我不确定是将组嵌套在每个组织单位下更好,还是直接在根 DN 下为组创建一个组织单位更好。哪种做法更佳?我希望尽可能保持配置的原始性,以最大程度地兼容 LDAP 感知应用程序。
我的迫切需要包括:
- 使用 Atlassian Crowd 进行 SSO
- Google Apps 目录同步(LDAP 组 -> 邮件列表)
- 用于 Windows 身份验证的 pGina
下面的图表显示了我正在考虑的两种策略:
答案1
根据 AD 设计指南,设计结构时需要考虑两件事:1)管理控制委派和2)组策略。
由于组策略不适用于组,因此您基本上只剩下一项 - 委派管理控制。您的模型 B 提供了在每个学校进行一些本地管理任务委派的选项,这可能是您要实施的,所以这就是我所追求的。
我见过根据组类型进一步将组划分为单独的 OU 的例子,例如应用程序组、策略组、权限组等等。
答案2
我认为最好将所有包含来自同一所学校的成员的组保留在同一个 OU 下,并为跨校组设置单独的 OU。从长远来看,这将有助于管理您的 AD。