我想采用我的活动目录域的最佳结构,以便能够有效地应用GPO。 这是我的架构:CompanyName \ ServiceName {用户,组,工作站,笔记本电脑}
我的第一个问题是关于地理站点:我们有两个地理站点,创build这种types的层次结构是更好:公司名称\地理站点名称\服务名称(用户,组,工作站,笔记本电脑)或处理地理站点GPO使用站点策略? 事实上,如果这个组织在两个站点上拆分,可能导致必须复制一些服务。
我的第二个问题是关于{用户,组,工作站,笔记本电脑},你认为有更好的组织?
非常感谢
这是一个非常开放的问题,它的很多是由你的组织操作方法决定的。 你是否跨越地理界限进行工作,或者是受限于特定地点?
我个人的偏好是创build几个低级别的OU
/people /groups /services /hosts 人们是基于组织结构(逻辑)组织的。
组也基于组织结构(包含用户,例如“IT操作”)
服务包含每个服务的服务帐户和2+组(例如,“文件服务器pipe理员”,它们将是“文件服务器用户”的成员),它们只包含组织组。 在这种情况下,您需要将文件服务器pipe理员和文件服务器pipe理员的IT操作添加到文件服务器上的pipe理员本地组。
主机应该包含任何在域上有IP地址的东西(或者像AD打印机那样需要在AD中表示)。 我在地理上分解它们,因为它们是物理资源,计算机GPO经常需要尊重位置。
DNS与主机是一致的,因为例如我的文件服务器DFS是“files.site .compay.local”和打印服务器“print.site.compay.local”。由于DHCP通常给人以正确的search后缀,即使用户转到另一个网站他们仍然可以打印到\打印并到达他们\文件的主目录,无需更改任何东西(假设DFS-R或类似的同步家庭)。