合适的 AD 结构——按组织划分的用户、按网络划分的设备?

合适的 AD 结构——按组织划分的用户、按网络划分的设备?

我正在设计我的第一个 AD 结构,我读过不少关于最佳实践的文档,其中大部分都说要根据公司组织和设备来构建用户,因为它们与 GP 有关。我们的公司就像一个小城市,各个部门的功能截然不同,同时我们为计算机功能设立了独立的网络。

我的问题是,大多数人是否认为这种设计符合最佳实践,或者某些元素是否应该更通用,比如servers在更高级别。我认为我们已经弄清楚了 OU 本身,只是不确定它们应该属于哪个层次。

  • 域名.com
    • 央视网
      • 服务器
      • 查看客户端
      • 相机
    • 公司网络
      • Mac 客户端
        • 台式机
        • 笔记本电脑
      • PC 客户端
        • 安全终端
        • 会计
      • 服务器
    • POS 网络
      • 售票终端
      • 食品服务终端
      • 现金处理终端
      • 服务器
    • 职员
      • 管理人员
      • 财务与会计
      • 市场销售
      • 餐饮服务
      • 人力资源
      • 维护与开发
      • 风险管理
      • 安全
      • 急救
      • 衣柜
      • 特性
      • 汽车旅馆运营

另外,这些 OU 是否应该位于域下的顶层,还是我应该创建一个单独的 OU 来容纳网络和员工?我读过不要使用域根目录中的默认值computers和容器。users

答案1

您的员工 OU 看起来不错,但您可能希望将其放在名为用户的 OU 内。这样您就可以:

  • ou=用户
    • ou=工作人员
    • ou=承包商
    • ou=服务帐户

但这全是个人喜好。

对于您的硬件,您可能需要考虑按类型分组,因此:

  • ou=服务器
    • ou=cctv
  • ou=客户端机器
    • ou=pc
      • ou=会计
    • ou=mac
      • ou=桌面
      • ou=笔记本电脑
    • ou=安全
      • ou=cctv-摄像机
      • ou=cctv-终端

不过,所有这些都是个人喜好。据说,你总是会讨厌你的第一次部署。如果可以的话,试着用你的树做一些小规模的实验室测试,看看它是如何工作的,以及你感觉如何。

答案2

我建议使用计算机和用户根 OU。然后,您可以使用它们来固定组策略。在这里,根据您认为合理的内容进行划分。不过,有一个建议,这取决于您公司的性质……有些人沉迷于将组织结构映射到 AD。这可能很好,而且,别忘了 OU 代表组织单位,但根据我的经验,组织结构会发生变化,而且可能会经常变化。但是,如果您使用 AD OU 来简化域管理,我会认真考虑以更以 IT 为中心的方式进行拆分。例如:

ou=Corp Computers
   ou=Servers
       ou=CCTV
       ou=Exchange
       ou=File Servers
       ou=xxxxx
   ou=Client Machines
       ou=MAC
           ou=Laptops
           ou=Desktops
       ou=PC
           ou=xxxxx
ou=Corp Users   
    ou = Normal Users
    ou = Contractors
    ou = Application
    ou = Elevated Privileges

简而言之,使用 OU 可以让您的生活更轻松,并且不要忘记,一旦您设置了组策略,它们的真正功能就会生效。

相关内容