В LDAP лучше всего вкладывать группы под организационными единицами или создавать организационную единицу непосредственно под корнем dn только для групп?
Я не уверен, лучше ли вкладывать группы под каждое из моих организационных подразделений или создавать подразделение непосредственно под корневым DN только для групп. Считается ли одна из лучших перед другой? Я хочу, чтобы моя конфигурация была максимально возможной для максимальной совместимости с приложениями, поддерживающими LDAP.
Мои ближайшие потребности включают в себя:
- SSO с атласской толпой
- Синхронизация каталога Служб Google (группы LDAP-> Списки рассылки)
- pGina для аутентификации Windows
Вот диаграмма, показывающая две стратегии, которые я рассматриваю:
2 ответа
Согласно руководству по разработке AD, при проектировании вашей структуры необходимо учитывать 2 момента: 1) делегирование административного контроля и 2) групповые политики.
Поскольку групповые политики не применяются к группам, у вас остается одно - делегирование административного контроля. Ваша модель B дает возможность выполнять некоторые локальные делегирования административных задач в каждой школе, что может быть чем-то, что вы будете реализовывать, поэтому я бы на это пошел.
Я видел примеры дальнейшего разделения групп на отдельные подразделения по типу группы, такие как группа приложений, группа политик, группа разрешений и так далее.
Я думаю, что было бы лучше, чтобы все группы, в которых есть члены только из одной школы, находились в одном подразделении, а в корне для межшкольных групп было отдельное подразделение. Это поможет в управлении вашей AD в долгосрочной перспективе.