中型企业Active Directory 设计部署系列三：AD架构的设计（下）

转自： http://bbs.winos.cn/thread-53792-1-1.html  ，做者zh_cxl，转载和分享请注明出处。

 

本系列文章单独发于bbs.winos.cn，供论坛朋友交流分享，但愿能有更多的交流和分享，你们一块儿学习和提升，因近期有文章被做少量改动后在大型网站转载，并未注明原文做者以及来源为bbs.winos.cn，为支持和保护论坛原创，如需转载或对原文进行修改、裁剪编辑等后再转载，请事先与我取得联系，故做声明，谢谢合做





接上篇： 中型企业Active Directory 设计部署系列三 AD架构的设计（上）

解答上篇的问题：假如我是南昌的IT管理员能够在一级OU上建立AD对象吗？能够对重庆的ＯＵ进行管理吗？

答：一、不能在一级OU上建立AD对象，由于没有被受权；
     二、不能对重庆OU进行管理，由于没有被受权；

前面咱们根据地点和公司划分了二级OU，下面咱们再针对每一个公司继续划分OU。
每一个公司的OU架构共设计了两个方案，下面咱们先看看二个方案的架构图。

方案一：

下载 (24.75 KB)

2009-2-14 13:12

方案二：

下载 (32.86 KB)

2009-2-14 13:12

公司OU划分没有必定结构，原则是根据公司的实际状况来划分，怎么样管理方便就怎么样划分。

第一个方案简单明了，把相应的对象放入相应的OU再进行策略管理；
第二个方案也不错，在管理上划分得很细，但相应的也增长了管理的复杂度；

根据公司的实际状况，为了简化管理决定采用第一个方案，强化总公司的IT管理，减小AD的维护量，保障公司OU架构的统一性和可靠性全部公司都统一采用这一架构，并为公司里的每个OU委派权限给分公司的IT管理员。具体的OU委派权限以下：


IT:
做用：此OU委派给总公司IT管理员建立和存放分公司的IT用户和组
委派权限：
一、建立、删除以及管理用户账户
二、重设用户密码并强制在下次登陆时更改密码
三、读取全部用户信息
四、建立、删除和管理组
五、修改组成员身份
六、生成策略的结果集(计划)
七、生成策略的结果集(记录)

Groups:
做用：委派给分公司IT管理员建立和存放本地分公司的用户组
委派权限：
一、建立、删除和管理组
二、修改组成员身份

Users:
做用：委派给分公司IT管理员建立和存放本地用户账号
委派权限：
一、建立、删除和管理组
二、重设用户密码并强制在下次登陆时更改密码
三、读取全部用户信息
四、修改组成员身份
五、生成策略的结果集(计划)
六、生成策略的结果集(记录)


Servers:
做用：委派给分公司IT管理员建立和存放本地服务器计算机账号；
委派权限：
一、建立、删除以及管理计算机账户
二、生成策略的结果集(计划)
三、生成策略的结果集(记录)


Mobiles:
做用：委派给分公司IT管理员建立和存放本地笔记本计算机账号；
委派权限：
一、建立、删除以及管理计算机账户
二、生成策略的结果集(计划)
三、生成策略的结果集(记录)


Workstations:
做用：委派给分公司IT管理员建立和存放本地普通计算机账号；
委派权限：
一、建立、删除以及管理计算机账户
二、生成策略的结果集(计划)
三、生成策略的结果集(记录)




下一篇：中型企业Active Directory 设计部署系列四 组策略的设计




本系列文章单独发于bbs.winos.cn，供论坛朋友交流分享，但愿能有更多的交流和分享，你们一块儿学习和提升，因近期有文章被做少量改动后在大型网站转载，并未注明原文做者以及来源为bbs.winos.cn，为支持和保护论坛原创，如需转载或对原文进行修改、裁剪编辑等后再转载，请事先与我取得联系，故做声明，谢谢合做