那些遇到过的问题

在 Windows Server 2008 域中组织用户

Ces*_*Gon 2 windows-server-2008 active-directory users

我计划为 70 台计算机和 50 多个用户创建一个基于 Windows Server 2008 的域,这些域将分布在两个不同的建筑物中,这些建筑物通过专用的 100 Mbps 线路连接。我计划在两座建筑物中的每一座上使用带有域控制器的单个域。我们预计在 3 年内增长到 150 多台计算机和 100 多个用户。我们的大部分工作涉及大文件共享(目前只有几 TB 的文件服务器)和一些专门的研究硬件和软件。

我不确定在域中组织用户的最佳方式是什么。我应该将它们安排在组织单位中吗?我应该改用组吗?两者的结合?甚至多个域?你能建议一些关于这种规模和复杂性的指导方针吗?

提前谢谢了。

Eva*_*son 8

您不想要多域环境。仅在必要时才使用多域环境(在 Windows 2003 环境中为不同用户使用不同的密码策略,使用域作为两个或多个非常大的环境的复制边界)。单域环境是要走的路。

在每个物理位置至少放置一个 DC 是正确的。确保您设置了 AD 的“站点”和“子网”配置,以便 AD 可以做出智能复制决策,并且(更重要的是)客户端计算机可以就登录期间与哪个 DC 通信做出智能决策。两个 DC 都应勾选为“全局目录”服务器,并应为其所在位置的 PC 提供 DNS 服务。(您应该将远端 DC 指定为 PC 的辅助 DNS 服务器,但您希望它们首先与所在位置的 DC 通信。)

在 Active Directory (AD) 中将用户、计算机、组和其他对象组织到 OU 中基于两个条件:

  • AD 内管理任务的控制委派
  • 组策略的应用

作为第三个关注点,您可能会在 AD 中组织对象,以便在视觉上易于定位,但这严格来说是一个美学问题。

控制委派涉及修改 AD 中的默认权限以允许其他用户执行管理任务。想象一个场景,您有一个异地分支机构,并且该办公室中有一个“IT 高级用户”,他想要为在其办公室忘记密码的用户执行密码重置。

通过将控制权委托给她(通过将她放入一个组并将控制权委托给该组)以在代表其办公室用户的用户帐户对象所在的 OU(可能在子 OU 中 - 委托继承到sub-OUs)您授予她仅为这些用户重置密码的能力。

在小型组织中,可能没有大量的控制委派,但在“白板化”潜在配置时,您至少应该考虑一下。

组策略通常通过将组策略对象链接到 OU 来应用于用户或计算机。(完全可以使用没有任何 OU 的组策略,但这是一个很大的痛苦,而不是一个现实的部署策略。)如果您需要通过“软件安装策略”将应用程序安装到会计部门的所有 PC 上,例如,组织成代表部门的 OU 的 PC 将为您提供一种在所有这些 PC 上定位 GPO 的简单方法。

组策略的应用可以通过其他方式进行控制(用户或计算机的组成员身份、WMI 过滤、通过在“站点”对象上链接的组策略对象的 IP 子网),而控制委派只能在 OU 的基础上工作. 因此,控制委派是您首要关注的设计问题(即确保提议的 OU 布局适用于您所需的控制委派策略),而组策略应用(更流畅)是次要问题。

您最好让熟悉 Active Directory 的人与您一起坐下来几个小时,并询问您一些关于您希望如何使用 AD 来提出建议设计的问题。听起来很简单的环境和 OU 层次结构很容易重新设计,但是一个好的 AD 顾问可能会给你一些很好的想法,随着你的成长,让你最大限度地减少管理费用并简化向用户交付功能.

编辑:

我会对您评论中的陈述提出一些问题:“OU 层次结构应该复制我组织的结构。” OU 层次结构应支持您所需的控制委派和组策略应用策略。如果它碰巧与您的“组织结构图”或其他一些组织结构图相似,那就这样吧。但是,AD 不是“组织结构图”,您不应该假设 OU 层次结构最终看起来像任何现有的组织结构图。

安全组用于授予对共享文件夹等资源的权限。(您也可以在权限中命名单个用户,但除了主目录等边缘情况外,您不应该这样做。)OU 不是“安全主体”——即它们没有与之关联的安全标识符 (SID),并且因此不能在权限中命名。

AD OU 层次结构用于控制组策略应用程序。

在 OU 层次结构上设置的权限(以及这些权限下的层次结构)控制 Active Directory 中管理职责的委派。

有时感觉像是重复创建一个“会计”OU 和一个“会计”安全组。不幸的是,这就是产品的设计方式。不过,在很多情况下,我不能说我经历过这种情况。

令人有点费解的是,安全组是一个 AD 对象,因此可以更改其权限以允许任意一组用户控制组的成员资格。反过来,该组可用于控制其他类型的访问(例如,共享文件夹的权限,或在 AD 中执行其他管理任务的权限)。这种性质最容易掌握的组是“域管理员”。委派某人控制“域管理员”组成员的权利可以(有意或无意地)授予该委派管理员将某人(可能是他们自己)提升为“域管理员”的权利。

基本上,安全组成员的控制委托需要在设计时经过深思熟虑。你可以用它做一些非常强大和有趣的事情,但你需要仔细考虑。

归档时间:

查看次数:

578 次

最近记录:

16 年 前
相关归档
如何在 IIS 7.5 中启用 TLS 1.1、1.2 34
添加 UPN 而不是尝试更正我们的 AD 域名有什么缺点吗? 9
验证是否可以从 7Zip 存档中成功解压缩文件 6
AD 和 Exchange 2010 的最佳配置 5
Windows 备份到网络共享 (Server 2008) 4
Excel 文件始终通过 WebDAV 以只读模式打开 3
域控制器时间快 7 分钟 3
Windows Server 2008 附带什么版本的 .NET? 2
如何将服务器连接到 Active Directory 2
对于单个 Active Directory 的辅助 DNS 的最佳实践 0
难疑归档
修改时是否必须重新加载 systemd 单元文件? 210
服务器应该在晚上关闭吗? 147
切换到 IPv6 意味着放弃 NAT。那是件好事儿吗? 116
使用 wget 递归下载整个 FTP 目录 110
我的 /var/log/btmp 文件很大!我该怎么办? 91
使用 Apache 2.2.3 (Debian) mod_proxy 和 Jetty 6.1.18 出现代理错误 502“原因:从远程服务器读取错误” 89
更改 MySQL 用户的主机权限 69
SSH 允许一个用户使用密码,仅允许使用公钥 69
如何使用 scp _MOVE_ 文件? 56
好 sudo 还是 sudo 好? 54