Должен ли я использовать организационные единицы или группы в Server 2008?
В компании, в которой я работаю, на данный момент я настраиваю новый сервер. Он будет работать под управлением Microsoft Server 2008 и использоваться в качестве контроллера домена, а DNS указывает на OpenDNS для фильтрации и т. Д.
Организация - это медицинская практика с обычными сотрудниками, такими как:
- Директора компании
- Врачи
- Медсестры
- Прием сотрудников
- Офис / Администратор
- Опыт работы Пользователи
- Подрядчики
Я настроил сервер на Microsoft Server 2003, но с тех пор было решено, что прежде чем идти дальше, мы должны обновить / переустановить Microsoft Server 2008. Я подумал, что это будет идеальное время для выяснения "нормального" способа настройки. пользователи вверх.
В настоящее время каждый из вышеперечисленных уровней сотрудников является организационными единицами. Я сделал это, потому что оказалось, что я могу установить объект групповой политики и т. Д. На уровне организационного подразделения, а не выбирать всех пользователей в группе и затем применять объект групповой политики таким образом.
Правильно ли это, могут ли организационные единицы использоваться для организации на уровне пользователя или они предназначены для организации на основе местоположения, такой как Office 1, Reception и т. Д.?
Спасибо,
Дэнни
2 ответа
У вас есть правильная идея поместить людей в разные подразделения в зависимости от того, какие групповые политики вы хотите, чтобы они имели. Как правило, подразделения используются для разделения людей и компьютеров, чтобы упростить определение, какие групповые политики применяются к каждому подразделению.
Например, моя структура AD выглядит примерно так, с некоторыми довольно общими объектами GPO наверху, и более детализированными по мере продвижения вниз. Например, на /Acme Widgets Я установил такие вещи, как загрузка обновлений с нашего сервера WSUS (поскольку это относится ко ВСЕМ компьютерам), и на /Acme Widgets/Internal/Computers/Internet Cafe У меня есть объект групповой политики, который ограничивает практически все, что может сделать пользователь.
По сути, OU предназначены для того, чтобы помочь вам управлять вашими объектами групповой политики, но то, как вы это сделаете, зависит от вас.
corp.acme-widgets.local
---- виджеты Acme
-------- Внутренний
------------ Компьютеры
---------------- Финансы
----------------Отдел кадров
----------------Интернет-кафе
----------------ЭТО
----------------Продажи
-------------------- Зона 1
-------------------- Зона 2
------------ Пользователи
---------------- Финансы
----------------Отдел кадров
----------------ЭТО
----------------Продажи
-------------------- Зона 1
-------------------- Зона 2
-------- Внешний
------------ Компьютеры
------------ Пользователи
На самом деле нет правильного ответа, ответ "Это зависит".
Вы можете применять объекты групповой политики либо к подразделению, либо к группе пользователей или компьютеров, либо к комбинации, т.е. только к членам определенной группы, которые также входят в данное подразделение.
Все возвращается к "Это зависит".