我正在重新组织我公司的活动目录结构,因为它没有跟上公司结构的变化。
有几件物品我不确定是否可以移动。有人能告诉我是否可以移动以下物品吗:
Exchange Security Groups OU (Exchange 2010)
Exchange 2010 DiscoverySearchMailbox user account
Exchange 2010 SystemMailbox (x2) user account
Builtin groups found in the Builtin container
All builtin accounts/groups in the default "Users" OU
据我所知,Exchange 安全组 OU 可以整体移动,因为它具有众所周知的 GUID 和专有名称。我不太确定系统邮箱的帐户,尽管我想不出任何不可以的理由。我认为所有内置帐户都可以移动。
显然,上述陈述只有将它们移动到没有奇怪 GPO 的 OU 时才是正确的。
答案1
我无法真正谈论 Exchange,但我的态度是保持原样。我知道您正在清理,但我通常看到的是公司会在 AD 中为其公司创建一个“根 OU”,例如“ACME”,然后将所有对象/OU/结构放在里面该根 OU,保留其他内置/默认 AD 结构,不对其进行干扰。如果出于安全原因对其进行干扰,可以按照以下 Technet 文章/链接操作。
为了:
在内置容器中找到的内置组
Microsoft 建议您不要弄乱它们。它们是 AD 中的受保护组和文件夹,会定期对其应用特定的安全检查。
看这里: http://technet.microsoft.com/en-us/library/cc875827.aspx
Groups in the Builtin container cannot be moved to another location.
然而,你能Users
如果您遵循 MS 的建议正确执行此操作,请将 OU中的管理帐户和组移动到安全 OU。
Strengthening Security on Service Administration Accounts and Groups
有关详细信息和演练,请参阅该链接中的部分。我会高度不过,我建议在开始之前,先详细列出 AD 结构(包括 GPO),以确保不会将某些东西移入 OU,否则会造成严重问题。确保您的备份是最新的,我甚至建议对之前/之后的内容进行简单的截图,以便在必要时“回滚”。
答案2
清理和维护 AD 结构是一回事,但不要陷入“忙碌的工作”中。整理您/公司创建的 OU 和对象。保留所有内置和默认容器和对象。虽然移动其中一些项目可能没有任何问题,但事实上没有充分的理由这样做(或者非常非常少的充分理由这样做)。
你:“嗯......让我把它移到这里......”
电话:铃铃铃
你:“你好”
CEO/CIO/CFO:“我们 ERP/CRM 系统的电子邮件集成不再起作用。我们无法与客户沟通。我们正在分分秒秒地损失金钱!”
你:“哎呀”