服务器 Gind.cn
  1. 服务器 Gind.cn
  3. 识别某些Active Directory帐户为“IsHuman”
Intereting Posts
如何安装Exchange 2010,以便在我们的networking上尽可能独立 如何获得networking上所有机器的Microsoft许可authentication? 如何在Docker群模式服务调用中设置Linuxfunction 远程服务器无法访问RDS数据库 如何将ALB规则添加到现有的无服务器模板 当使用WAMP作为本地服务器时显示过时的信息 什么是为软件/系统工程师购买适当的桌面环境? 如何使用Nagios在无法访问/停机期间收集服务器的性能数据? 有没有一种方法,我可以看到为什么Squid(代理服务器)确定为什么资源应该是MISS? 为什么/run/nginx.pid消失? 每天简单地从系统中消失? 如何使用vps通过openvpn连接NAT后面的两台机器而无需访问VPS? Linux LVM快照提交还是恢复? 错误信息,当试图启动centos 5.5上的清漆 KVM是否足够稳定在2011年的生产使用? 我可以用NAS来实现吗?

识别某些Active Directory帐户为“IsHuman”

我想标记某些Active Directory帐户,以表示它们代表个人,身体上的人员,而不是群,服务帐户,内置帐户等。这可以通过自定义或内置的属性,组等来实现。

理想的解决scheme是:

  • 可以轻松地将该属性一次添加到多个帐户
  • 不必添加到每个帐户
  • 提供一些指示(视觉等),可能需要在创build帐户时进行设置

组是与用户不同的对象,所以区分它们已经是可能的,甚至是容易的。 内置帐户通常保留在用户容器中,而用户帐户和服务帐户通常在“用户”容器下或“用户”容器外部分类到单独的OU中。 无论哪种方式,按OU进行sorting都是GUI中的可视化指示,也可以通过其他应用程序,PowerShell命令,search等轻松search和sorting。

所以只要按用户types将用户分为不同的OU。 您可能还希望创build一个OU树来更加精细地对人类用户进行sorting,例如,您可以按部门将它们分类到不同的部门OU中。 或者你可以按办公地点或任何有商业意义的东西来分类。 这样你就有多种方式来区分不同需求的用户。

我也喜欢把所有的组分成OU。 要么我创build一个组OU,并对其中的所有组进行sorting,甚至创build一个OU树结构来区分用户组与资源组与通讯组,或者将相邻用户组中的用户组包括在适当的用户OU中。

如果您不是智能地将您的AD对象sorting到OU中,您错过了Active Directory的一个主要function。

除了使用OU,你可以(真的应该)利用组员资格。 通常有理由创build一个或多个用户和通讯组,包括组织的所有人员,但不包括任何内置或服务帐户。 您可能还需要为所有服务帐户创build分配和/或用户组(您可以为服务帐户分配适当的权限)。 一个通讯组完全是为了sorting用户几乎没有其他目的(特别是如果你不交换),所以它是一个理想的机制,为各种目的分组帐户。

如果您有Exchange,那么您已经将各种架构扩展添加到Active Directory中,您可以使用这些扩展来区分用户邮箱和共享邮箱等。

最后,关于服务账户,您可以考虑一下您的各个服务账户所要求的范围。 如果您的服务需要自定义帐户,但不需要访问任何networking资源,则可以简单地为该服务创build一个本地帐户,并在本地计算机上为其授予必要的权限。 这是一个less了一个服务帐户混乱你的广告。

我工作的大多数环境都不会在帐户上使用属性。 他们通过OU组织和/或命名标准来完成。 一个简单的例子可能是:

  • (域根)
    • 所有帐户
      • 人类
      • 共享帐户
      • 服务帐户

如果有意义,您可以细分不同的帐户types。 但大多数情况下,团体成员都是你需要进一步划分人群的团体。 将标准前缀/后缀添加到非人类帐户types也可以使其更容易查看/pipe理。 例如,所有服务帐户都可能以“svc”开头。

除了@Todd Wilcox的出色答案之外,我还想给AD中的对象添加命名约定。

要为用户/组创build“属性”的某些方面可以通过对对象和基础结构具有非常强大的命名约定而固有地应用,而不会偏离它。

用户
常规用户名应该是<FirstName>.<LastName><FirstName>.<LastName> <lastName><FirstInitial> ,而他们的显示名称将是<LastName>, <FirstName> (<Department>) 。 或者适合你的公司。 无论哪种方式,它们都应该是可复制的,并且可以用某种方式进行格式化,如果您知道某个用户的特定元素,则知道如何了解更多关于它们的信息,因为您知道要查找哪些内容。 

 Real Name Department Display name User Name John Doe IT Doe, John (IT) John.Doe Jane Doe Finance Doe, Jane (FIN) Jane.Doe James Doe Human Resources Doe, James (HR) James.Doe

服务帐户也应遵循标准惯例,但常规用户不同。 这也适用于“共享”帐户,但我会远离这些。 我的首选格式是sa.<vendor>.<product> ,所以对它们进行分组并find它们供以后再使用相当容易。 

 Vendor Product Display Name Username VMware vSphere (SA) VMware - vSphere sa.vmware.vsphere Microsoft SQL Server (SA) Microsoft - SQL Server sa.microsoft.sqlserver Microsoft Exchange (SA) Microsoft - Exchange sa.microsoft.exchange IBM Tivoli Storage Manager (SA) IBM - Tivoli Storage Manager sa.ibm.tsm


安全组应该根据他们正在做什么和他们应用什么来命名,但是又要遵循一个标准模式,以便可以很容易find类似的目标组。

文件共享可以通过共享名称和授予的权限进行命名,而在共享的服务器/path可以在说明中find( SHR_<ShareName>_R进行读取, SHR_<ShareName>_M进行修改)。

通用邮箱访问组可能包含邮箱名称和权限( GM_<SMTPAddress>_FMR为完全访问, GM_<SMTPAddress>_SA为发送为)。

AD /服务器分层组可以是团队的名称( DLG AD DevOps)DLG SRV BackupAndStorage等。)

分发列表是唯一奇怪的,因为人们可能会想要这个列表,因此可能会被命名为或多或less。 但即使如此,您仍然可以为您的组织设置标准。