组织Windows Server 2008域中的用户

你不想要一个多域的环境。 只有在必须使用多域环境（在Windows 2003环境中针对不同用户使用不同的密码策略，并将该域用作两个或更多超大型环境的复制边界）时，才需要使用多域环境。 一个单一的域名环境是要走的路。

在每个物理位置至less放置一个DC是正确的。 一定要设置AD的“站点”和“子网”configuration，以便AD可以做出智能的复制决定，更重要的是，客户端计算机可以在login时做出明智的决定。 这两个DC应该勾选为“全球目录”服务器，并应为其位置上的PC提供DNS服务。 （您应该指定远端DC作为PC的辅助DNS服务器，但是您希望他们首先与位于DC的位置通信。）

将用户，计算机，组和其他对象组织到您的Active Directory（AD）中的OU中是基于两个标准：

• AD内pipe理任务的控制权委托
• 组策略的应用

作为一个第三方关心的问题，你可以在AD中组织对象，以便在视觉上很容易find，但是这完全是一个审美问题。

控制委托涉及AD中默认权限的修改，以允许其他用户执行pipe理任务。 想象一下，你有一个场外分支机构的情况，并在该办公室“IT高级用户”谁想要执行密码重置用户在办公室忘记密码的用户。

通过将控制委托给她（通过将她放在一个组中，并将控制委托给组）， 仅在代表用户在其办公室的用户账户对象所在的OU重置密码（可能在子OU中 – 代表inheritance子OU）默认情况下，您授予她仅为这些用户重置密码的function。

在一个小型组织中，可能没有大量的控制权，但是至less在“白板化”您的潜在configuration时至less应该考虑一下。

组策略通常通过将组策略对象链接到OU来应用于用户或计算机。 （可以不使用任何OU来使用组策略，但这是一个很大的痛苦，而不是一个现实的部署策略。）如果您需要通过“软件安装策略”在会计部门的所有PC上安装应用程序，例如，个人电脑组织成代表部门的OU将给你一个简单的方法，在所有的个人电脑上定位一个GPO。

组策略的应用可以通过其他方式（用户或计算机的组成员身份，WMI过滤，通过在“站点”对象链接的组策略对象的方式的IP子网）来控制，而控制委派只能在OU基础上。 因此，委托控制是您首要的压倒一切的devise关注点（即确保提议的OU布局适用于您所期望的控制策略委派），而组策略应用（更stream畅）是次要关注点。

你可能会习惯于让熟悉Active Directory的人坐在你身边几个小时，问你一些关于如何使用你的AD来提出devisescheme的问题。 这听起来像一个非常简单的环境，OU层次结构很容易重新devise，但一个好的AD顾问可能会给你一些很好的想法，随着你的发展，可以减lesspipe理成本，并简化向用户交付function。

编辑：

我会在你的评论中的声明中提出一些问题：“OU层次结构应该复制我的组织结构。” OU层次结构应该支持您所需的控制委派和组策略应用程序策略。 如果碰巧出现类似于你的“组织图”或其他组织图，那就这样吧。 AD不是一个“组织结构图”，而且你不应该假定OU层次结构看起来像现有的组织结构图。

安全组用于授予资源（如共享文件夹）的权限。 （您也可以为每个用户指定权限，但除了主目录之类的边缘情况外，您不应该指定这些用户。）OU不是“安全主体” – 即它们没有与之关联的安全标识符（SID），因此不能在权限中命名。

AD OU层次结构用于控制组策略应用程序。

在OU层次结构（以及这些权限下的层次结构）上设置的权限控制着Active Directory中pipe理职责的委派。

有时候感觉像重复创build一个“会计”OU和一个“会计”安全组。 不幸的是，这就是产品devise的方式。 尽pipe如此，我不能说我经历过这种情况。

有一点让人费解的是，安全组是一个AD对象，因此可以更改其权限，以允许任意一组用户控制组的成员资格。 这个组又可以用来控制其他types的访问（比如对共享文件夹的权限，或者在AD中执行额外的pipe理任务的权限）。 这种性质最容易掌握的是“域pipe理员”。 委派某人控制“域pipe理员”组成员的权利可以（有意或无意）授予该委派pipe理员将某人（可能是他们）提升为“域pipe理员”的权利。

基本上，安全团队成员的控制权在devise时需要经过深思熟虑。 你可以用它做一些非常强大有趣的东西，但是你需要思考。