Дизайн OU Active Directory для <500 пользователей, 4 местоположения

8

Мы надеемся добавить некоторую логическую структуру в нашу (Win 2003) иерархию AD. У нас один домен и около 500 пользователей. Все пользователи и компьютеры в настоящее время объединены в одно подразделение. Все группы безопасности и рассылки находятся во втором подразделении. Членство в группах по существу на индивидуальной основе пользователя без вложения групп.

Мои вопросы:

  1. Для организации такого размера стоит определить иерархию подразделений, основанную на отделе, географии и / или классе объектов (т.е. компьютеры, пользователи, группы) и переместить пользователей, компьютеры и группы в соответствующие подразделения?
  2. Если да, то как бы вы структурировали иерархию, например, отдел-> расположение-> класс объекта?
  3. Должны ли мы вкладывать группы, где это уместно, для лучшего отображения ролей корпоративных приложений и записей адресов Exchange?
active-directory ldap тритон
источник

Ответы:

10

Вот основные принципы рекомендации Microsoft для логического проектирования AD:

  • Спроектируйте сначала для делегирования управления, потому что это основано на разрешениях AD и является самой негибкой осью для изменения. Если вы не выполняете делегирование контроля, не беспокойтесь об этом (но я все равно планирую это сделать - даже в такой небольшой организации вам может потребоваться, чтобы назначенные пользователи в филиалах могли сбрасывать пароли, так далее).

  • Дизайн второй для применения групповой политики. Фильтрация приложения групповой политики по членству в группе безопасности позволяет объекту групповой политики применять только к подмножеству объектов пользователя или компьютера ниже точки, с которой он связан в каталоге, поэтому эта ось обладает большей гибкостью, чем разрешения AD.

  • Дизайн, наконец, для организации и простоты использования. Облегчите поиск вещей для себя и других администраторов.

Подумайте о каждом из этих соображений при разработке, расставив приоритеты в соответствии с рекомендациями. Это легко изменить позже (сравнительно), и вы никогда не "сделаете это правильно" с первой попытки. Еще до того, как я установил DCPROMO на свой первый контроллер домена, я обычно рисую предложенную структуру на бумаге или на доске и просматриваю сценарии потенциального использования, чтобы проверить, «выдерживает» ли мой дизайн. Это отличный способ избавиться от проблем в дизайне.

(Не забывайте и о приложении групповой политики для объектов сайта. Вам следует быть осторожным с междоменным приложением GPO, когда вы связываете объекты GPO на сайтах, но если вы работаете в среде с одним доменом, вы можете получить много отличного функциональность, позволяющая связывать объекты групповой политики с сайтами. Работать с некоторыми примерами сценариев вместе с ней - я считаю, что она отлично подходит для загрузки программного обеспечения с настройками «для конкретного сайта» или для предоставления определенных сценариев входа пользователям при входе на компьютеры в определенных физические местоположения посредством обработки групповой политики обратной связи.)

Эван Андерсон
источник
Можете ли вы привести пример простой структуры, которую вы бы внедрили с помощью этих лучших практик?
TechGuyTJ
2
Не без много печатать. Может быть, я смогу опубликовать один из тестов, когда я преподавал классы проектирования Active Directory вместе с попыткой ответа. Однако, как сейчас и происходит, работа бьет меня до чертиков, и у меня не так много времени на сбой сервера. Я отмечу это и посмотрю, смогу ли я вернуться к нему.
Эван Андерсон
3

Я всегда разделял пользователей, компьютеры и группы на отдельные подразделения по той простой причине, что им легче управлять.

Если у вас нет веских причин для конкретной структуры AD, разработайте свою AD с административной точки зрения. Подумайте, где вы собираетесь применять политику.

Если вы применяете большинство своих политик на уровне отдела, используйте Department \ Location \ Object

Если вы применяете большинство своих политик на уровне местоположения, используйте Местоположение \ Отдел \ Объект

Если вы сделали это по-другому, это означало бы, что вам придется связывать свои политики в нескольких подразделениях, что требует ненужной работы.

