我必须为我们公司安装一个 Active Directory 环境,这对我来说是第一次从头开始安装,所以我有一些疑问,基本上是关于结构的。
首先进行一些描述:
- 我们的用户(内部和外部)不足 100 人,所以数量不多
- 我们在不同地方、不同国家设有办事处
- 我几乎每个办公室都必须有域控制器(总共不超过 10 个)
我的计划和问题:
- 我想为所有用户使用一个域名,而不使用子域名。对吗?实际上,我看不出使用更多域名(甚至子域名)有什么好处。
- 我想使用组织单位来区分不同的用户。请参阅下面的规划结构
- 我可以在 DC 之间仅复制子树吗?喜欢吗
OU=country1, OU=Internal, CN=Users? - 我在某个 AD 中看到,他们没有对“普通”用户使用 CN=Users,而是在根目录中使用了新的 CN="Company Users"。这是一种常见的惯例吗?我看不出有什么理由不使用原始的 CN=Users 子树。
CN=Users
OU=Internal, CN=Users
OU=country1, OU=Internal, CN=Users
OU=country2, OU=Internal, CN=Users
OU=ADMINS, OU=Internal, CN=Users (The only non geographic group on this level for the company IT administrators)
OU=External, CN=Users: all the external users
OU=EXTERNALCOMPANY, OU=External, CN=Users
OU=OTHERCOMPANY, OU=External, CN=Users
如果有必要的话,我会使用 Windows 2012R2。
谢谢您的任何回复。
答案1
你的计划看上去不错。
对于少于 100 个用户,使用 10 个域控制器,这是非常高的 DC 与用户比率。严格来说,您不需要在每个办公室都使用一个域控制器。
- 如果站点没有域控制器,则由于身份验证和其他域服务流量会穿越该链接,站点链接上的流量会增加
- 如果网站链接断开,域名服务将不可用(这对您来说可能是也可能不是问题)
单一域名,不带子域名,听起来不错。微软不再建议使用子域名,除非在少数罕见情况下使用。
- 这里有一个很好的答案来回答你关于子域和 OU 的问题,而且,整个帖子可能值得一看,因为您似乎没有任何 Active Directory 经验。
- 这里有一个很好的答案来回答你关于子域和 OU 的问题,而且,整个帖子可能值得一看,因为您似乎没有任何 Active Directory 经验。
您无法在域控制器之间选择性地复制 OU。您也不想这么做。
不使用内置
Users或Computers容器是一种常见的惯例。(请注意,它们是容器,而不是 OU。)这些是新用户和计算机默认进入的位置,因此如果它们不用于其他任何用途,则会让生活更轻松。将它们用作层次结构的根容器通常不是一个好主意。
答案2
我首先对我的评论的散漫性表示歉意。
我想为所有用户使用一个域名,而不使用子域名。对吗?实际上,我看不出使用更多域名(甚至子域名)有什么好处。
对于几乎任何规模的组织来说,单域几乎总是首选,无论规模大小(尤其是自从微软增加了细粒度密码策略之后)。到目前为止,单域是最容易管理的配置。
域控制器计算机
如果每个物理办公室的用户都可以访问本地资源,以便在 WAN 发生故障时继续工作,那么在每个物理办公室中放置一个域控制器 (DC) 肯定是件好事。如果他们访问的所有资源都是远程的,那么部署这么多 DC 可能就没意义了。
如果您计划将每个办公室的 DC 也用作文件服务器,我强烈建议使用 Hyper-V 将 DC 作为单独的 VM 客户机托管。如果可能的话,您应该尝试将 DC 隔离以提供与域相关的服务,而不提供其他任何服务。这会减少您的攻击面。
想想如果有人从某个办公室偷走了 DC,会发生什么情况,并为此做好计划。您应该阅读只读域控制器 (RoDC) 的相关内容,看看它是否符合您的需求。如果 RoDC 被盗,则该 RoDC 上的密码将被泄露。如果传统的读/写 DC 被盗,则所有密码(和哈希krbtgt)都会被泄露,您需要重置所有密码(并重置哈希krbtgt并重新启动所有域成员计算机)。
站点、子网、复制
您需要配置站点和子网以允许 AD 正确管理复制拓扑。
我可以在 DC 之间仅复制子树吗?例如“OU=country1、OU=Internal、CN=Users”?
不要担心任何 AD 的选择性复制。您的数据太少,以至于任何选择性复制的尝试(子域的主要作用是复制)都只会导致更多的麻烦而不是好处。
请注意,站点间复制延迟(默认情况下站点间延迟为 15 分钟)将使您养成将远程管理工具直接连接到办公室 DC 的习惯,因为您想要进行对该站点中的用户立即“可见”的更改。(有一个选项可以启用站点间复制的更改通知协议,这将大大加快复制速度,但这不是产品的默认行为。)
OU 结构
管理控制委托是您在确定 OU 结构时应使用的第一个设计约束。例如,如果每个远程办公室都有用户可以充当“帮助台”并为本地用户重置密码,那么您将需要一个面向地理的 OU 结构(如您所提议的)。在某些公司中,OU 结构首先按部门/业务单位划分,因为委托管理是在部门/业务单位级别处理的。即使您现在不打算进行任何控制委托,也要考虑公司未来可能如何发展并尝试为此制定计划。(地理通常是人们的选择。)控制委托是指应用于目录中对象的访问控制列表 (ACL) 数量。由于一个对象只能应用一个 ACL,并且由于它从其所在的容器(大多数情况下为 OU)继承其 ACL,因此默认情况下,获取对象的位置非常重要。
第二个设计约束应该是组策略的应用。由于您是 AD 新手,因此您应该花一些时间阅读组策略。与控制委派不同,组策略在应用于“分散”在下属容器中的对象方面更加灵活(通过称为“安全过滤”的功能),因此您的 OU 结构反映您计划的组策略应用策略并不那么重要(尽管,当您可以将 GPO 链接到 OU 而无需任何安全过滤时,事情就变得不那么重要了很多更簡單)。
我在某个 AD 中看到,他们没有对“普通”用户使用 CN=Users,而是在根目录中使用了新的 CN="Company Users"。这是一种常见的惯例吗?我看不出有什么理由不使用原始的 CN=Users 子树。
实际原因是“CN=Users”对象是一个“容器”对象(不是 OU——比较“Active Directory 用户和计算机”中图标与“用户”和“域控制器”之间的区别),不能将组策略应用于它,也不能在其下创建 OU。“CN=Computers”容器也是如此。实际上,使用组策略的人不会将这些容器用于除放置在“CN=Users”中的默认用户帐户和组(一般来说,您不应该移动它们!)之外的任何其他用途。
您无法在“CN=Users”下创建所需的 OU 结构,因为您无权在此处创建 OU。典型的惯例是创建一个域级 OU,并将所有 OU、用户、计算机、组等置于该 OU 下。
看起来你已经有了一个很好的开始,但我会花一些时间在实验室中尝试一下,并思考常见的管理场景。花一点钱和时间阅读有关 AD 的一般知识和组策略的具体知识,我认为你会花上相当多的时间。