面向<500个用户的Active Directory OU设计，4个位置

Question

我们希望在我们的(Win 2003) AD层次结构中添加一些逻辑结构。我们有一个单一的域名和大约500个用户。目前，所有用户和计算机都被组织成一个OU。所有安全和分发组都在第二个OU中。组成员基本上是基于单个用户的，没有组嵌套。

我的问题：

1. 对于这样规模的组织，是否值得根据部门、地理和/或对象类(即计算机、用户、组)划分OU的层次结构，并将用户、计算机和组移动到相关的OU中？
2. 如果是这样的话，您将如何构造层次结构，例如部门->位置->对象类？
3. 我们是否应该在适当的情况下嵌套组，以便更好地映射到企业应用程序角色和Exchange地址条目？

Answer 1

下面是Microsoft推荐的AD逻辑设计的核心原则：

• 首先为控件的委托设计，因为这是基于AD权限的，并且是最不灵活的修改轴。如果你不做控制授权，那就别担心这个(但我还是会计划的--即使在一个规模很小的组织里，你可能需要指定的分支机构的用户才能重置密码等等)。
• 第二，组织策略的应用。按安全组成员资格筛选组策略应用程序允许GPO只应用于目录链接点以下的用户或计算机对象的子集，因此此轴比AD权限具有更大的灵活性。
• 最后为了组织和使用方便而设计。让自己和其他管理员很容易找到东西。

在设计时，考虑每一个考虑因素，并按照推荐的顺序排列它们。很容易在以后(相对地)改变事情，而且你永远不会在第一次尝试时就“把它做对”。在我甚至在DCPROMO (我的第一个域控制器)之前，我通常会在纸上或白板上画出建议的结构，然后遍历可能的使用场景，看看我的设计是否“有效”。这是摆脱设计中的问题的好方法。

(也不要忘记站点对象上的组策略应用程序。当您将GPO链接到站点时，您必须小心处理跨域GPO应用程序，但是如果您是一个单独的域环境，那么通过将GPO链接到站点可以获得许多很好的功能。使用它来处理一些示例场景--我发现它很适合加载具有“特定站点”设置的软件，或者在登录到某些物理位置的计算机时向用户提供特定的登录脚本，方法是通过回送组策略处理。)

Answer 2

我总是将用户、计算机和组划分为单独的OU，原因很简单，这使得管理变得更容易。

如果对于特定的AD结构没有令人信服的理由，那么从管理的角度来设计AD。想一想你将在哪里应用政策。

如果要在部门级别应用大部分策略，请使用Department\Location\Object

如果要在位置级别应用大多数策略，请使用Location\Department\Object

如果你用另一种方式去做，那就意味着你必须把你的政策联系在多个OU上，这就涉及到不必要的工作。

嵌套组是非常好的，并且再次使AD的管理更加容易。

我倾向于在设计AD结构时考虑到“易于管理”，而不是反映实际的公司结构，但两者往往是相同的。

Answer 3

我想，如果我不得不重新设计我的广告，我会做一些不同的事情，但我发现：

用户-将论文分成部门，但也有一个区域/S的临时或代理工作人员。这些设备的位置不会像人们四处走动那样重要。

电脑-把它们分成位置和子位置。Ie OfficeComputers/LondonOffice/Room103 103(金融)这意味着您可以将设置应用到一个位置或办公室--例如，不同的代理服务器，或不同的防病毒设置(当然，只有在AV管理程序使用AD时才能这样做)--而无需重新组织，希望不必打开正在回送处理的蠕虫的罐头。

我还发现，不要使用内置的用户或计算机组，而不是任何技术问题，只是为了让您能够轻松地看到不应该发生的事情。

最后，将您的服务器也分开，我选择了位置/角色，这个位置/角色似乎运行得很好。