Zer*_*net 4 windows-server-2008 permissions active-directory group-policy
我正在尝试修复完全计划外和非结构化的 Active Directory 层次结构。在 Windows Server 2000 上首次创建域时,没有为用户或计算机创建任何容器或 OU。所有用户都集中在默认的“用户”容器中,所有计算机都集中在默认的“计算机”容器中。
域最终得到了升级,我现在有两个 Windows Server 2008 x64 DC。但当然,当前的结构或缺乏结构对于分配权限和应用组策略来说是一场噩梦,所以我需要重组整个事情。
我的问题是,在将用户和计算机移入 OU 和组(如果有)时,我应该期待什么样的业务中断?
关于如何做到这一点的任何建议?任何指向最佳实践的指针?
以防万一,环境的其余部分是 Windows Server 2008 文件服务器、Windows Server 2003 R2 打印服务器、Windows Server 2003 R2 Exchange 2003 Server 和运行 SQL Server 2005 SP2 的 Windows 2003 R2 x64 Server。
如果与 Active Directory 交互的服务全部(或主要)来自 Microsoft,则不应有任何中断。Microsoft 产品将知道如何动态查找帐户,因此您的重组将对您的操作环境透明。其他绑定(例如,通过 LDAP)到您的目录的高层并执行子树搜索的产品也应该不受影响,具体取决于它们绑定的级别。
在查看时,您应该寻找可能使用 Active Directory(再次通过 LDAP 或类似方法)并具有到较低级别容器对象 (OU) 或叶级对象(帐户、组等)的硬编码绑定的其他服务对于目录中的对象。您的重组将导致这些查找失败。
例如,我们使用非 MS 数据库平台,是的,该平台确实与 AD 相关联以进行用户身份验证。但是,它维护自己的内部用户数据库,因此在为此系统创建登录名时,我们必须将绝对 ADsPath 与每个用户帐户相关联。当用户帐户移动到不同的 OU 时,该用户的身份验证会中断,直到我们使用新的 ADsPath 更新帐户。
自动搜索这些服务并非易事,因此如果您确实拥有它们,我强烈建议维护连接到 AD 的应用程序/服务清单。
| 归档时间: |
|
| 查看次数: |
462 次 |
| 最近记录: |