如果我遇到对文件共享的安全性和分发组使用不当以及权限非常宽松的情况,那么最好的处理方法是什么?
是否有任何行业认可的工具可用于清理休眠/滞留/未使用的对象并更有效地管理权限?我想要一些建议。
有没有 Active Directory 治理文档?任何链接都非常感谢。
我有太多嵌套组,深度高达四层,我该怎么办?
最后,我在 AD 中拥有太多组策略。还有其他可用的应用程序交付方法吗?
答案1
不。确实,各方面都是如此。
例如,我居住的地方有一家大型知名跨国公司,其 GPO 超过 25,000 个。因此,尽管您可能认为 GPO 太多,而且太复杂(确实如此),但这并不是一个真正可以解决的问题。大型、复杂的组织具有复杂的关系,因此目录也非常复杂。没有办法解决这个问题。
唯一真正的解决方案是正确设计、执行和管理您的 AD 结构……这也不是一件容易的事,或者说,用“一些工具”就无法解决的事情。而且,即使有适当的设计和政策,您最终也会得到一个相对较大且复杂的 AD。这只是这种类型的数据的性质 - 数据量很大,并且跟踪很多关系和依赖关系,因此很复杂。这就是野兽的本质。
您的第一个目标是决定如何组织/设计您的 AD 结构和层次结构,这本身就是一个项目。
一旦你解决了这个问题,你就应该开始在当前环境中进行报告,这也不是一项简单的任务。有很多工具可以做到这一点,包括用于通过 LDAP 查询和获取数据的普通旧脚本,以及第三方工具。 Quest 的 Windows 和 Active Directory 报告工具这可能是您所问的“行业标准”,但它们价格昂贵,而且无论如何都不是灵丹妙药。例如,我为一家约有 1,000 名员工的公司进行了 AD 重新设计,其文件服务器上的文件权限报告生成了超过 25 万行的 Excel 电子表格。
然后,一旦你弄清楚了你想要去哪里,以及你现在在哪里,你就需要规划出一条到达那里的路。当然,这必须在环境运行时完成,因为在你整理事情的时候,你不可能让 AD 离线几个月。值得注意的是,这通常会导致你意识到建立一个全新的域或林来“迁移”现有环境会更容易、更好。
最后,完成所有这些后,必须制定政策和程序并执行保护新的和/或清理过的 AD 的结构和组织,否则您很快就会回到最初的混乱状态。
很多工作。
根据 AD 环境的规模和混乱程度,您可能最好只记录 AD 环境,解决容易解决的问题,并在清理特定区域时实施策略。例如,通过删除前雇员和空白组来清理组成员身份,并实施有关员工离职的程序,例如“运行以下脚本来确定组成员身份并从所有组中删除前雇员。”
但不管怎样,你都没有工具可以为你完成这件事,而且还需要付出相当大的努力才能完成。