| 切勿低估设计良好的组织单位 (OU) 结构的重要性和复杂性。我发现 IT 部门经常盲目行事,他们有时过分关注 OU 结构,有时又不对其进行认真思考。总之,这会导致 Active Directory® 模型发生问题。 过度强调 OU 结构就会忽略 Active Directory 设计的其他方面,例如规划站点拓扑或考虑域控制器大小。另一方面,如 OU 规划不受重视,组策略和委派将会受到不良影响。 我曾听到的一种托辞是 OU 结构很灵活,如果不合适,之后可以进行更改。的确,OU 结构很灵活;不过,管理员通常发现后期更改 OU 结构要比他们原来预期的困难。当然,可以添加新 OU,但旧 OU 却很难清除。 计划欠佳的 OU 结构往往会我行我素。如果在目录中创建了一个新对象,但管理员不知道将其置于 OU 结构中的什么位置,他只能选择要么创建一个新 OU,要么将该对象放在某个不相干的位置。这两种情况都比较危险。创建一个新 OU 很容易做到,但从长远角度来看很难进行跟踪。猖獗的 OU 创建形成了混乱的 OU 结构,而且易于让各种内容蔓延到未记录的目录中。另一方面,如果您将某个对象添加到与其不相干的现有 OU 中,则此新对象可能会接收它不应获得的策略,或者该对象的权限可能被委派给非目标用户。 设计 OU 结构时,应记住一个基本等式:简单性 + 适用性 = 可持续性。如果您的设计过于简单,则它可能并不适用,因此将不得不过于频繁地进行更改。如果您的设计适用性过强,则所有内容都将被分类,这会使情况变得过于复杂。 有三个关于组策略、委派和对象管理的关键原则,它们可为您的设计决策提供指导。这些原则可被归结为三个您应自问的问题,帮助确保所创建的 OU 结构体经得起时间和组织更改的考验: 是否需要创建此 OU 结构,以便可对其应用唯一的组策略对象 (GPO)? 特定管理员组是否需要对此 OU 中的对象具有权限? 此新 OU 是否会使其内部对象管理变得更为轻松? 如果上述任一问题的答案均为“是”,则您可能应创建此 OU。如果所有三个问题的答案均为“否”,则您应重新考虑布局并确定其他设计是否更加合适。但是,在我对此做更深入的探讨并为您显示如何应用这些原则之前,我应首先解释这些原则之所以重要的原因。 原则 1:组策略 OU 设计的第一个原则是考虑将应用于 OU 的组策略对象。GPO 允许您强制对用户和计算机设置进行配置。您可以在 Active Directory 中定义多个 GPO,并将其应用于整个域、各种 OU 乃至域中的站点。GPO 分为两类—一类用于用户,一类用于计算机。 计算机策略和用户策略可在同一 GPO 中定义。GPO 的“用户配置”大多定义用户登录时的体验。这些设置类型也存在于“计算机配置”中,但此部分还包含与计算机安全性相关的更多设置,例如谁可在本地登录到计算机或如何加密数据。 以下是您在定义支持 GPO 的 OU 时需要记住的一些基础知识。首先,仅仅因为用户和计算机策略可在同一 GPO 中定义,就认为最好将用户和计算机对象放入同一 OU 中是错误的。将它们合并到同一 GPO 中会使 GPO 应用更难以进行故障排除。当您启用环回策略时,这一点非常明显。 其次,许多人会忘记您可以在站点级别应用 GPO,因此为与 GPO 的应用目标相符,应模拟其站点结构设计 OU 结构。这是 OU 设计的一种常见模型,称为“地理模型”。我将进一步探讨此模型。我必须承认“地理模型”在 OU 设计中的地位,但正如您稍后将看到的,我不认为 GPO 应用是实施此模型的主要原因。 |
