最近在和一些朋友探讨关于AD规划的问题,我发现大家都很在意AD域控制器的设计、AD站点的设计、DNS设计等等,但大多数人忽略了OU结构设计,我发现有些人有时过分关注OU结构,但又不对其进行认真思考。总之,这会导致ActiveDirectory模型发生问题。在这里给大家提个醒切勿低估设计良好的组织单位(OU)结构的重要性和复杂性。

当然这是一把双刃剑,如果过度强调OU结构就会忽略ActiveDirectory设计的其他方面,例如规划站点拓扑或考虑域控制器大小。如果没有规划好OU结构,那么在进行组策略和委派管理的时候可能会遇到不小的麻烦。

也许你会说OU结构本身很灵活,如果不合适,之后可以进行更改嘛。的确,OU结构很灵活;不过,管理员通常发现后期更改OU结构要比他们原来预期的困难。当然,可以添加新OU,但旧OU却很难清除,你不知道这个OU是否还需要继续使用,你不知道是否还有业务系统需要读取这个OU结构。

如果草草的规划OU结构,日后的麻烦会很多。比如我们在目录中创建了一个新对象,但管理员不知道将其置于OU结构中的什么位置,也许他只能选择创建一个新OU,亦或将该对象放在某个不相干的位置,但从长远的管理角度来看这两种情况都比较危险。如果您将某个对象添加到与其不相干的现有OU中,则此新对象可能会获取与之不想干的组策略,或者该对象的权限可能被委派给非目标用户。

设计OU结构时,应本着简单性+适用性=可持续性的基本原则来进行设计。如果您的设计过于简单,则它可能并不适用,因此将不得不过于频繁地进行更改。如果您的设计适用性过强,则所有内容都将被分类,这会使情况变得过于复杂。

有三个关于组策略、委派和对象管理的关键考虑因素,给大家在设计OU结构的时候进行参考:

  1. 是否需要创建此OU结构,以便可对其应用唯一的组策略对象(GPO)?
  2. 特定管理员组是否需要对此OU中的对象具有权限?
  3. 此新OU是否会使其内部对象管理变得更为轻松?

如果上述任一问题的答案均为“是”,则您可能应创建此OU。如果所有三个问题的答案均为“否”,则您应重新考虑一下并确定其他规划方法是否更加合适。