,则更有可能采用统一的 OU 策略,尽管它可能最多覆盖最高两个级别。

至于良好的 OU 政策,有几种不同的观点。

  • 以 IT 管理结构为基础
  • 基于组织结构
  • 前两者的混合(先 Org 再 IT,先 IT 再 Org)
  • 不要费心使用 GPO 过滤来完成繁重的工作

基于 IT 管理结构可以大大简化需要分配哪些权限来支持正常 IT 功能的过程。权限在某些关键级别授予,并适当过滤。缺点是,它可能会导致一些不明显的配置,这可能会让刚接触该环境的人感到困惑。

基于组织结构,整体结构易于理解,并可协助任何身份管理集成,因为所有类似用户的位置都类似。缺点是 IT 权限管理可能会变得非常分散。

使用混合模型需要为顶层选择一个标准,为子层选择一个不同的标准。这种方法并不适用于所有人,但众所周知,这是一种非常有效的折衷方案。尤其是在主要业务部门不经常变动的情况下。

身份管理解决方案倾向于采用这种做法,即抛弃结构并过滤所有内容,因为它确实真正简化了对象放置规则。这给 IT 人员带来了更多困难,因为仅通过查看 OU 结构无法确定哪些 GPO 适用于哪些位置,他们必须实际查看每个 GPO 并了解其过滤方式。但如果用户、组和计算机管理仅通过外部工具(如 IDM 集成或非 MS 管理门户)进行,那么这可能并不重要。

组策略管理

有些政策是企业范围内的,会影响到每个人,因此在实施之前,需要在最高级别解决 GPO 管理问题。其中一些肯定会委托给区域 IT,但具体到什么程度将取决于域和 OU 决策的制定方式。

需要制定某种企业范围的管理框架。最终,高层管理员可能不再关心将打印机推送到特定办公楼层的 GPO,但仍有一些政策会影响到非常大的区域。

权利委托

如果存在多域环境,并且 OU 由本地控制,那么这里就没什么可决定的了。每个区域都会做自己的事情,谢谢。OU 结构和域结构将决定如何委派权限,IT 和业务管理将决定将权限委派给谁以及为什么委派。最好尽早解决这些流程。

答案2

鉴于您给出的有限细节,我将创建一个 6 域林。出于某些原因,您可能希望在林根处有一个空域,至少对于 Win2k/Win2k3 和 PKI 而言是这样。对于 Win2k8 和/或如果您没有 PKI,这可能并不重要。

相关内容