Active Directory примеры иерархии

Я нахожусь в процессе реструктуризации иерархической структуры локального сервера активных каталогов организации, в которой я работаю. Мне было интересно, если бы кто-нибудь знал о каком-либо месте, где я мог бы найти лучшие практики для этой задачи. Например, если лучше иметь машины и пользователей в отдельных подразделениях и т. Д. Или если есть какие-либо сайты с примерами, на которые я мог бы взглянуть, чтобы получить идеи.

например

  • domain.local
    • компьютеры
    • пользователи
    • CompanyComputers
      • Серверы
      • Рабочие станции
        • бухгалтерский учет
        • ЭТО
        • администрация
    • CompanyUsers
      • администрация
      • бухгалтерский учет
      • ЭТО

Спасибо

Источник

3 ответа

Ваша структура в целом выглядит достаточно хорошо. Мое единственное предложение заключается в следующем. Не используйте OU для отдельных отделов или программ, если только компьютеры не сильно отличаются друг от друга или у вас огромные отделы, и вам действительно нужно, чтобы они были разделены из-за того, сколько объектов будет в одном OU, объединяющем всех.

Я не знаю о вашей организации, но я видел других, где есть "плавающие" люди, которые перемещаются из отдела в отдел по мере необходимости. Это делает организационные подразделения уровня, чтобы стать болью в деталях.

Некоторые плохие вещи, которые, как я видел, люди делают в результате работы людей в нескольких отделах, - это создание чего-то глупого, как показано ниже, где они создают OU, предназначенные для объединения. Главное, что нужно помнить, - групповые политики могут легко применяться к группам с параметрами фильтрации безопасности. Очень легко добавлять людей в группы по мере необходимости, а затем создавать политики, которые применяются только к определенным группам. Попытка построить структуру OU, которая обеспечивает тот же уровень гибкости, что и группы, трудна или невозможна.

  • CompanyUsers
    • администрация
    • бухгалтерский учет
    • ЭТО
    • Администрирование и учет
    • Администрирование и ИТ
    • Бухгалтерский учет и IT
Источник

Термин "лучшие практики" при обращении к структуре вашего Active Directory является очень открытым. Существует множество факторов, которые определяют, что будет наиболее целесообразным для вас в вашей среде, и Microsoft определяет, что то, что работает для одного предприятия, не обязательно будет работать для другого.

При этом Microsoft рекомендует организовывать структуру AD логически, группируя объекты, которые имеют схожие свойства и должны иметь общие административные свойства.

Эти элементы, которые вы, возможно, захотите сгруппировать, могут включать (но не ограничиваются ими) следующее

  • Физическое местонахождение объекта
  • Желаемый эффект групповой политики для этих объектов (все объекты подчиняются одной и той же групповой политике, если не указано иное)
  • Операционная система компьютеров
  • Тип объекта (компьютеры, пользователи, группы, общие адреса электронной почты и т. Д.)
  • Департамент, к которому принадлежит объект
  • Разрешительные структуры
  • Скрипты, которые должны запускаться на объектах при входе / выходе из системы или запуске / завершении работы
  • так далее

Вам решать, какая структура лучше всего подходит для вас. Экзамен 70-640 предназначен исключительно для администрирования Active Directory и может оказаться полезным для вас при структурировании вашей организации.

РЕДАКТИРОВАТЬ: чтобы отразить то, что указал Zoredache, но гибкость является важной частью структуры AD. Компании динамичны, и вы должны планировать, что ваша реклама будет гибкой. Ключ - найти хороший баланс между функциональностью и гибкостью.

Источник

Я настроил свои подразделения по отделам, и теперь, когда некоторые люди работают в обоих, становится все труднее управлять. Так что по опыту я бы не советовал.

Источник
Другие вопросы по тегам