活动目录

不。 在所有的方面，真的。

例如，我所居住的一个大型着名的跨国公司，拥有超过25,000个GPO。 所以，虽然你可能认为你有太多的GPO和太多的复杂性（你可能会），但这不是一个真正可以解决的问题。 拥有复杂关系的大型复杂组织拥有庞大而复杂的目录。 没有办法绕过它。

唯一真正的解决scheme是适当的devise，执行和pipe理你的AD结构……这也不是一件容易的事，或者可以用“一些工具”解决的事情。 再次，即使有适当的devise和政策，你最终会得到一个相对庞大而复杂的广告。 这只是这种types的数据的性质 – 它有很多，它跟踪了很多关系和依赖关系，所以它很复杂。 野兽的性质。

你的第一个目标是决定如何组织/devise你的AD结构和层次结构，这是一个项目本身。

一旦你解决了这个问题，你应该继续在当前的环境中进行报告，这也不是一件小事。 这里有许多工具，包括通过LDAP查询和获取数据的普通旧脚本以及第三方工具。 Quest的Windows和Active Directory报告工具可能会成为你所要求的“行业标准”，但是它们很昂贵，而且不是任何弹性的银弹。 例如，我为一家约1,000名员工公司做了一次AD重新devise，文件服务器上的文件权限报告生成了超过25万行的Excel电子表格。

然后，一旦你知道了你想成为什么样的人，以及你现在在哪里，你就需要devise出一条到达的途径。 当然，这是在环境运行的时候完成的，因为在解决问题的时候，你不能很好地把AD脱机几个月。 值得注意的是，这经常导致人们认识到，站起来一个全新的领域或者森林，让你“迁移”现有的环境变得更加容易和更好。

最后，一旦你完成了所有这一切，就必须制定政策和程序， 并强制执行，以保护新的和/或清理的AD的结构和组织，否则你会回到你开始的一团糟与时俱进。

很多工作。

根据您的AD环境的规模和程度的混乱，您可能会更好的logging您的AD环境，在清理某个特定区域时处理低成本的水果和实施政策。 例如，通过删除前员工和空白组来清理组成员，并执行员工离职程序，例如“运行以下脚本以确定组成员身份并从所有组中删除前员工”。

但是无论如何，你们都是这样做的，没有任何工具可以为你做，而且需要一点点的努力来完成。