中型企业Active Directory 设计部署系列三：AD架构的设计（上）

转自： http://bbs.winos.cn/thread-53792-1-1.html  ，做者zh_cxl，转载和分享请注明出处。

 

本系列文章单独发于bbs.winos.cn，供论坛朋友交流分享，但愿能有更多的交流和分享，你们一块儿学习和提升，因近期有文章被做少量改动后在大型网站转载，并未注明原文做者以及来源为bbs.winos.cn，为支持和保护论坛原创，如需转载或对原文进行修改、裁剪编辑等后再转载，请事先与我取得联系，故做声明，谢谢合做



接上一篇：中型企业Active Directory 设计部署系列二 站点的设计  



回答上一篇的问题，答案是：在南昌的其中一台DC完成身份验证。

分析：
珠海员工到南昌分公司出差办公当笔记本接入南昌分公司的网络后南昌分公司的DHCP服务器会为它分配一个属于南昌网段的IP地址，并配置南昌分公司的DNS及网关地址，而后DNS会去查询本地的DC，最后在本地DC上对用户进行身份验证。


下面进行OS公司的AD的架构设计图

下载 (39.07 KB)

2009-1-14 17:25

　　从图里咱们能够看出Administrator用户对域有最高的权限，是整个AD的管理员，在大中型企业里若是AD靠管理员一我的去管理维护确定是不可能的特别是有分支机构的企业，所以须要把部分权限委派出去。委派的权限不能太高，由于AD是公司的基础架构，不少应用都是基于AD的，若是AD发生崩溃在大中型企业里后果是不可想象，为了减小AD的崩溃和出错在权限设计方面必定要设计严格的管理权限，制定出在AD里对象的操做规则。

　　AD的结构主要是根据本身企业的实际状况和管理方便来划分下面只是一个实例仅供参考。


第一级划分

　　考虑到OS公司在将来的几年发展只限于国内发展，国外暂不考虑，结合中国地理位置第一级OU按省份来划分。

　　OS公司在3个省内有公司第一级划分三个OU分别是GD(广东）、JX（江西)、SC(四川）将来在别的省份发展分公司还能够断续增长省份OU。

　　在第一级OU中设计了一个Groups的OU这个OU主要用于存放OS公司的一些公共组,这个设计主要是为了便于管理。举个例子：总部有一份报表须要给珠海总公司、广东分公司、南昌分公司等各分公司的财务人员查看和修改，若是你是IT管理者该如何作？

最佳的解决方法：
          一、要求各公司IT管理员建立一个本地的财务组，如珠海ZHOS-Finance-Dept、广州GZOS-Finance-Dept，南昌NCOS-Finance-Dept等，本身本公司的全部财务人员加入到本地建立的财务组；；
          二、总部管理员在Groups建立一个OS-Finance-Dept财务公共组，把各公司的财务组如珠海ZHOS-Finance-Dept、广州GZOS-Finance-Dept等加入到OS-Finance-Dept财务组；               
          三、建立一个文件夹，把查看和修改权限赋予OS-Finance-Dept。



                 

第二级划分

　　第二级划分主要根据OS公司的结构来划分，根据所在的省份在一级OU下为每一个公司划分一个OU，每一个OU委派给各公司IT主管进行管理。

　　从图里能够看出，每一个公司的OU下都有一个组，这个组的用户对这个OU下面的对象负责管理，AD管理员把各公司的IT主管分别加入到相应的组里面。对每一个公司的OU委派下面几个权限：

一、建立、删除以及管理用户账户
二、建立、删除以及管理计算机账户
三、重设用户密码并强制在下次登陆时更改密码
四、读取全部用户信息
五、建立、删除和管理组
六、修改组成员身份
七、生成策略的结果集(计划)
八、生成策略的结果集(记录)

好了先写到这里吧，累了休息休息。




问题：假如我是南昌的IT管理员能够在一级OU上建立AD对象吗？能够对重庆的ＯＵ进行管理吗？