Answers:
以下是Microsoft有关AD逻辑设计的建议的核心原则:
首先设计用于控制的委派,因为这是基于AD权限的,并且是最不灵活的修改轴。如果您不打算进行控制委派,则不必担心这一点(但我还是会为此计划的-即使是在规模很小的组织中,您可能也需要分支机构中的指定用户才能重置密码,等等)。
设计第二个应用组策略。通过安全组成员身份筛选组策略应用程序允许GPO仅应用于用户或计算机对象在目录中链接点以下的子集,因此,此轴比AD权限具有更大的灵活性。
最后进行设计以便于组织和易于使用。轻松为自己和其他管理员查找内容。
在设计时,请考虑所有这些注意事项,并根据建议的优先级进行排序。以后(相对而言)进行更改很容易,并且您永远都不会在第一次尝试时“搞定”。在我甚至没有DCPROMO我的第一个域控制器之前,我通常都会在纸上或白板上绘制出建议的结构,并逐步浏览潜在的使用场景,以查看我的设计是否“成立”。这是消除设计中问题的好方法。
(也不要忘记在站点对象上使用组策略应用程序。在站点上链接GPO时,必须注意跨域GPO应用程序,但是如果您是一个域环境,则可以得到很多好处。通过将一些GPO链接到站点来实现一些功能-我发现它非常适合加载其中具有“特定于站点”设置的软件,或者在某些情况下登录到计算机时为用户提供特定的登录脚本。物理位置,通过环回组策略处理。)
我总是将用户,计算机和组划分为单独的OU,原因很简单,因为它使管理变得更加容易。
如果您没有特定的AD结构令人信服的理由,请从管理的角度设计AD。考虑您将在哪里应用策略。
如果要在部门级别应用大多数策略,请使用Department \ Location \ Object
如果要在位置级别应用大多数策略,请使用Location \ Department \ Object
如果以其他方式执行此操作,则意味着必须将策略链接到多个OU,这会涉及不必要的工作。
嵌套组非常好,这又使AD的管理更加容易。
我倾向于在设计AD结构时考虑“使其易于管理”,而不是反映实际的公司结构,但是两者通常是相同的。
我认为,如果我不得不重新设计广告,我会做一些不同的事情,但是我发现:
用户-将论文分为部门,还为临时人员或代理人员分配区域。毫无疑问,这些地点的重要性并不重要。
计算机-将它们分为位置和子位置。即OfficeComputers / LondonOffice / Room103(财务)。这意味着您可以将设置应用到一个位置或办公室(例如,不同的代理服务器或不同的防病毒设置(当然,只有在AV管理程序使用AD的情况下)),而无需重新组织,并且希望不必打开可以进行环回处理的蠕虫病毒。
我还发现不要使用内置的用户或计算机组,而不是任何技术问题,而只是为了使您可以轻松地了解不应出现的位置很有用。
最后,也将服务器拆分,我去了位置/角色,这似乎工作得很好。
正如已经回答的那样,这是我举的一个小例子,请注意,没有对与错,这完全取决于需求-即首先是组织还是位置?我更喜欢组织角色,即使对于计算机/服务器角色也是如此。我还喜欢指出单个OU来获取所有员工的能力,而没有垃圾来填充Intranet员工列表的能力。随时编辑!
在这种情况下,我只是按位置将它们拆分。生成的OU结构如下所示:
Location1
-Computers
-Groups
-Users
Location2
-Computers
-Groups
-Users
等等
我真的不认为需要在这里进行进一步的划分,例如按部门划分,因为这将产生额外的管理开销,而不会真正带来太多回报。但是,按位置拆分将使您能够在每个站点上实现委派。