Desain Active Directory OU untuk <500 pengguna, 4 lokasi

8

Kami mencari untuk menambahkan beberapa struktur logis untuk hierarki AD (Win 2003) kami. Kami memiliki satu domain dan sekitar 500 pengguna. Semua pengguna dan komputer saat ini diatur dalam satu OU. Semua grup keamanan dan distribusi berada dalam OU kedua. Keanggotaan grup pada dasarnya berdasarkan pada pengguna individu tanpa bersarang dari grup.

Pertanyaan saya:

  1. Untuk organisasi sebesar ini, apakah perlu mendesain hirarki OU berdasarkan departemen, geografi, dan / atau kelas objek (yaitu komputer, pengguna, grup) dan memindahkan pengguna, komputer, dan grup ke OU yang relevan?
  2. Jika demikian, bagaimana Anda menyusun hierarki misalnya kelas objek-> location->?
  3. Haruskah kita membuat sarang, jika sesuai, untuk pemetaan yang lebih baik ke peran aplikasi perusahaan dan entri alamat Exchange?
active-directory ldap eft
sumber

Jawaban:

10

Berikut adalah prinsip inti dari rekomendasi Microsoft untuk desain logis AD:

  • Desain pertama untuk pendelegasian kontrol, karena itu didasarkan pada izin AD dan merupakan sumbu yang paling tidak fleksibel untuk dimodifikasi. Jika Anda tidak melakukan pendelegasian kontrol maka jangan khawatir tentang ini (tapi saya tetap akan merencanakannya - bahkan dalam organisasi sekecil itu Anda mungkin perlu untuk pengguna yang ditunjuk di kantor cabang untuk dapat mengatur ulang kata sandi, dll).

  • Desain kedua untuk penerapan kebijakan grup. Memfilter aplikasi kebijakan grup oleh keanggotaan grup keamanan memungkinkan GPO untuk diterapkan hanya pada sebagian pengguna atau objek komputer di bawah titik yang ditautkan dalam direktori, jadi sumbu ini memiliki beberapa fleksibilitas lebih dari izin AD.

  • Desain terakhir untuk organisasi dan kemudahan penggunaan. Buatlah mudah untuk menemukan hal-hal untuk Anda dan admin lainnya.

Pikirkan masing-masing pertimbangan ini saat Anda merancang, memprioritaskannya seperti yang disarankan. Sangat mudah untuk mengubah keadaan nanti (secara komparatif), dan Anda tidak akan pernah "menyelesaikannya dengan benar" pada percobaan pertama. Bahkan sebelum saya DCPROMO kontroler domain pertama saya, saya biasanya menggambar struktur yang diusulkan di atas kertas atau papan tulis dan berjalan melalui skenario penggunaan potensial untuk melihat apakah desain saya "tahan". Ini cara yang bagus untuk menghilangkan masalah dalam desain.

(Jangan lupa tentang aplikasi kebijakan grup pada objek situs, Anda juga harus berhati-hati tentang aplikasi GPO lintas-domain ketika Anda menautkan GPO di situs, tetapi jika Anda adalah satu lingkungan domain, Anda bisa mendapatkan banyak hal hebat. fungsionalitas dari menautkan GPO ke situs. Bekerja melalui beberapa skenario sampel dengan itu - Saya menemukan itu bagus untuk memuat perangkat lunak yang memiliki pengaturan "spesifik situs" di dalamnya atau menyediakan skrip logon khusus untuk pengguna saat masuk ke komputer pada waktu tertentu lokasi fisik, melalui pemrosesan kebijakan grup loopback.)

Evan Anderson
sumber
Bisakah Anda memberikan contoh struktur sederhana yang akan Anda terapkan dengan praktik terbaik ini?
TechGuyTJ
2
Tidak banyak mengetik. Mungkin saya dapat memposting salah satu kuis dari ketika saya mengajar kelas desain Active Directory bersama dengan upaya jawaban. Karena saat ini duduk, pekerjaan mengalahkan saya dan saya tidak punya banyak waktu untuk Server Fault. Saya akan menandai ini dan melihat apakah saya dapat kembali ke sana.
Evan Anderson
3

Saya selalu membagi pengguna, komputer, dan grup menjadi OU yang terpisah, karena alasan sederhana yang membuatnya lebih mudah untuk dikelola.

Jika Anda tidak memiliki alasan kuat untuk struktur AD tertentu, maka rancang AD Anda dari sudut pandang administratif. Pikirkan di mana Anda akan menerapkan kebijakan.

