适用于 <500 个用户、4 个位置的 Active Directory OU 设计

Question

我们希望向我们的 (Win 2003) AD 层次结构添加一些逻辑结构。我们有一个域和大约 500 个用户。当前，所有用户和计算机都组织到一个 OU 中。所有安全组和通讯组都在第二个 OU 中。组成员资格本质上是基于个人用户的，没有组的嵌套。

我的问题：

1. 对于这种规模的组织，是否值得根据部门、地理和/或对象类（即计算机、用户、组）设计 OU 的层次结构并将用户、计算机和组移动到相关的 OU 中？
2. 如果是这样，您将如何构建层次结构，例如部门-> 位置-> 对象类？
3. 我们是否应该在适当的情况下嵌套组，以便更好地映射到企业应用程序角色和 Exchange 地址条目？

Answer 1

以下是微软推荐的 AD 逻辑设计的核心原则：

• 首先设计控制委派，因为它基于 AD 权限并且是最不灵活的修改轴。如果您不进行控制委派，那么请不要担心这一点（但无论如何我都会为此做好计划——即使在如此小的组织中，您可能需要分支机构的指定用户才能重置密码，等等）。

• 设计第二个组策略的应用。按安全组成员身份过滤组策略应用程序允许 GPO 仅应用于目录中链接点以下的用户或计算机对象的子集，因此该轴比 AD 权限具有更大的灵活性。

• 最后为组织和易用性而设计。为您自己和其他管理员轻松查找内容。

在设计时考虑这些注意事项中的每一个，按照建议优先考虑它们。以后（相对而言）改变事情很容易，而且你永远不会在第一次尝试时就“把事情做好”。在我什至 DCPROMO 之前，我的第一个域控制器我通常会在纸上或白板上画出建议的结构，并遍历潜在的使用场景，看看我的设计是否“站得住脚”。这是解决设计中问题的好方法。

（也不要忘记站点对象上的组策略应用程序。在站点上链接 GPO 时必须小心跨域 GPO 应用程序，但是如果您是单域环境，您可以获得很多将 GPO 链接到站点的功能。使用它完成一些示例场景——我发现它非常适合加载具有“站点特定”设置的软件，或者在某些情况下登录计算机时向用户提供特定的登录脚本物理位置，通过环回组策略处理。）