设计合适的 Active Directory 结构

设计合适的 Active Directory 结构

背景:

该公司是一家软件开发公司。董事总经理 (MD) 负责管理合约项目资源开发团队A开发一款手机应用,开发团队B开发另一款手机应用,每组各有1名负责人,团队由50名成员组成。

测试部门负责测试应用程序两个都开发团队。该部门有一名负责人和一支由40名员工组成的团队。

我们已经达成的共识是:

  • 一台运行 Active Directory 服务的 Windows 2008 R2 服务器
  • 一台充当文件服务器的 Windows 2008 R2 服务器,其中包含:
    • 项目合同
    • 项目资源
    • 移动应用程序源代码以及开发团队正在处理的所有开发文件
    • 测试用例、测试结果

简化的组织层级结构(https://i.stack.imgur.com/3OS6t.png) - 我需要 10 个代表才能发布图片。

我有点困惑该怎么做,因为文件服务器应该包含 MD、两个团队以及测试部门使用的信息。我想知道可以使用哪种合适的结构。

例如(我不确定这是否有意义):

company.local [域名]

  • 马里兰州 [OU]
    • 用户 [组织单位]
    • 文件 [OU] <- 这应该被视为 OU 吗?
  • 团队 A [OU]
    • 用户 [组织单位]
    • 文件 [OU]
  • 团队 B [OU]
    • 用户 [组织单位]
    • 文件 [OU]
  • 测试部门 [OU]
    • 用户 [组织单位]
    • 文件 [OU]

这是个好主意吗?如果不是,那么有什么好的替代 AD OU 结构吗?

谢谢!

答案1

我认为您混淆了文件结构和 Active Directory 结构。

您通常会在 AD 中创建 OU 来反映公司的逻辑组织(因此不同部门使用不同的 OU 是可以的)。但是 - OU 的真正目的是通过组策略分别管理计算机组或用户:无法直接通过 OU 控制文件访问。

因此,根据您想要设置组策略的方式,您可以为所有用户设置一个 OU,为所有计算机设置另一个 OU,然后为不同的团队创建单独的安全组。

我通常的做法是,为服务器上的每个文件夹/共享创建一个安全组。因此,对于共享“Finance”,我将创建安全组“FS_Finance”,并授予该组对文件夹共享的权限。然后,我将“Finance Team”安全组添加到 FS_Finance 组(因为他们需要访问权限)以及个人用户(例如 MD)。

但是……您的问题表明您不太清楚 Active Directory 的工作原理。由于它本质上成为网络的核心,因此了解如何在 DNS、DHCP 等方面进行设置非常重要。您还需要考虑拥有两个 AD 域控制器 - 如果您唯一的域控制器死机了会发生什么?您将无法进行身份验证或访问任何域资源。

这只是一些考虑,值得征求外部建议以确保正确完成。

相关内容