我正在设计我的第一个 AD 结构,我读过不少关于最佳实践的文档,其中大部分都说要根据公司组织和设备来构建用户,因为它们与 GP 有关。我们的公司就像一个小城市,各个部门的功能截然不同,同时我们为计算机功能设立了独立的网络。
我的问题是,大多数人是否认为这种设计符合最佳实践,或者某些元素是否应该更通用,比如servers
在更高级别。我认为我们已经弄清楚了 OU 本身,只是不确定它们应该属于哪个层次。
- 域名.com
- 央视网
- 服务器
- 查看客户端
- 相机
- 公司网络
- Mac 客户端
- 台式机
- 笔记本电脑
- PC 客户端
- 安全终端
- 会计
- 服务器
- Mac 客户端
- POS 网络
- 售票终端
- 食品服务终端
- 现金处理终端
- 服务器
- 职员
- 管理人员
- 财务与会计
- 市场销售
- 餐饮服务
- 人力资源
- 维护与开发
- 风险管理
- 安全
- 急救
- 衣柜
- 特性
- 汽车旅馆运营
- 央视网
另外,这些 OU 是否应该位于域下的顶层,还是我应该创建一个单独的 OU 来容纳网络和员工?我读过不要使用域根目录中的默认值computers
和容器。users
答案1
您的员工 OU 看起来不错,但您可能希望将其放在名为用户的 OU 内。这样您就可以:
- ou=用户
- ou=工作人员
- ou=承包商
- ou=服务帐户
但这全是个人喜好。
对于您的硬件,您可能需要考虑按类型分组,因此:
- ou=服务器
- ou=cctv
- ou=客户端机器
- ou=pc
- ou=会计
- ou=mac
- ou=桌面
- ou=笔记本电脑
- ou=安全
- ou=cctv-摄像机
- ou=cctv-终端
- ou=pc
不过,所有这些都是个人喜好。据说,你总是会讨厌你的第一次部署。如果可以的话,试着用你的树做一些小规模的实验室测试,看看它是如何工作的,以及你感觉如何。
答案2
我建议使用计算机和用户根 OU。然后,您可以使用它们来固定组策略。在这里,根据您认为合理的内容进行划分。不过,有一个建议,这取决于您公司的性质……有些人沉迷于将组织结构映射到 AD。这可能很好,而且,别忘了 OU 代表组织单位,但根据我的经验,组织结构会发生变化,而且可能会经常变化。但是,如果您使用 AD OU 来简化域管理,我会认真考虑以更以 IT 为中心的方式进行拆分。例如:
ou=Corp Computers
ou=Servers
ou=CCTV
ou=Exchange
ou=File Servers
ou=xxxxx
ou=Client Machines
ou=MAC
ou=Laptops
ou=Desktops
ou=PC
ou=xxxxx
ou=Corp Users
ou = Normal Users
ou = Contractors
ou = Application
ou = Elevated Privileges
简而言之,使用 OU 可以让您的生活更轻松,并且不要忘记,一旦您设置了组策略,它们的真正功能就会生效。