傻瓜的活动目录结构和复制

Question

我必须为我们公司安装一个 Active Directory 环境，这对我来说是第一个从头开始安装的环境，所以我有一些问题，基本上是关于结构的。

首先说明一下：

• 我们只有不到 100 个用户（外部和内部），所以不多
• 我们在不同的地方、不同的国家设有办事处
• 我几乎每个办公室都必须有域控制器（总共不超过 10 个）

我的计划和问题：

• 我想为所有没有子域的用户使用一个域。我对吗？实际上，我没有看到使用更多域的优势，甚至没有看到子域。
• 我想使用组织单位来分隔不同的用户。请参阅下面的计划结构
• 我可以在 DC 之间只复制子树吗？喜欢OU=country1, OU=Internal, CN=Users？
• 我在某处看到一个广告，他们没有将 CN=Users 用于“普通”用户，而是在根目录中使用了一个新的 CN=Users。这是一个共同的约定吗？我没有看到任何不使用原始 CN=Users 子树的充分理由。

CN=Users
    OU=Internal, CN=Users
        OU=country1, OU=Internal, CN=Users
        OU=country2, OU=Internal, CN=Users
        OU=ADMINS, OU=Internal, CN=Users (The only non geographic group on this level for the company IT administrators)
    OU=External, CN=Users: all the external users
        OU=EXTERNALCOMPANY, OU=External, CN=Users
        OU=OTHERCOMPANY, OU=External, CN=Users

如果重要的话，我使用 Windows 2012R2。

感谢您的任何回应。

Answer 1

你的计划看起来不错。伊什。

1. 少于 100 个用户的 10 个域控制器是 DC 与用户的非常高的比率。严格来说，您不需要在每个办公室都配备域控制器。

   • 由于身份验证和其他域服务流量穿越链接，站点上没有域控制器将导致站点链接上的流量增加
   • 如果站点链接断开，域服务将不可用（这对您来说可能是问题，也可能不是问题）
     
     

2. 没有子域的单个域听起来不错。Microsoft 不再推荐使用子域，除非在一些罕见的用例中。

   • 对于您关于子域和 OU 的问题，这里有一个很好的答案，就此而言，整个线程可能值得一看，因为您似乎没有任何 Active Directory 经验。
     
     

3. 您不能在域控制器之间有选择地复制 OU。你也不想。

4. 不使用内置Users或Computers容器是一个常见的约定。（请注意，它们是容器，而不是 OU。）默认情况下，这些是新用户和计算机所在的位置，因此，如果它们不用于其他任何用途，则生活更轻松。将它们用作层次结构的根容器通常不是一个好主意。