Дизайн OU Active Directory для <500 пользователей, 4 местоположения

8

Мы надеемся добавить некоторую логическую структуру в нашу (Win 2003) иерархию AD. У нас один домен и около 500 пользователей. Все пользователи и компьютеры в настоящее время объединены в одно подразделение. Все группы безопасности и рассылки находятся во втором подразделении. Членство в группах по существу на индивидуальной основе пользователя без вложения групп.

Мои вопросы:

Для организации такого размера стоит определить иерархию подразделений, основанную на отделе, географии и / или классе объектов (т.е. компьютеры, пользователи, группы) и переместить пользователей, компьютеры и группы в соответствующие подразделения?
Если да, то как бы вы структурировали иерархию, например, отдел-> расположение-> класс объекта?
Должны ли мы вкладывать группы, где это уместно, для лучшего отображения ролей корпоративных приложений и записей адресов Exchange?

active-directory ldap

— тритон
источник

10

Вот основные принципы рекомендации Microsoft для логического проектирования AD:

Спроектируйте сначала для делегирования управления, потому что это основано на разрешениях AD и является самой негибкой осью для изменения. Если вы не выполняете делегирование контроля, не беспокойтесь об этом (но я все равно планирую это сделать - даже в такой небольшой организации вам может потребоваться, чтобы назначенные пользователи в филиалах могли сбрасывать пароли, так далее).
Дизайн второй для применения групповой политики. Фильтрация приложения групповой политики по членству в группе безопасности позволяет объекту групповой политики применять только к подмножеству объектов пользователя или компьютера ниже точки, с которой он связан в каталоге, поэтому эта ось обладает большей гибкостью, чем разрешения AD.
Дизайн, наконец, для организации и простоты использования. Облегчите поиск вещей для себя и других администраторов.

Подумайте о каждом из этих соображений при разработке, расставив приоритеты в соответствии с рекомендациями. Это легко изменить позже (сравнительно), и вы никогда не "сделаете это правильно" с первой попытки. Еще до того, как я установил DCPROMO на свой первый контроллер домена, я обычно рисую предложенную структуру на бумаге или на доске и просматриваю сценарии потенциального использования, чтобы проверить, «выдерживает» ли мой дизайн. Это отличный способ избавиться от проблем в дизайне.

(Не забывайте и о приложении групповой политики для объектов сайта. Вам следует быть осторожным с междоменным приложением GPO, когда вы связываете объекты GPO на сайтах, но если вы работаете в среде с одним доменом, вы можете получить много отличного функциональность, позволяющая связывать объекты групповой политики с сайтами. Работать с некоторыми примерами сценариев вместе с ней - я считаю, что она отлично подходит для загрузки программного обеспечения с настройками «для конкретного сайта» или для предоставления определенных сценариев входа пользователям при входе на компьютеры в определенных физические местоположения посредством обработки групповой политики обратной связи.)

— Эван Андерсон
источник

Можете ли вы привести пример простой структуры, которую вы бы внедрили с помощью этих лучших практик?

— TechGuyTJ

2

Не без много печатать. Может быть, я смогу опубликовать один из тестов, когда я преподавал классы проектирования Active Directory вместе с попыткой ответа. Однако, как сейчас и происходит, работа бьет меня до чертиков, и у меня не так много времени на сбой сервера. Я отмечу это и посмотрю, смогу ли я вернуться к нему.

— Эван Андерсон

3

Я всегда разделял пользователей, компьютеры и группы на отдельные подразделения по той простой причине, что им легче управлять.

Если у вас нет веских причин для конкретной структуры AD, разработайте свою AD с административной точки зрения. Подумайте, где вы собираетесь применять политику.

Если вы применяете большинство своих политик на уровне отдела, используйте Department \ Location \ Object

Если вы применяете большинство своих политик на уровне местоположения, используйте Местоположение \ Отдел \ Объект

Если вы сделали это по-другому, это означало бы, что вам придется связывать свои политики в нескольких подразделениях, что требует ненужной работы.

