mwo*_*e02 2 active-directory attributes groups flags
我想标记某些 Active Directory 帐户,以表明它们代表个人、自然人,而不是组、服务帐户、内置帐户等。这可以通过自定义或内置属性、组等进行。
理想情况下,解决方案是:
组是与用户不同的对象,因此区分它们已经是可能的,甚至很容易。内置帐户通常留在用户容器中,而用户帐户和服务帐户通常分类到用户容器下或用户容器外的单独 OU 中。无论哪种方式,按 OU 排序都将是 GUI 中的视觉指示,也可以通过其他应用程序、powershell 命令、搜索等轻松搜索和排序。
因此,只需按用户类型将用户分类到不同的 OU 中。您可能还想创建一个 OU 树来更精细地对人类用户进行排序,例如,您可以按部门将他们分类到单独的部门 OU 中。或者您可以按办公地点或任何具有商业意义的方式对它们进行排序。这样你就有多种方法来区分具有不同需求的用户。
我还喜欢将所有组分类为 OU。我要么创建一个组 OU 并对其中的所有组进行排序,甚至创建一个 OU 树结构来区分用户组与资源组和通讯组,要么我将用户旁边的组包含在适当的用户 OU 中。
如果您没有智能地将 AD 对象分类到 OU 中,那么您就错过了 Active Directory 的一个主要功能。
除了使用 OU 之外,您还可以(真的应该)利用组成员身份。通常有理由创建一个或多个用户和通讯组,其中包括组织的所有人员,但不包括任何内置或服务帐户。您可能还想为所有服务帐户创建一个分发和/或用户组(您可以将服务帐户的适当权限分配给组)。通讯组完全是为了几乎没有其他目的对用户进行排序(特别是如果您不使用 Exchange),因此它是出于各种目的对帐户进行分组的理想机制。
如果您确实有 Exchange,那么您已经将各种架构扩展添加到 Active Directory 中,您可以使用它们来区分用户邮箱和共享邮箱等。
最后,关于服务帐户,您可能会考虑各种服务帐户所需的范围。如果您的服务需要自定义帐户但不需要访问任何网络资源,您只需为该服务创建一个本地帐户并授予它在本地计算机上的必要权限。这减少了一个服务帐户,使您的 AD 变得混乱。
| 归档时间: |
|
| 查看次数: |
1350 次 |
| 最近记录: |