Active Directory 结构规划？

Question

可能的重复：
如何规划新的 Active Directory 结构？

我正在为一家由六个截然不同的业务部门组成的跨国公司规划一个新的 Active Directory 结构。

可以为这个实现解释和/或推荐一些指针吗？

每个业务部门目前都有自己的 Windows NT 4.0 域和完整的 IT 人员（管理员和帮助台）。

我可以为这个组织选择什么类型的结构，为什么？此外，这种设计与替代方案的可能含义是什么？

Answer 1

有几个因素会影响 AD 设计，我可以在您的道路上看到一些麻烦。以下因素会影响您的森林最终设计方式：

• 政治“六个截然不同的业务部门”。那可能是您花费最多时间的事情。每个业务部门都有自己的做事方式，而这种 AD 结构需要与这些方式兼容。即使这些方式与另一个 BU 的工作方式截然相反。
• IT 决策过程可能是政治的一个子集，但这将极大地影响您的最终设计。如果业务经理可以否决这个级别的 IT 决策，那会影响事情。业务部门间的争论如何影响流程也是如此。
• WAN 链接您的各个站点的紧密程度将推动若干关键决策。如果它们是高度可用的，你可以创造一些经济。如果它们不可靠或缓慢，则可能会迫使您做出其他决定。
• 组织规模每个地点的员工人数也将指导某些决策。较大的组织将拥有自己的自给自足的 IT 部门。每个 BU 已经有这样的（如您所说），但这些 BU 中较大的子单位可能也是如此。
• IT 管理结构管理特定用户组的人员将为最终结构建议一种层次结构形式。
• 业务管理结构组织结构图的外观将暗示最终结构的另一种层次结构形式。

从这里看来，无论实际域如何布局，您都拥有多站点（AD 术语）基础架构。WAN 链接的位置和质量将决定必须声明站点的位置。每个站点都需要自己的域控制器和全局目录，无论实际域的布局如何。您已经预建了 6 个站点（那些预先存在的 NT4 域），但最终可能会有更多。如果您最终拥有多个域，则某些站点可能需要多个 DC；运营需求将决定这一点。

Windows 2008 提供的一项非常有趣的功能是只读 DC。这是一个包含域数据库的完整副本的 DC，减去安全原则。可以声明允许对其进行身份验证的用户组，RODC 将缓存这些凭据。这对于跨不稳定 WAN 链接的较小站点非常有用，因为它允许这些用户在其 WAN 链接关闭时仍然能够进行身份验证和使用域资源，并且如果 DC 机器本身被盗，则对公司的风险最小化。这些是相对较新的，因此处理它们并没有包含在 Internet 上的所有 AD 设计文档中。

这就是网络基础设施，这是最简单的部分。现在是困难的部分。搞清楚：

• 如果需要多个域
  • 如果有，有多少
• 域内的组织单位布局，或管理此类的政策
• 用于管理组策略管理的策略
• 处理对 IT 实体的适当权限委派

域数

单个域使某些事情变得简单，并且是需要的。但是，对于六个截然不同的业务部门，这在政治上可能是不允许的。主要的症结在于谁是域管理员，以及这些人是否受到普遍信任。一些组可能会最强烈地坚持他们需要拥有完整域管理员权限的能力，但不允许其他组在他们的区域拥有这些权限。这些是导致多个域树的斗争。

如果就多域林达成一致，下一场战斗将是谁成为企业管理员。有人必须这样做，而且他们可能是中央办公室类型。对此的不确定性，再加上关心保护其影响范围的业务经理参与此技术过程，可能会迫使您进入具有精心选择的跨域信任的多林环境。这是最像旧的 NT 样式域的模型。如果可能的话，你不想要这个。

教育你自己和任何愿意倾听“域管理员”允许哪些不能以某种方式委派的人，都会给你带来好处。人们真的很担心“外国管理员正在查看我们的东西”。如果没有足够的授权，您可以在没有域管理员的情况下进行相当多的 AD 管理，这种事情可以安抚紧张的经理。

拥有多个域可能需要您在特定站点中拥有多个域的 DC。内政部（如果有的话）是一个很好的地方，但尽量避免在其他办公室需要它。

组织单位

一旦您敲定了域结构，下一步就是确定域内的组织单位结构。这很重要，因为 GPO 依赖于这种结构，而精心选择的结构可以降低 IT 支持成本。在此过程中，政治也可能再次抬起丑陋的头。

如果您最终拥有多个域，那么关于 OU 结构的宏大统一策略可能是不可能的；决定可能最终掌握在每个域的域管理员手中。

如果您最终拥有一个或几个大型域，则更有可能采用大统一的 OU 策略，尽管它最多可能涵盖前两个级别。

至于一个好的 OU 政策，对此有几种不同的观点。

• 基于 IT 管理架构
• 基于组织结构
• 前两者的混合体（Org 然后 IT，IT 然后 Org）
• 不要打扰并使用 GPO 过滤来完成繁重的工作

以 IT 管理结构为基础，大大简化了需要分配权限以支持正常 IT 功能的位置。权限是在某些关键级别授予的，并且它们会进行适当的过滤。这样做的缺点是它可能会导致一些不明显的配置，这可能会使不熟悉环境的人感到困惑。

以组织结构为基础，使整体结构易于理解，并且可以协助任何身份管理集成，因为所有类似用户的位置都相似。不利的一面是 IT 权限管理可能会变得非常分散。

使用混合模型涉及为顶级选择一个标准，为子级别选择一个不同的标准。这并不适用于所有人，但众所周知，这是一个完全有效的折衷方案。尤其是在主要业务部门不经常变动的情况下。

查明结构并过滤所有内容是身份管理解决方案倾向于喜欢的类型，因为它确实真正简化了对象放置规则。这让 IT 人员更加困难，因为仅通过查看 OU 结构无法确定哪些 GPO 适用于哪些位置，他们必须实际查看每个 GPO 并了解它是如何过滤的。但是，如果用户、组和计算机管理仅通过 IDM 集成或非 MS 管理门户等外部工具完成，则可能无关紧要。

组策略管理

有些策略适用于整个企业并且会影响到每个人，因此需要在最高级别解决 GPO 管理问题，然后才能生效。其中一些肯定会委托给区域 IT，但完成的程度将取决于域和 OU 决策的制定方式。

需要敲定某种企业范围的管理框架。最终，顶级管理员可能并不关心将打印机推送到特定办公楼层的 GPO，但仍有一些策略会影响非常大的区域。

权利委托

如果本地控制 OU 的多域环境就位，那么这里就没有什么需要决定的了。每个地区都会做自己的事情，谢谢。OU 结构和域结构将规定需要如何委派权限，而 IT 和业务管理将规定将权限委派给谁以及为何委派。最好早点解决这些过程，而不是晚点。