我想为我的 Active Directory 域采用最佳结构,以便能够有效地应用 GPO。这是我的架构:CompanyName\ServiceName{Users, Groups, Workstations, Laptops}
我的第一个问题是关于地理站点的:我们有两个地理站点,创建这种层次结构是否更好:CompanyName\GeographicalSiteName\ServiceName{Users, Groups, Workstations, Laptops} 或使用站点策略处理地理站点 GPO?事实上,如果将某些服务分散在两个站点上,这种组织方式可能会导致某些服务出现重复。
我的第二个问题是关于{用户、组、工作站、笔记本电脑},您认为有更好的组织吗?
非常感谢
答案1
这是一个非常开放的问题,很大程度上取决于贵组织的运营方式。你们的工作是否经常跨越地理界限,还是大多数工作都局限于特定地点?
我个人倾向于创建几个低级 OU
/people
/groups
/services
/hosts
人们是根据组织结构(逻辑上)进行组织的。
群组也基于组织结构(包含用户,例如“IT-Operations”)
服务包含服务帐户和每个服务的 2 个以上组(例如“文件服务器管理员”,它是“文件服务器用户”的成员),这些组仅包含组织组。在这种情况下,您需要将 IT 操作添加到文件服务器管理员,并将文件服务器管理员添加到文件服务器上的管理员本地组。
主机应包含域中具有 IP 地址的任何内容(或需要在 AD 中表示的内容,如打印机等)。我按地理位置将它们分开,因为它们是物理资源,并且计算机 GPO 经常需要尊重位置。
DNS 与主机对齐,因为例如我的文件服务器 DFS 是“文件。地点.compay.local”和打印服务器“打印。地点.compay.local。由于 DHCP 通常会为人们提供正确的搜索后缀,即使用户转到另一个站点,他们仍然可以打印到 \print 并进入 \files 的主目录而无需进行任何更改(假设 DFS-R 或类似于同步主目录的东西)。