我是教授 Active Directory 的老師,有一段時間我一直想知道以下問題:在規劃新的 AD 結構時,將 DIT(目錄資訊樹)中的位置建立為 OU 是否有意義?或者這不是一個好主意,因為無論如何位置都可以設定為物件?這裡有什麼好的方法?
將站點作為 OU 的論點是什麼?反對將站點列為 OUst 的論點是什麼?
答案1
網站和子網配置的正常做法是盡可能詳細地描述實體網絡,並使用網站連結描述各個網站的連接方式。如果做得正確,這可以讓 AD 做出一些非常明智的決定,決定使用哪些 DC 來為您的身份驗證等提供服務(例如,如果某個站點出現故障一段時間,哪個 DC 應該接管該站點)。在大型企業中,這可能至關重要。重要的一點是確保您也為所有子網路定義了子網路對象,因為裝置在啟動 Windows 時所做的第一件事就是嘗試確定它所在的位置。如果它不能這樣做,那麼網路中的任何 DC 都可以用於身份驗證,如果您在一段潮濕的字串的遠端有一個未充分利用的 DC,這可能會導致效能非常低!
答案2
根據位置與組織結構圖建立 OU 沒有正確或錯誤的答案。甚至兩者的結合也可能有效。答案是100%是基於組織的需求。相信我,無論您選擇哪種佈局都不會讓每個人都滿意。我認為,組織單位的創建主要是為了授予管理權限。當您也建立安全性群組並將 OU 的控制權委派給該群組時,OU 可以劃分 AD 物件的職責。這解決了最令人頭痛的問題:知道誰在管理什麼。
建立 OU 的其他典型原因(例如套用 GPO 或識別物件的地理位置)可以透過更簡單的方式實現。可以使用 WMI 過濾器、安全性群組過濾來套用 GPO,或連結到 AD 網站。不要僅僅為了套用 GPO 而建立 OU,除非該 GPO 用於透過受限群組填充本機管理員群組(提示提示)。物件的物理位置應儲存在每個物件的屬性中。當您想知道使用者或電腦位於哪個城市或建築物時,請查詢這些屬性。的原因物理上是。當然,屬性最終也可能是錯誤的,但更新屬性的影響比更改 OU 的影響要小。
答案3
Active Directory 為您提供了一種將邏輯拓撲與實體拓撲分開的方法。
您可以定義多個站點,每個站點中都包含網域控制站。站點被對應到IP子網,網域中的每台電腦都可以根據其IP子網尋找「最近」的網域控制站。您也可以管理網站之間的 AD 資訊複製。
您絕對應該利用這一點,因為 AD 的結構是多站點且具有站點彈性。
TL;DR:你應該不是將您的實體網站對應到 OU,都不使用多個網域。 AD 能夠處理多個站點;絕對不需要多個網域或特定於網站的 OU 來處理此問題。