完整的 Active Directory 重新设计和 GPO 应用程序

Question

经过大量测试和数百次尝试和投入时间，我决定在这里咨询您的专家。

概述：

我想对我们的用户应用一些 GPO，这会将一些特定站点添加到所有用户的 Internet Explorer 设置中的受信任站点。然而，我尝试的越多结果变得越混乱。GPO 要么应用于一组用户，要么应用于另一组用户。最后，我得出的结论是，这种奇怪的行为是由 Active Directory 中用户和组的组织不善造成的。因此，我想从根本上解决问题：重新设计 Active Directory 用户和组。

设想：

有一个域控制器，我们使用终端服务（因此还有一个终端服务器）。用户通常使用远程桌面登录到终端服务器来执行他们的日常任务。我将按以下方式对用户进行分类：

• IT：管理员、软件开发
• 业务：行政、管理

Active Directory 用户和组的当前结构是以前 IT 管理的结果。该公司使用了创建多个默认用户组和容器的 Small Business Server。

不幸的是，在我之前工作的人根本没有任何文档。现在，当我继承这个结构时，我处于无人区。不知道先去哪个方向。

如您所见，Active Directory 用户和组变得有些混乱。不再有 SBS，但是当从 SBS 迁移到当前的 Windows Server 2008 R2 环境时，我之前的人只是简单地复制了相同的结构。

真正的问题：

我应该从哪里开始清理，确保我不会完全破坏当前的基础设施？对于我上面解释的场景，什么是好的组织？

有关当前结构的可能有用信息：

1. Computers文件夹包含Terminal Services Computers用户组

   • 成员：TerminalServer位于Server -> TerminalserverOU 的计算机
   • 成员：无

2. Foreign Security Principals ： 空的

3. Managed Service Accounts ： 空的

4. Microsoft Exchange Security Groups ：不确定是否需要，我们的电子邮件由外部服务提供商管理

5. Distribution Groups : 不确定是否需要

6. Security Groups : 有几个组是需要的

7. SBS users : 包含所有用户

8. Terminalserver : 只包含终端服务器机器

Answer 1

我过去处理过类似的问题。

话虽如此，您的组织看起来并不离谱。许多小型企业的建立就像您概述的那样。

如果你真的想重组我发现的最好的解决方案是在你的域的根设置一个具有块组策略继承的 OU。在此 OU 下构建您的新结构，并在那里应用您的组策略。然后，您可以以受控方式移动您的计算机和用户对象。

就设计而言 - 使用任何有效的方法。不要试图太接近地模拟业务的物理安排。将您的系统分组以使其易于管理。

编辑澄清：

“阻止继承”是一个选项，允许您设置一个 OU，该 OU 不接受在其上方定义的任何策略。这允许完全空白的石板。以后移动到这里的任何对象都不会应用任何现有策略，即使它们本来会应用。留在原来家中的任何物品仍将适用其当前政策。

虽然有点过时，但这里的逻辑建模为整个 AD 结构提供了一些很好的指导。

还有一点非常重要——记录你所做的一切。包括为什么这样做以及它是如何配置的。您为此选择的确切方法并不重要，但我个人确实更喜欢那里的各种Wiki之一。为您的环境构建详细的历史记录是天赐之物。

针对 Joe Qwerty 的额外编辑

我没有必要提倡重组。这样做可能会占用大量时间，并且会带来严重的痛苦。如果那是 OP 选择的路线，我只是建议如何这样做。就个人而言，这将是最后的手段。我已经签约了每个人都是域管理员并且帐户/组策略完全混乱的地方，重组是最可行的选择。

鉴于选择，我会选择在现有的 AD 结构中工作。如果命名约定等打扰您，它们可以随时更改。OU、组名等都具有不会被重命名破坏的 GUID。SBS 条目可能不是从旧的 SBS 服务器复制的。SBS 包括活动目录。随着组织扩展，常见的迁移路径是添加 2008 R2 / 2012 服务器，将其提升为域控制器，移动 FSMO 角色，然后降级原始 SBS 服务器。如果老管理员在原来的 SBS AD 控制台上花了很多时间，我就能明白为什么您不想更改命名约定。