我正在重新组织我公司的活动目录结构,因为它没有跟上公司结构的变化。
有几件物品我不确定是否可以移动。有人能告诉我是否可以移动以下物品吗:
Exchange Security Groups OU (Exchange 2010)
Exchange 2010 DiscoverySearchMailbox user account
Exchange 2010 SystemMailbox (x2) user account
Builtin groups found in the Builtin container
All builtin accounts/groups in the default "Users" OU
据我所知,Exchange 安全组 OU 可以整体移动,因为它具有众所周知的 GUID 和专有名称。我不太确定系统邮箱的帐户,尽管我想不出任何不可以的理由。我认为所有内置帐户都可以移动。
显然,上述陈述只有将它们移动到没有奇怪 GPO 的 OU 时才是正确的。
答案1
我无法真正谈论 Exchange,但我的态度是保持原样。我知道您正在清理,但我通常看到的是公司会在 AD 中为其公司创建一个“根 OU”,例如“ACME”,然后将所有对象/OU/结构放在里面该根 OU,保留其他内置/默认 AD 结构,不对其进行干扰。如果出于安全原因对其进行干扰,可以按照以下 Technet 文章/链接操作。
为了:
在内置容器中找到的内置组
Microsoft 建议您不要弄乱它们。它们是 AD 中的受保护组和文件夹,会定期对其应用特定的安全检查。
看这里: http://technet.microsoft.com/en-us/library/cc875827.aspx
Groups in the Builtin container cannot be moved to another location.
然而,你能Users如果您遵循 MS 的建议正确执行此操作,请将 OU中的管理帐户和组移动到安全 OU。
Strengthening Security on Service Administration Accounts and Groups有关详细信息和演练,请参阅该链接中的部分。我会高度不过,我建议在开始之前,先详细列出 AD 结构(包括 GPO),以确保不会将某些东西移入 OU,否则会造成严重问题。确保您的备份是最新的,我甚至建议对之前/之后的内容进行简单的截图,以便在必要时“回滚”。
答案2
清理和维护 AD 结构是一回事,但不要陷入“忙碌的工作”中。整理您/公司创建的 OU 和对象。保留所有内置和默认容器和对象。虽然移动其中一些项目可能没有任何问题,但事实上没有充分的理由这样做(或者非常非常少的充分理由这样做)。
你:“嗯......让我把它移到这里......”
电话:铃铃铃
你:“你好”
CEO/CIO/CFO:“我们 ERP/CRM 系统的电子邮件集成不再起作用。我们无法与客户沟通。我们正在分分秒秒地损失金钱!”
你:“哎呀”