我是一名教授 Active Directory 的老师,一段时间以来我一直在思考以下问题:在规划新的 AD 结构时,将 DIT(目录信息树)中的位置创建为 OU 是否有意义?或者这不是一个好主意,因为无论如何都可以将位置设置为对象?这里有什么好的方法吗?
支持将站点作为 OU 的论据是什么?反对将站点作为 OUst 的论据是什么?
答案1
站点和子网配置的正常做法是尽可能紧密地描述物理网络,并使用站点链接描述各个站点的连接方式。如果操作正确,这可让 AD 做出一些非常明智的决定,确定使用哪些 DC 来提供身份验证等服务(例如,如果某个站点在一段时间内出现故障,哪个 DC 应该接管该站点)。在大型企业中,这一点至关重要。重要的一点是确保您还为所有子网定义了子网对象,因为设备在启动 Windows 时要做的第一件事就是尝试确定它在哪里。如果它无法确定,则您网络中的任何 DC 都可用于身份验证,如果您在一根潮湿的绳子远端有一个未充分利用的 DC,这可能会导致性能非常缓慢!
答案2
根据位置还是根据组织结构图创建 OU,并没有正确或错误的答案。即使两者结合也可能有效。答案 100% 取决于组织的需求。相信我,无论你选择哪种布局,都不会让每个人都满意。在我看来,创建 OU 的主要目的是委派管理权限。当你还创建安全组并将 OU 的控制权委派给该组时,OU 可以划分 AD 对象的责任。这解决了了解谁管理什么的最大难题。
创建 OU 的其他典型原因(例如应用 GPO 或确定对象的地理位置)可以通过更简单的方式实现。可以使用 WMI 筛选器、安全组筛选或链接到 AD 站点来应用 GPO。不要仅为了应用 GPO 而创建 OU,除非该 GPO 是通过受限组 (提示) 填充本地管理员组。对象的物理位置应存储在每个对象的属性中。当您想知道该用户或计算机位于哪个城市或建筑物中时,请查询这些属性。您几乎无法控制从一个位置移动到另一个位置的人员,这就是基于位置的 OU 结构无法很好地告诉您某物的实际位置的原因。当然,属性最终也可能是错误的,但更新属性的影响比更改 OU 要小。
答案3
Active Directory 为您提供了一种将逻辑拓扑与物理拓扑分开的方法。
您可以定义多个站点,每个站点都有域控制器。站点映射到 IP 子网,域中的每台计算机都可以根据其 IP 子网查找“最近”的域控制器。您还可以管理站点之间的 AD 信息复制。
您绝对应该利用这一点,因为 AD 的结构是多站点和站点弹性的。
TL;DR:你应该不是将物理站点映射到 OU,不要使用多个域。AD 完全有能力处理多个站点;处理此问题绝对不需要多个域或特定于站点的 OU。