Sou um professor que ensina Active Directory e já faz algum tempo que me pergunto o seguinte: Ao planejar uma nova estrutura de AD, faz sentido criar os locais na DIT (Árvore de Informações de Diretório) como UOs? Ou não é uma boa ideia porque os locais podem ser configurados como objetos de qualquer maneira? Qual é uma boa abordagem aqui?
Quais são os argumentos para Sites como UOs? Quais são os argumentos contra Sites como OUst?
Responder1
É uma prática normal que a configuração de seus sites e sub-redes descreva a rede física o mais fielmente possível, com links de site descrevendo como os sites individuais estão conectados. Feito corretamente, isso permite que o AD tome algumas decisões bastante inteligentes sobre quais DCs usar para atender suas autenticações, etc. (como qual deve assumir o controle de um determinado site se um ficar inativo por um período). Numa grande empresa isto pode ser de importância crítica. Um ponto importante é garantir que você também tenha objetos de sub-rede definidos para todas as suas sub-redes, pois a primeira coisa que um dispositivo faz ao iniciar o Windows é tentar determinar onde ele está. Se não puder fazer isso, então qualquer DC em sua rede é um jogo justo para autenticação, o que pode resultar em desempenho muito lento se você tiver um DC subutilizado na extremidade de um pedaço de string encharcado!
Responder2
Não há uma resposta certa ou errada para a criação de UOs com base em um local versus um organograma. Mesmo uma combinação de ambos pode funcionar. A resposta é 100% baseada nas necessidades da organização. Acredite em mim quando digo que qualquer layout que você escolher não deixará todos felizes. Na minha opinião, as UOs deveriam ser criadas principalmente para delegação de privilégios administrativos. As UOs podem dividir a responsabilidade pelos objetos AD quando você também cria um grupo de segurança e delega o controle da UO a esse grupo. Isso resolve a maior dor de cabeça de saber quem gerencia o quê.
Outros motivos típicos para a criação de UOs, como a aplicação de GPOs ou a identificação da localização geográfica de objetos, podem ser alcançados de maneiras mais fáceis. Os GPOs podem ser aplicados usando filtros WMI, filtragem de grupos de segurança ou vinculados a sites AD. Não crie uma UO apenas para aplicar um GPO, a menos que esse GPO seja para preenchimento de grupos de administradores locais por meio de Grupos Restritos (dica). A localização física dos objetos deve ser armazenada nos atributos de cada objeto. Consulte esses atributos quando quiser saber em qual cidade ou prédio esse usuário ou computador está. Você tem pouco controle sobre as pessoas que se deslocam de um local para outro, e é por isso que as estruturas de UO baseadas em localização não fazem um bom trabalho ao informar onde algo está localizado. fisicamente é. Claro, os atributos também podem eventualmente estar errados, mas atualizar um atributo tem menos implicações do que alterar UOs.
Responder3
O Active Directory oferece uma maneira de dividir a topologia lógica da topologia física.
Você pode definir vários sites, com Controladores de Domínio em cada um deles. Os sites são mapeados para sub-redes IP e cada computador no domínio pode procurar o controlador de domínio "mais próximo" com base em sua sub-rede IP. Você também pode gerenciar a replicação de informações do AD entre sites.
Definitivamente, você deve aproveitar isso, porque o AD está estruturado para ser multissite e resiliente a sites.
DR: Você deverianãomapeie seus sites físicos para unidades organizacionais e não use vários domínios. AD é mais do que capaz de cuidar de vários sites; definitivamente não são necessários vários domínios ou UOs específicas do site para lidar com isso.
Mais informações aqui:https://docs.microsoft.com/en-us/windows-server/identity/ad-ds/plan/understanding-active-directory-site-topology