委派 Active Directory 管理的最佳实践.docVIP

委派 Active Directory 管理的最佳实践 写在前面的话： 随着ad这一产品，以及基于该验证架构平台的上层应用和服务走向成熟，MS所提出的的企业架构解决方案也越来越完善。脱胎于IT Infrastructure Library（ITIL）的MOF ，针对IT部门在企业中面对业务部门所提出的需求，要将服务做到更好，使之成为有吸引力的、可信赖的、有效率的服务，那么就需要形成 Changing-Operating-Supporting-Optimizing 这样一个运营机制，从而有效改善目前的服务状态。关于MS所提出的操作框架MOF，请参考 Microsoft Operations Framework 。 由此引发出的 Solutions for Core IT Services ，是非常值得我们去关注的。早些时候中文 Technet Webcast也都这对这个主题给出了几次讲座，这里是其中的一次，热心于Technet Webcast，或者常来看我的blog的朋友们，可能会注意到。MOF是，准备向伟大的企业架构师迈进的ITPro要注意了 ：） 在做AD管理的朋友们经常会感觉到面对不同的企业应用，该如何规划及规范AD的管理角色和工作呢？恰巧，这个文档就回答了这个问题。这个文档就是 《委派 Active Directory 管理的最佳做法》?，您也可以在这里获取到它的 word 版本AD_Delegation.doc?。在这个文档的最后一节《案例研究：一种委派方案》中提到了针对不同的企业环境，规划不同的OU及管理架构模型。记得这个whitepaper很早就收藏在我的收藏夹中了，我也向很多朋友们推荐过，但要严格按照文档中所描述的流程和架构来做，确实比较难。因为这些管理架构是和企业运营架构密切相关的，企业架构甚至企业文化往往决定了AD的管理架构。这里把这个文档内容及最后这一小节中针对不同业务需求给出的几个模型做一个简单提要。 内容范围本文档提供了创建、实现和维护一个对安全性敏感并且高效的委派模型来管理您的 Active Directory 环境所需的所有信息。这些信息包括：委派概述、委派基本原理的深入解释、Active Directory 中委派工作原理的技术说明、为服务管理和数据管理创建委派模型的过程、实现和维护这些模型所需的步骤，以及详细的案例分析。本文档的附录提供了详尽的参考，包括一个 Active Directory 管理任务的综合列表和在 Active Directory 中委派每个管理任务所需的相关权限。 本文档不包括 Active Directory 部署说明或建议。 有关规划和部署 Active Directory 环境的信息，请参阅 Web 上位于 /fwlink/?LinkID=4719 的 Designing and Deploying Directory and Security Services of the Microsoft? Windows? Server 2003 Deployment Kit（设计和部署 Microsoft? Windows? Server 2003 部署工具包的目录和安全服务）。 Active Directory 基础结构?Contoso 已选择根据地区域模型 (Regional Domain Model) 来部署 Active Directory。 两个主要的地理位置（北美和欧洲）分别有一个地区域，它们通过广域网 (WAN) 连接起来。 地区域模型使得 Contoso 能够随着时间的推移而维持一个稳定的环境。 这个模型包括一个林根域和两个地区域，如图所示。 林根域的全新 (Out-of-Box) 容器层次结构当安装第一个域控制器来创建 Contoso 林的林根域时，将创建如图所示的默认容器集 创建一个 OU 来存储代表服务角色的安全组为了更容易地管理“业务单元管理员”角色的实例，Contoso 遵循了在一个位置存储“业务单元管理员”角色的所有实例的建议。 企业管理员组的一个成员在林根域中创建一个名为“服务管理”的 OU，如图所示。 在每个域中创建一个 Delegation OU?在将要存储业务单元数据的每个域中，每个域（NOAM Domain Config Ops 和 Europe Domain Config Ops）的“域配置操作员”角色的一个成员在该域的“业务单元”OU 中创建一个名为“委派”的 OU。 这个 OU 用于存储代表所需数量的（通常等于该域中的业务单元数量）“业务单元管理员”角色实例的安全组。 它还用于存储需要在所有业务单元中授予管理权力的任何数据管理角色。 创建安全组来代表“业务单元管理员”角色实例 “域配置操作员”接下来为各自域中的每个业务单元