Вложение групп в порядке, и опять же, сделать управление AD намного проще.

Я склонен проектировать структуры AD с учетом «упрощения управления», а не отражать физическую структуру компании, однако обе они часто одинаковы.

Bryan
источник
Помните, однако, что неважно, насколько хорошо вы спроектируете свою структуру AD, они всегда будут исключением :-)
Tubs
3

Я думаю, что если бы мне снова пришлось изменить дизайн моей AD, есть несколько вещей, которые я бы сделал по-другому, но я обнаружил, что:

Пользователи - Разделите тезисы на отделы, но также с областью / секциями для временного персонала или персонала агентства. Место для них не будет таким важным, как люди, несомненно, будут передвигаться.

Компьютеры - Разделите их на локации и суб-локации. Т.е. OfficeComputers / LondonOffice / Room103 (Финансы). Это означает, что вы можете применить настройки к одному местоположению или офису - например, другому прокси-серверу или другим настройкам антивируса (конечно, только если программа управления AV использует AD) - без реорганизации, и, надеюсь, вам не придется открывать может червей, который является петлевой обработкой.

Я также нашел полезным не использовать встроенные группы пользователей или компьютеров, а не какие-либо технические проблемы, а просто, чтобы вы могли легко видеть, где что-то не должно быть.

Наконец, разделите ваши серверы, я выбрал место / роль, которая, кажется, работала довольно хорошо.

Баки
источник
2

Как он уже ответил, вот мой небольшой пример. Имейте в виду, что нет правильного или неправильного, все зависит от потребностей - то есть, сначала от организации или места? Я предпочитаю организационную роль в первую очередь даже для компьютеров / серверных ролей. Мне также нравится возможность указывать единое подразделение, чтобы получить всех сотрудников, и не создавать мусор для заполнения списков сотрудников в интрасети. Не стесняйтесь редактировать!

  • Люди (пользователи / тип = человек)
    • внутренний
      • Отдел А
        • Расположение X
        • Расположение Y
      • Отдел Б
      • Отдел С
    • внешний
      • Компания 1
      • Компания 2
  • Машина (пользователи / тип = любые, включая компьютеры)
    • клиент
      • Ноутбуки
      • Настольные компьютеры
    • сервер
      • заявка
        • Расположение Т
        • Расположение V
      • инфраструктура
      • База данных
    • обслуживание
    • Административные учетные записи (если используются)
  • Списки (группы и контакты)
    • контакт
    • распределение
    • Безопасность
Оскар Дювеборн
источник
@ Оскар - спасибо за пример. Я думаю, что вы имели в виду Machine (учетные записи компьютеров), а не Machine (учетные записи пользователей).
EFT
Ну, не совсем, но хороший улов ... Я думаю, что я имел в виду "учетные записи пользователей" в целом (для учетных записей компьютеров, учетных записей служб и т. Д.), В отличие от групп или контактов ... исправлено
Оскар Дювеборн
Я понимаю, что вы имели в виду сейчас - спасибо за разъяснения
eft
0

Я бы просто разделил их по местоположению в этом случае. Результирующая структура OU будет выглядеть примерно так:

Location1
-Computers
-Groups
-Users

Location2
-Computers
-Groups
-Users

и т.п.

На самом деле я не вижу необходимости в дальнейших делениях, например, по департаментам, так как это приведет к дополнительным административным накладным расходам без особой отдачи. Однако разделение по местоположению позволит вам осуществлять делегирование на каждом сайте.

Максимус Минимус
источник
0

Я использую следующие рекомендации: пользователи; организовать в соответствии с HR-графиком групп; организовать в соответствии с рабочим процессом компьютеров; организовать в соответствии с географическим положением

Другие ответы в этой теме тоже очень хороши.

Мартин П. Хельвиг
источник