在 LDAP 中,最好将组嵌套在组织单位下,还是直接在根 DN 下为组创建一个组织单位?

在 LDAP 中,最好将组嵌套在组织单位下,还是直接在根 DN 下为组创建一个组织单位?

我不确定是将组嵌套在每个组织单位下更好,还是直接在根 DN 下为组创建一个组织单位更好。哪种做法更佳?我希望尽可能保持配置的原始性,以最大程度地兼容 LDAP 感知应用程序。

我的迫切需要包括:

  1. 使用 Atlassian Crowd 进行 SSO
  2. Google Apps 目录同步(LDAP 组 -> 邮件列表)
  3. 用于 Windows 身份验证的 pGina

下面的图表显示了我正在考虑的两种策略:

在此处输入图片描述

答案1

根据 AD 设计指南,设计结构时需要考虑两件事:1)管理控制委派和2)组策略。

由于组策略不适用于组,因此您基本上只剩下一项 - 委派管理控制。您的模型 B 提供了在每个学校进行一些本地管理任务委派的选项,这可能是您要实施的,所以这就是我所追求的。

我见过根据组类型进一步将组划分为单独的 OU 的例子,例如应用程序组、策略组、权限组等等。

答案2

我认为最好将所有包含来自同一所学校的成员的组保留在同一个 OU 下,并为跨校组设置单独的 OU。从长远来看,这将有助于管理您的 AD。

相关内容