我正在寻找构buildLDS目录的指导,并仅查找针对域服务的最佳实践。 这里有没有人有我们在目录中设置的层次结构的参考?
我对小项感兴趣,比如是否使用“DC”标签或“O”标签来命名顶层节点,例如,如果我们没有实际使用,应该是“DC = CompanyName,DC = local”特定的域名? 不应该是“O = CompanyName”吗? 而且我对这个问题是否值得考虑甚感兴趣。
我通常只使用DC标记作为根DN。 例如:
DC=something,DC=example,DC=COM 我也匹配根域的一部分(在这种情况下,它将是example.com)。 这只是一个习惯,例如,它不会帮助或妨碍您使用代理账户的能力。
我能想到的每个支持LDAP的产品都允许您指定用户所在path的完整DN。 所以你使用的组件不像结构本身那么重要(称为目录信息树或DIT)。 你基本上必须平衡两件事情:
一个平面的DIT,例如所有的用户将在下面:
OU=Users,DC=something,DC=example,DC=COM
将适合任何组织结构,你必须对付。 但是,您将牺牲一些使用您的LDS在应用程序之间隔离用户的能力。
这是一个例子。 如果你有两个应用程序,你可以有:
OU=Application_A,OU=Users,DC=something,DC=example,DC=COM OU=Application_B,OU=Users,DC=something,DC=example,DC=COM
但是如果来自Application_A的用户想要使用Application_B ,会发生什么? 团体也一样:
OU=Groups_A,OU=Users,DC=something,DC=example,DC=COM OU=Groups_B,OU=Users,DC=something,DC=example,DC=COM
简而言之,不要担心组件,但要考虑一下DIT适合不同的重用场景。
要了解Active Directory中dc=和o=之间的区别,您需要记住Active Directory是其核心的LDAP实现 。
DC=用LDAP说法指定一个域组件 。 当且仅当您正在定义DNS空间内存在的内容时才应该使用它。
如果您的组织是在DNS中使用dc=foobarco,dc=example,dc=com使用dc=foobarco,dc=example,dc=com作为根是完全合法的。
O=用LDAP的说法指定一个组织 。 在定义一个存在于其他层次结构(如DNS)之外的组织项时应该使用它。
例如,如果foobarco.example.com拥有一个名为Shiny Widgets的子公司,并且拥有自己的AD域,但没有自己的DNS域,那么您可以在o=ShinyWidgets,dc=foobarco,dc=example,dc=com 。
通常假设AD域将具有相应的DNS名称空间,因此您将在Active Directory中看到的最常见的configuration是树根将由一系列域组件定义。