Дизайн OU Active Directory для <500 пользователей, 4 местоположения

Мы хотим добавить некоторую логическую структуру в нашу (Win 2003) иерархию AD. У нас один домен и около 500 пользователей. Все пользователи и компьютеры в настоящее время объединены в одно подразделение. Все группы безопасности и рассылки находятся во втором подразделении. Членство в группах по существу на индивидуальной основе пользователя без вложения групп.

Мои вопросы:

  1. Для организации такого размера стоит определить иерархию подразделений, основанную на отделе, географии и / или классе объектов (т. Е. Компьютеры, пользователи, группы) и переместить пользователей, компьютеры и группы в соответствующие подразделения?
  2. Если да, то как бы вы структурировали иерархию, например, отдел-> расположение-> класс объекта?
  3. Должны ли мы вкладывать группы, где это уместно, для лучшего отображения ролей корпоративных приложений и записей адресов Exchange?
Источник

6 ответов

Решение

Вот основные принципы рекомендации Microsoft для логического проектирования AD:

  • Спроектируйте сначала для делегирования управления, потому что это основано на разрешениях AD и является самой негибкой осью для изменения. Если вы не выполняете делегирование контроля, не беспокойтесь об этом (но я все равно планирую это сделать - даже в такой небольшой организации вам могут понадобиться назначенные пользователи в филиалах, чтобы иметь возможность сбрасывать пароли, так далее).

  • Дизайн второй для применения групповой политики. Фильтрация приложения групповой политики по членству в группе безопасности позволяет объекту групповой политики применять только к подмножеству объектов пользователя или компьютера ниже точки, с которой он связан в каталоге, поэтому эта ось обладает большей гибкостью, чем разрешения AD.

  • Дизайн, наконец, для организации и простоты использования. Облегчите поиск вещей для себя и других администраторов.

Подумайте о каждом из этих соображений при разработке, расставив приоритеты согласно рекомендациям. Это легко изменить позже (сравнительно), и вы никогда не "сделаете это правильно" с первой попытки. Еще до того, как я установил DCPROMO на свой первый контроллер домена, я обычно рисую предложенную структуру на бумаге или белой доске и просматриваю сценарии потенциального использования, чтобы проверить, "выдерживает" ли мой дизайн. Это отличный способ избавиться от проблем в дизайне.

(Не забывайте и о приложении групповой политики для объектов сайта. Вам следует быть осторожным с междоменным приложением GPO, когда вы связываете объекты GPO на сайтах, но если вы работаете в среде с одним доменом, вы можете получить много отличного функциональность, позволяющая связывать объекты групповой политики с сайтами. Работать с некоторыми примерами сценариев вместе с ней - я считаю, что она отлично подходит для загрузки программного обеспечения с настройками "для конкретного сайта" или для предоставления определенных сценариев входа пользователям при входе на компьютеры в определенных физические местоположения посредством обработки групповой политики обратной связи.)

Источник

Я всегда разделял пользователей, компьютеры и группы на отдельные подразделения по той простой причине, что им легче управлять.

Если у вас нет веских причин для конкретной структуры AD, разработайте свою AD с административной точки зрения. Подумайте, где вы собираетесь применять политику.

Если вы применяете большинство своих политик на уровне отдела, используйте Department\Location\Object

Если вы применяете большинство своих политик на уровне местоположения, используйте Местоположение \ Отдел \ Объект

Если вы сделали это по-другому, это означало бы, что вам придется связывать свои политики в нескольких подразделениях, что требует ненужной работы.

Вложение групп в порядке, и опять же, сделать управление AD намного проще.

Я склонен проектировать структуры AD с учетом "упрощения управления", а не отражать физическую структуру компании, однако обе они часто одинаковы.

Источник

Я думаю, что если бы мне пришлось изменить дизайн моей AD снова, есть несколько вещей, которые я бы сделал по-другому, но я обнаружил, что:

Пользователи - Разделите тезисы на отделы, но также с областью / секциями для временного персонала или персонала агентства. Место для них не будет таким важным, как люди, несомненно, будут передвигаться.

Компьютеры - Разделите их на локации и суб-локации. Т.е. OfficeComputers/LondonOffice/Room103 (Финансы). Это означает, что вы можете применить настройки к одному местоположению или офису - например, к другому прокси-серверу или другим настройкам антивируса (конечно, только если программа управления AV использует AD)- без реорганизации, и, надеюсь, вам не придется открывать может червей, который является петлевой обработкой.

Я также счел полезным не использовать встроенные группы пользователей или компьютеров, не какие-либо технические проблемы, а просто, чтобы вы могли легко видеть, где что-то не должно быть.

Наконец, разделите ваши серверы, я выбрал место / роль, которая, кажется, работала довольно хорошо.

Источник

Как он уже ответил, вот мой небольшой пример. Имейте в виду, что нет правильного или неправильного, все зависит от потребностей - то есть, сначала от организации или места? Я предпочитаю организационную роль в первую очередь даже для компьютеров / серверных ролей. Мне также нравится возможность указывать единое подразделение, чтобы получить всех сотрудников, и не собирать мусор для заполнения списков сотрудников в интрасети. Не стесняйтесь редактировать!

  • Люди (пользователи / тип = человек)
    • внутренний
      • Отдел А
        • Расположение X
        • Расположение Y
      • Отдел Б
      • Отдел С
    • внешний
      • Компания 1
      • Компания 2
  • Машина (пользователи / тип = любые, включая компьютеры)
    • клиент
      • Ноутбуки
      • Настольные компьютеры
    • сервер
      • заявка
        • Расположение T
        • Расположение V
      • инфраструктура
      • База данных
    • обслуживание
    • Административные учетные записи (если используются)
  • Списки (группы и контакты)
    • контакт
    • распределение
    • Безопасность
Источник

Я использую следующие рекомендации: пользователи; организовать в соответствии с HR-графиком групп; организовать в соответствии с рабочим процессом компьютеров; организовать в соответствии с географическим положением

Другие ответы в этой теме тоже очень хороши.

Источник

Я бы просто разделил их по местоположению в этом случае. Результирующая структура OU будет выглядеть примерно так:

Location1
-Computers
-Groups
-Users

Location2
-Computers
-Groups
-Users

и т.п.

На самом деле я не вижу необходимости в дальнейших делениях, например, по департаментам, так как это приведет к дополнительным административным накладным расходам без особой отдачи. Однако разделение по местоположению позволит вам осуществлять делегирование на каждом сайте.

Источник
Другие вопросы по тегам