服务器 Gind.cn
  1. 服务器 Gind.cn
  3. 活动目录结构和复制傻瓜
Intereting Posts
域名被转发到新的托pipe后,电子邮件不工作? RAID卡事件通知电子邮件到Gmail 是否有可能通过networking浏览器searchapt库? 更新域名服务器的即时效果 使用nginx可以在不改变浏览地址的情况下为页面404提供一个自定义的404页面 SQL Server EE:限制访问通过Microsoft服务器pipe理工​​具login的用户 我如何检查服务器令牌是否closures? LDIFDE命令返回“无效的参数:错误的参数”-r'“ 如何使用OpenLDAP来configurationCentos 5.3来存储和提供SSH公钥? 如何find我的控制器中是否有扩展器 Apache2和logrotate:delaycompress需要? 如何防止Linux在关机时删除临时文件 与ASA Squid3 WCCPv2不起作用 debconf忽略了我的默认启动器 从局域网访问DMZ中的反向代理服务

活动目录结构和复制傻瓜

我必须为我们公司安装一个Active Directory环境,这将是第一个从头开始的安装,所以我有问题,基本上是关于结构。

首先一些描述:

  • 我们有不到100个用户(外部和内部),所以没有太多
  • 我们在不同的地方,不同的国家设有办事处
  • 我必须在每个办公室都有域控制器(总共不超过10个)

我的计划和问题:

  • 我想为所有没有子域的用户使用一个域。 我对吗? 其实我没有看到使用更多的域名,甚至没有子域名的优势。
  • 我想用组织单位分隔不同的用户。 见下面计划的结构
  • 我可以只复制DC之间的子树吗? 像“OU = country1,OU =内部,CN =用户”?
  • 我在某个地方看到了一个AD,他们没有使用CN = Users作为“普通”用户,而是一个新的CN =“公司用户”。 这是一个常见的惯例吗? 我没有看到有任何理由不使用原来的CN = Users子树。


CN=Users OU=Internal, CN=Users OU=country1, OU=Internal, CN=Users OU=country2, OU=Internal, CN=Users OU=ADMINS, OU=Internal, CN=Users (The only non geographic group on this level for the company IT administrators) OU=External, CN=Users: all the external users OU=EXTERNALCOMPANY, OU=External, CN=Users OU=OTHERCOMPANY, OU=External, CN=Users

如果有问题,我使用Windows 2012 R2。

感谢您的任何回应。

你的计划看起来不错。 伊什。

  1. 用于less于100个用户的10个域控制器是DC与用户之间非常高的比例。 严格来说,在每个办公室都不需要域控制器。

    • 在站点没有域控制器会导致整个站点链接的stream量增加,这是由于身份validation和其他域服务通过链路
    • 如果站点链接发生故障,则域服务将不可用(这对您可能是个问题,也可能不是问题)

  2. 没有子域名的单个域名听起来不错。 微软不再推荐使用子域名,除非在一些罕见的情况下。

    • 这里有一个很好的答案,关于子域和OU的问题 ,对于这个问题, 整个线程可能值得一看 ,因为你似乎没有任何Active Directory的经验。

  3. 您不能有select地复制域控制器之间的OU。 你也不想要。

  4. 不使用内置的UsersComputers容器是常见的约定。 (请注意,它们是容器,而不是OU)。这些是新用户和计算机默认情况下的位置,因此如果它们不用于其他任何事情,它将使生活更轻松。 将它们用作层次结构的根容器通常不是一个好主意。

对于我评论的散漫性,我提前抱歉。

我想为所有没有子域的用户使用一个域。 我对吗? 其实我没有看到使用更多的域名,甚至没有子域名的优势。

对于几乎任何规模,大小的组织(特别是在微软添加了细粒度的密码策略之后),单一域名几乎总是一路走来。 到目前为止,单域是最简单的pipe理configuration。

域控制器计算机

如果每个实体办公室的用户都有本地资源可以在发生WAN故障时继续工作,那么在每个实体办公室里放置一个域控制器(DC)当然是很好的。 如果他们访问的所有资源都是远程的,那么部署如此之多的数据中心可能就没有意义了。

如果您的计划是将每个办公室的DC用作文件服务器,我强烈build议使用Hyper-V将DC作为独立的VM guest虚拟机托pipe。 如果可能的话,您应该尝试将DC隔离为提供与域相关的服务,而不是其他任何东西。 它减less你的攻击面。

想一想,如果有人从其中一个办公室盗取一个区域办公室,并为此计划,会发生什么情况。 您应该阅读“只读域控制器”(RoDC),了解它是否符合您的需求。 如果RoDC被盗,则该RoDC上的密码会被盗用。 如果传统的读/写DC被盗,所有的密码(和krbtgt哈希)都会被破坏,您将需要重置所有密码(并重置krbtgt哈希并重新启动所有域成员计算机)。

站点,子网,复制

您需要configuration站点和子网以允许AD正确pipe理复制拓扑。

我可以只复制DC之间的子树吗? 像“OU = country1,OU =内部,CN =用户”?

不要担心任何AD的select性复制。 你有这么less的数据,任何尝试有select地复制(这就是主要的子域),只会导致更多的悲伤,而不是利益。

请注意,站点之间的复制延迟(默认情况下为站点之间15分钟)会使您想要将远程pipe理工具直接连接到办公室的数据中心,以便立即“可见”更改用户在该网站。 (可以select启用站点间复制的更改通知协议,以便快速复制,但这不是产品的默认行为。)

OU结构

pipe理控制委派是您在确定OU结构时应使用的第一个devise约束。 例如,如果每个远程办公室的用户都可以充当“帮助台”并为本地用户重置密码,那么您将需要一个地理定位的OU结构(如您所build议的那样)。 在一些公司中,由于部门/业务部门处理委派pipe理,部门/业务部门首先分解了OU结构。 即使你现在不打算控制任何代表团,现在想想公司未来如何发展,并试图为此做好计划。 (地理通常是人们前进的方式。)应用于目录中的对象的访问控制列表(ACL)的控制量的委派。 由于一个对象只能应用一个ACL,并且由于它从容器(OU,大多数情况下)inheritanceACL,因此默认情况下,获取对象的位置非常重要。

第二个devise约束应该是组策略的应用。 由于您是AD新手,您应该花一些时间阅读组策略。 与授权控制不同的是,组策略更适合应用于下属容器中的“分散”对象(通过名为“安全筛选”的function),因此,您的OU结构反映您计划的组策略应用程序策略并不重要但是,只要将GPO连接到OU,没有任何安全性过滤,事情就简单多了)。

我在某个地方看到了一个AD,他们没有使用CN = Users作为“普通”用户,而是一个新的CN =“公司用户”。 这是一个常见的惯例吗? 我没有看到有任何理由不使用原来的CN = Users子树。

实际的原因是,“CN = Users”对象是一个“容器”对象(而不是一个OU–比较“Active Directory用户和计算机”中的图标与“用户”与“域控制器”中图标的区别)应用了组策略,也不能在其下面创buildOU。 “CN = Computers”容器也是如此。 实际上,没有人使用组策略将这些容器用于“CN = Users”(通常不应该移动)的默认用户帐户和组以外的任何其他容器。

您不能在“CN = Users”下创build您要查找的OU结构,因为您不允许在那里创buildOU。 典型的惯例是创build一个域级别的OU,并将所有的OU,用户,计算机,组等等放在该OU下面。

看起来你已经有了一个坚实的开始,但是我会花一些时间在实验室里玩这个游戏,并考虑一下普通的pipe理情景。 特别是花一点时间阅读一般的AD和Group Policy,我想你会有一个合理的时间。