我问了一个问题这里之前也收到过一些很好的反馈。我也读过一些关于 AD 设计和部署的书籍和文章。
现在我有另一个疑问:如果我在总部设计 AD 并使用如下所示的 OU……那么是否可以通过 OU 管理其他站点办公室的用户?
我计划的AD设计如下:
Domain
(OU)--- Head Office
(OU)--- Various Departments (Acc, Fin, Sales...)
(Objects)
(OU)--- Site Office_1
(OU)--- Various Departments (Production, Commercial, Power....)
(Objects)
(OU)--- Site Office_2
(OU)--- Various Departments
(Objects)
设计我的 AD 结构是一个好主意吗?
答案1
是的,您可以从任何位置管理所有 AD(可能如果您在远程站点使用只读域控制器,则可能会出现问题,但这是另一个话题)。
您不需要将 AD 对象组织到将站点分组在一起的容器中(您实际上可以定义一个 AD 站点,并根据每个站点分配策略)。
最终,让您的 OU 结构为您和您的同事管理员服务。如果 Site Office_1 也有 Acc 部门在那里工作(或者将来某个时候可能),那么按站点分组对象可能不是最佳选择,因为要将策略应用于所有 Acc 用户和计算机,您必须在 AD 结构中的多个位置应用该策略。
不过,这确实取决于贵公司的需求。以任何方式组织 OU 结构都会让您的工作更轻松。贵公司以外的人很难知道最佳解决方案是什么,因为这实际上取决于您的要求。
答案2
这种结构是可行的。这种设计非常适合每个部门都有足够多的用户来保证为该特定站点建立一个 OU 的公司。因此,您必须回答的问题是 - 我是否有足够的用户和计算机来证明这种设计是合理的,或者如果每个部门只有 3-4 个用户,那么为每个部门提供一个 OU 是否有点过分。您将如何处理将时间分配到多个部门的员工?
Active Directory 的优点在于,有多种正确的方式来设计系统以满足您的需求。除了为每个站点创建多个 OU 来处理您的业务功能领域之外,我还在许多环境中工作过,这些环境中只有一个或两个 OU 供用户使用(一个用于生产工人,一个用于办公室工作人员,在一个拥有约 5,000 名员工的站点中),我还见过 OU 完全基于功能领域的参考设计。
您的设计需要反映您的业务实践,并且需要对维护它的人们有意义。