Вложение групп в порядке, и опять же, сделать управление AD намного проще.

Я склонен проектировать структуры AD с учетом «упрощения управления», а не отражать физическую структуру компании, однако обе они часто одинаковы.

— Bryan
источник

Помните, однако, что неважно, насколько хорошо вы спроектируете свою структуру AD, они всегда будут исключением :-)

— Tubs

3

Я думаю, что если бы мне снова пришлось изменить дизайн моей AD, есть несколько вещей, которые я бы сделал по-другому, но я обнаружил, что:

Пользователи - Разделите тезисы на отделы, но также с областью / секциями для временного персонала или персонала агентства. Место для них не будет таким важным, как люди, несомненно, будут передвигаться.

Компьютеры - Разделите их на локации и суб-локации. Т.е. OfficeComputers / LondonOffice / Room103 (Финансы). Это означает, что вы можете применить настройки к одному местоположению или офису - например, другому прокси-серверу или другим настройкам антивируса (конечно, только если программа управления AV использует AD) - без реорганизации, и, надеюсь, вам не придется открывать может червей, который является петлевой обработкой.

Я также нашел полезным не использовать встроенные группы пользователей или компьютеров, а не какие-либо технические проблемы, а просто, чтобы вы могли легко видеть, где что-то не должно быть.

Наконец, разделите ваши серверы, я выбрал место / роль, которая, кажется, работала довольно хорошо.

— Баки
источник

2

Как он уже ответил, вот мой небольшой пример. Имейте в виду, что нет правильного или неправильного, все зависит от потребностей - то есть, сначала от организации или места? Я предпочитаю организационную роль в первую очередь даже для компьютеров / серверных ролей. Мне также нравится возможность указывать единое подразделение, чтобы получить всех сотрудников, и не создавать мусор для заполнения списков сотрудников в интрасети. Не стесняйтесь редактировать!

Люди (пользователи / тип = человек)
- внутренний
  - Отдел А
    - Расположение X
    - Расположение Y
  - Отдел Б
  - Отдел С
- внешний
  - Компания 1
  - Компания 2
Машина (пользователи / тип = любые, включая компьютеры)
- клиент
  - Ноутбуки
  - Настольные компьютеры
- сервер
  - заявка
    - Расположение Т
    - Расположение V
  - инфраструктура
  - База данных
- обслуживание
- Административные учетные записи (если используются)
Списки (группы и контакты)
- контакт
- распределение
- Безопасность

— Оскар Дювеборн
источник

@ Оскар - спасибо за пример. Я думаю, что вы имели в виду Machine (учетные записи компьютеров), а не Machine (учетные записи пользователей).

— EFT

Ну, не совсем, но хороший улов ... Я думаю, что я имел в виду "учетные записи пользователей" в целом (для учетных записей компьютеров, учетных записей служб и т. Д.), В отличие от групп или контактов ... исправлено

— Оскар Дювеборн

Я понимаю, что вы имели в виду сейчас - спасибо за разъяснения

— eft

0

Я бы просто разделил их по местоположению в этом случае. Результирующая структура OU будет выглядеть примерно так:

Location1
-Computers
-Groups
-Users

Location2
-Computers
-Groups
-Users

и т.п.

На самом деле я не вижу необходимости в дальнейших делениях, например, по департаментам, так как это приведет к дополнительным административным накладным расходам без особой отдачи. Однако разделение по местоположению позволит вам осуществлять делегирование на каждом сайте.

— Максимус Минимус
источник

0

Я использую следующие рекомендации: пользователи; организовать в соответствии с HR-графиком групп; организовать в соответствии с рабочим процессом компьютеров; организовать в соответствии с географическим положением

Другие ответы в этой теме тоже очень хороши.

— Мартин П. Хельвиг
источник