Jika Anda menerapkan sebagian besar kebijakan di tingkat departemen, gunakan Departemen \ Lokasi \ Objek

Jika Anda menerapkan sebagian besar kebijakan Anda di tingkat lokasi, gunakan Location \ Department \ Object

Jika Anda melakukannya dengan cara lain, itu berarti Anda harus menautkan kebijakan Anda di beberapa OU, yang melibatkan pekerjaan yang tidak perlu.

Kelompok-kelompok yang bersarang baik-baik saja, dan sekali lagi, membuat pengelolaan AD lebih mudah.

Saya cenderung merancang struktur AD dengan 'membuatnya mudah dikelola' dalam pikiran, daripada mencerminkan struktur perusahaan fisik, namun keduanya sering sama.

Bryan
sumber
Ingat juga, tidak masalah seberapa baik Anda mendesain struktur AD Anda, mereka akan selalu menjadi pengecualian :-)
Tubs
3

Saya pikir, jika saya harus mendesain ulang AD saya lagi ada beberapa hal yang akan saya lakukan berbeda, tetapi saya telah menemukan bahwa:

Pengguna - Membagi tesis menjadi departemen, tetapi juga dengan area untuk staf temp atau agensi. Lokasi untuk ini tidak akan sepenting orang yang pasti akan pindah.

Komputer - Bagi ini menjadi lokasi dan sub lokasi. Yaitu OfficeComputers / LondonOffice / Room103 (Keuangan). Ini berarti bahwa Anda dapat menerapkan pengaturan ke satu lokasi atau kantor - misalnya server proxy yang berbeda, atau pengaturan anti virus yang berbeda (tentu saja hanya jika program manajemen AV menggunakan AD) - tanpa mengatur ulang, dan mudah-mudahan tidak perlu membuka bisa dari cacing yang memproses loopback.

Saya juga menemukan bahwa berguna untuk tidak menggunakan pengguna atau kelompok komputer bawaan, bukan masalah teknis, tetapi hanya agar Anda dapat dengan mudah melihat di mana hal-hal yang seharusnya tidak terjadi.

Akhirnya, pisahkan server Anda juga, saya telah pergi ke lokasi / peran yang tampaknya telah bekerja dengan cukup baik.

Tubs
sumber
2

Seperti yang sudah dijawab, inilah contoh saya, contoh, tidak ada yang salah atau benar tergantung kebutuhan - mis. Organisasi atau lokasi terlebih dahulu? Saya lebih suka peran organisasi terlebih dahulu bahkan untuk peran komputer / server. Saya juga suka kemampuan untuk menunjukkan satu OU tunggal untuk mendapatkan semua karyawan dan tidak ada sampah untuk mengisi daftar karyawan intranet dari. Silakan diedit!

  • Orang (pengguna / tipe = orang)
    • Intern
      • Departemen A
        • Lokasi X
        • Lokasi Y
      • Departemen B
      • Departemen c
    • Luar
      • Perusahaan 1
      • Perusahaan 2
  • Mesin (pengguna / jenis = komputer apa saja yang termasuk)
    • Klien
      • Laptop
      • Desktop
    • Server
      • Aplikasi
        • Lokasi T
        • Lokasi V
      • Infrastruktur
      • Basis data
    • Layanan
    • Akun administratif (jika digunakan)
  • Daftar (grup & kontak)
    • Kontak
    • Distribusi
    • Keamanan
Oskar Duveborn
sumber
@Oskar - terima kasih untuk contohnya. Saya pikir Anda maksud Mesin (akun komputer) bukan Mesin (akun pengguna).
eft
Yah, tidak benar-benar tetapi tangkapan yang bagus .. Saya pikir saya maksudkan "akun pengguna" secara umum (untuk akun komputer, akun layanan, dan sebagainya), yang bertentangan dengan grup atau kontak ... diperbaiki
Oskar Duveborn
Saya mengerti apa yang Anda maksudkan sekarang - terima kasih atas klarifikasi
#
0

Saya baru saja membaginya berdasarkan lokasi dalam hal ini. Struktur OU yang dihasilkan akan terlihat seperti ini:

Location1
-Computers
-Groups
-Users

Location2
-Computers
-Groups
-Users

dll.

Saya tidak benar-benar melihat perlunya divisi lebih lanjut di sini, misalnya oleh Departemen, karena akan menghasilkan overhead admin tambahan tanpa benar-benar memberikan banyak imbalan. Namun pemisahan berdasarkan lokasi akan memungkinkan Anda untuk menerapkan delegasi di setiap situs.

Maximus Minimus
sumber
0

Garis panduan yang saya gunakan adalah: Pengguna; mengatur menurut Grup HR chartflow; mengatur menurut alur kerja Komputer; mengatur sesuai dengan lokasi geografis

Jawaban lain di utas ini juga sangat bagus.

Martin P. Hellwig
sumber