在 LDAP 中,最好将组嵌套在组织单位下还是直接在根 dn 下为组创建一个组织单位?
Jef*_*eff 7 ldap groups organizational-unit
我不确定在我的每个组织单位下嵌套组还是直接在根 DN 下为组创建一个组织单位更好。一个被认为是最佳实践吗?我想保持我的配置尽可能简单,以最大限度地提高与 LDAP 感知应用程序的兼容性。
我的迫切需求包括:
- 与 Atlassian Crowd 的单点登录
- Google Apps Directory Sync(LDAP 组 -> 邮件列表)
- 用于 Windows 身份验证的 pGina
这是一张图表,显示了我正在考虑的两种策略:
根据 AD 设计指南,在设计结构时需要考虑两件事:1) 管理控制的委派和 2) 组策略。
由于组策略不适用于组,因此您基本上只剩下一个 - 管理控制委派。您的模型 B 提供了在每所学校进行一些本地行政任务委派的选项,这可能是您将要实施的,所以这就是我想要的。
我见过一些示例,这些示例按组类型将组进一步划分为单独的 OU,例如应用程序组、策略组、权限组等。
| 归档时间: |
|
| 查看次数: |
4396 次 |
| 最近记录: |