我正在重组我所在机构的本地活动目录服务器的层次结构。我想知道是否有人知道我可以在哪里找到此任务的最佳实践。例如,将机器和用户放在单独的 OU 等中是否更好,或者是否有任何带有示例的站点可以让我查看以获取想法。
例如
- 域名.本地
- 电脑
- 用户
- 公司电脑
- 服务器
- 工作站
- 会计
- 它
- 行政
- 公司用户
- 行政
- 会计
- 它
谢谢
答案1
在提及 Active Directory 结构时,“最佳实践”一词是指非常开放式的。有多种因素将决定什么才是最适合您的环境的,并且 Microsoft 发现,适合一家企业的方法不一定适合另一家企业。
尽管如此,Microsoft 建议您以以下方式组织 AD 结构逻辑方式,将具有相似属性且应共享相似管理属性的对象分组在一起。
您可能想要组合在一起的项目可以包括(但当然不限于)以下内容
- 对象的物理位置
- 这些对象的组策略的预期效果(除非另有说明,否则所有对象都遵循相同的组策略)
- 计算机操作系统
- 对象类型(计算机、用户、组、一般电子邮件地址等)
- 对象所属部门
- 权限结构
- 登录/注销或启动/关闭期间应在对象上运行的脚本
- ETC
哪种结构最适合您,将由您决定。70-640考试专门针对 Active Directory 管理,可能会成为您构建组织结构的宝贵资产
编辑:为了反映 Zoredache 所指出的内容,但灵活性是 AD 结构的重要组成部分。公司是动态的,您应该规划灵活的 AD。关键是在功能性和灵活性之间找到良好的平衡。
答案2
您的结构总体上看起来还不错。我的一个建议是这样的。不要按部门或按程序创建 OU,除非计算机差别很大,或者您的部门很大,而且您确实需要将它们分开,因为单个 OU 中会包含很多对象,而这些对象会将所有人合并在一起。
我不知道您的组织情况如何,但我见过其他组织,他们有“流动”人员,可以根据需要在各个部门之间调动。这使得部门级 OU 变得难以详细处理。
我见过有人因为人们在多个部门工作而做出一些不好的事情,比如建立一些愚蠢的东西,比如下面这样,他们创建了作为连接的 OU。要记住的关键是,组策略很容易应用于群组使用安全过滤选项。添加人员到群组根据需要创建仅适用于特定群组尝试构建允许与群组相同程度的灵活性的 OU 结构是困难的或不可能的。
- 公司用户
- 行政
- 会计
- 它
- 行政与会计
- 行政与 IT
- 会计与 IT
答案3
我按照部门来设置,现在有些人同时在两个部门工作,管理起来确实更麻烦。所以从我的经验来看,我不推荐这样做。