中型企業Active Directory 設計部署系列三：AD架構的設計（上）

轉自： http://bbs.winos.cn/thread-53792-1-1.html  ，做者zh_cxl，轉載和分享請註明出處。

 

本系列文章單獨發於bbs.winos.cn，供論壇朋友交流分享，但願能有更多的交流和分享，你們一塊兒學習和提升，因近期有文章被做少量改動後在大型網站轉載，並未註明原文做者以及來源爲bbs.winos.cn，爲支持和保護論壇原創，如需轉載或對原文進行修改、裁剪編輯等後再轉載，請事先與我取得聯繫，故做聲明，謝謝合做



接上一篇：中型企業Active Directory 設計部署系列二 站點的設計  



回答上一篇的問題，答案是：在南昌的其中一臺DC完成身份驗證。

分析：
珠海員工到南昌分公司出差辦公當筆記本接入南昌分公司的網絡後南昌分公司的DHCP服務器會爲它分配一個屬於南昌網段的IP地址，並配置南昌分公司的DNS及網關地址，而後DNS會去查詢本地的DC，最後在本地DC上對用戶進行身份驗證。


下面進行OS公司的AD的架構設計圖

下載 (39.07 KB)

2009-1-14 17:25

　　從圖裏咱們能夠看出Administrator用戶對域有最高的權限，是整個AD的管理員，在大中型企業裏若是AD靠管理員一我的去管理維護確定是不可能的特別是有分支機構的企業，所以須要把部分權限委派出去。委派的權限不能太高，由於AD是公司的基礎架構，不少應用都是基於AD的，若是AD發生崩潰在大中型企業裏後果是不可想象，爲了減小AD的崩潰和出錯在權限設計方面必定要設計嚴格的管理權限，制定出在AD裏對象的操做規則。

　　AD的結構主要是根據本身企業的實際狀況和管理方便來劃分下面只是一個實例僅供參考。


第一級劃分

　　考慮到OS公司在將來的幾年發展只限於國內發展，國外暫不考慮，結合中國地理位置第一級OU按省份來劃分。

　　OS公司在3個省內有公司第一級劃分三個OU分別是GD(廣東）、JX（江西)、SC(四川）將來在別的省份發展分公司還能夠斷續增長省份OU。

　　在第一級OU中設計了一個Groups的OU這個OU主要用於存放OS公司的一些公共組,這個設計主要是爲了便於管理。舉個例子：總部有一份報表須要給珠海總公司、廣東分公司、南昌分公司等各分公司的財務人員查看和修改，若是你是IT管理者該如何作？

最佳的解決方法：
          一、要求各公司IT管理員建立一個本地的財務組，如珠海ZHOS-Finance-Dept、廣州GZOS-Finance-Dept，南昌NCOS-Finance-Dept等，本身本公司的全部財務人員加入到本地建立的財務組；；
          二、總部管理員在Groups建立一個OS-Finance-Dept財務公共組，把各公司的財務組如珠海ZHOS-Finance-Dept、廣州GZOS-Finance-Dept等加入到OS-Finance-Dept財務組；               
          三、建立一個文件夾，把查看和修改權限賦予OS-Finance-Dept。



                 

第二級劃分

　　第二級劃分主要根據OS公司的結構來劃分，根據所在的省份在一級OU下爲每一個公司劃分一個OU，每一個OU委派給各公司IT主管進行管理。

　　從圖裏能夠看出，每一個公司的OU下都有一個組，這個組的用戶對這個OU下面的對象負責管理，AD管理員把各公司的IT主管分別加入到相應的組裏面。對每一個公司的OU委派下面幾個權限：

一、建立、刪除以及管理用戶賬戶
二、建立、刪除以及管理計算機賬戶
三、重設用戶密碼並強制在下次登陸時更改密碼
四、讀取全部用戶信息
五、建立、刪除和管理組
六、修改組成員身份
七、生成策略的結果集(計劃)
八、生成策略的結果集(記錄)

好了先寫到這裏吧，累了休息休息。




問題：假如我是南昌的IT管理員能夠在一級OU上建立AD對象嗎？能夠對重慶的ＯＵ進行管理嗎？