我正在尝试修复完全没有规划和结构化的 Active Directory 层次结构。在 Windows Server 2000 上首次创建域时,没有为用户或计算机创建任何容器或 OU。所有用户都集中到默认的“用户”容器下,所有计算机都集中到默认的“计算机”容器中。
域最终升级了,我现在有两个 Windows Server 2008 x64 DC。但当然,当前的结构或缺乏结构对于分配权限和应用组策略来说是一场噩梦,所以我需要重新构建整个结构。
我的问题是,将用户和计算机移动到 OU 和组时,我应该预料到什么样的业务中断(如果有的话)?
关于如何做到这一点有什么建议吗?有任何最佳实践的指示吗?
为了以防万一需要,其余环境是 Windows Server 2008 文件服务器、Windows Server 2003 R2 打印服务器、Windows Server 2003 R2 Exchange 2003 服务器和运行 SQL Server 2005 SP2 的 Windows 2003 R2 x64 服务器。
答案1
如果与 Active Directory 交互的服务全部(或主要)来自 Microsoft,则不应有任何中断。Microsoft 产品知道如何动态查找帐户,因此您的重组对您的操作环境是透明的。绑定(例如通过 LDAP)到目录的高级并执行子树搜索的其他产品也应该不受影响,具体取决于它们绑定的级别。
您应该查看其他可能使用 Active Directory(再次通过 LDAP 或类似方式)并在目录中查找对象时对较低级别容器对象(OU)或叶级对象(帐户、组等)进行硬编码绑定的服务。您的重组将导致这些查找失败。
例如,我们使用非 MS 数据库平台,该平台确实与 AD 绑定以进行用户身份验证。但是,它维护自己的内部用户数据库,因此在为该系统创建登录名时,我们必须将绝对 ADsPath 与每个用户帐户关联。当用户帐户移动到不同的 OU 时,该用户的身份验证将中断,直到我们使用新的 ADsPath 更新该帐户。
自动搜索这些服务并非易事,因此如果您确实拥有这些服务,我强烈建议您维护连接到 AD 的应用程序/服务的清单。
答案2
您不应该期望任何中断。将对象移动到不同的容器不会导致任何中断。由于您无法将策略直接应用于默认 OU,因此您甚至不必担心确保在新的 OU 上应用正确的策略。
差不多,你就可以开始了。
就最佳实践而言,我倾向于在新环境中创建三个顶级 OU。用户帐户、组和机器(或类似于计算机的东西)。从那里,我为特定类型的机器(如服务器/工作站)、管理组/分发组/资源组等创建子 OU。这样,就可以轻松地使用广泛的策略定位所有用户/计算机,同时仍将更具体的策略链接到更具体的 OU。