设计有效的OU结构.docxVIP

设计有效的OU结构 Ken St. Cyr 概览： ?良好0U设计的关键原则 ?常用0U设计模型 ?记录您的0U设计 切勿低估设计良好的组织单位（0U）结构的重要性和复杂性。我发现IT部门经 常盲目行事，他们 有时过分关注0U结构，有时又不对其进行认真思考。总之，这会导致Active Directory?模型发生问题。 过度强调0U结构就会忽略Active Directory设计的其他方面，例如规划站点 拓扑或考虑域控制器大小。另一方面，如0U规划不受重视，组策略和委派将会 受到不良影响。 我曾听到的一种托辞是0U结构很灵活,如果不合适,Z后可以进行更改。的确， 0U结构很灵活；不过，管理员通常发现后期更改0U结构要比他们原来预期的 困难。当然，可以添加新0U,但旧0U却很难清除。 计划欠佳的0U结构往往会我行我素。如果在目录中创建了一个新对象，但管理 员不知道将其置于0U结构中的什么位置，他只能选择要么创建一个新0U,要 么将该对象放在某个不相干的位置。这两种情况都比较危险。创建一个新0U很 容易做到，但从长远角度来看很难进行跟踪。猖獗的0U创建形成了混乱的0U 结构，而且易于让各种内容蔓延到未记录的目录中。另一方面，如果您将某个对 象添加到与其不相干的现有0U中，则此新对象可能会接收它不应获得的策略, 或者该对象的权限可能被委派给非目标用户。 设计0U结构时，应记住一个基本等式：简单性+适用性二可持续性。如果您 的设计过于简单，则它可能并不适用，因此将不得不过于频繁地进行更改。如果 您的设计适用性过强，则所有内容都将被分类，这会使情况变得过于复杂。 有三个关于组策略、委派和对象管理的关键原则，它们可为您的设计决策提供指 导。这些原则可被归结为三个您应自问的问题，帮助确保所创建的0U结构体经 得起时间和组织更改的考验： 是否需要创建此0U结构，以便可对其应用唯一的组策略对象（GPO）? 特定管理员组是否需要对此0U中的对象具有权限？ 此新0U是否会使其内部对象管理变得更为轻松？ 如果上述任一问题的答案均为“是”，则您可能应创建此0U。如果所有三个问 题的答案均为“否”，则您应重新考虑布局并确定其他设计是否更加合适。但是, 在我对此做更深入的探讨并为您显示如何应用这些原则之前，我应首先解释这些 原则之所以重要的原因。 原则1：组策略 0U设计的第一个原则是考虑将应用于0U的组策略对象。GPO允许您强制对用 户和计算机设置进行配置。您可以在Active Directory中定义多个GPO,并将其应用于整个域、各种0U乃至域中的站点。GPO分为两类一一类用于用户，一 类用于计算机。 计算机策略和用户策略可在同一 GPO中定义。GPO的“用户配置”大多定义用 户登录时的体验。这些设置类型也存在于“计算机配置”屮，但此部分还包含与 计算机安全性相关的更多设置，例如谁可在本地登录到计算机或如何加密数据。 以下是您在定义支持GPO的0U时需要记住的一些基础知识。首先，仅仅因为 用户和计算机策略可在同一 GPO中定义，就认为最好将用户和计算机对象放入 同一 0U中是错误的。将它们合并到同一 GPO中会使GPO应用更难以进行故障 排除。当您启用环回策略时，这一点非常明显。 其次，许多人会忘记您可以在站点级别应用GPO,因此为与GPO的应用冃标相 符，应模拟其站点结构设计0U结构。这是0U设计的一种常见模型，称为“地 理模型”。我将进一步探讨此模型。我必须承认“地理模型”在0U设计中的地 位，但正如您稍后将看到的，我不认为GPO应用是实施此模型的主要原因。 此外，当根据GPO考虑0U结构时，目标应该是消除复杂性。请确保将0U添 加到GPO继承流中。如果您0U所包含的服务器要求与其他服务器相同的策略, 请考虑将这些计算机对象置于范围更广的服务器0U下，并在此服务器0U下为 不同的服务器类型创建多个0U （请参阅图1） o这可以简化策略应用程序，因 为更低层0U中的每个计算机对象将从服务器0U获取策略，还会获取特定于此 特定服务器类型的任何其他策略。 ou 後略服务器 所冇册务器策略Exchange Exchange ServerSQLSQL Server 液略 ou 後略 服务器 所冇册务器策略 Exchange Exchange Server SQL SQL Server 液略 Figure 1 Crea ting multi pie OUs for differe nt server ty pes （单击该图像 获得较大视图） 另一基础知识是确保不要创建或链接多个不必要的GPCio使用GPO,您可以创建 一个策略并将其应用于多个0U。这有吋是有益的，但也可能是有害的。如果您 必须更改GPO设置，而且链接的GPO系统过于复杂，则会偶然将更改应