轉自:http://bbs.winos.cn/thread-53792-1-1.html ,作者zh_cxl,轉載和分享請註明出處。
本系列文章單獨發於bbs.winos.cn,供論壇朋友交流分享,希望能有更多的交流和分享,大家一起學習和提高,因近期有文章被作少許改動後在大型網站轉載,並未註明原文作者以及來源爲bbs.winos.cn,爲支持和保護論壇原創,如需轉載或對原文進行修改、裁剪編輯等後再轉載,請事先與我取得聯繫,故作聲明,謝謝合作
接上篇:中型企業Active Directory 設計部署系列三 AD架構的設計(上)
解答上篇的問題:假如我是南昌的IT管理員可以在一級OU上創建AD對象嗎?可以對重慶的OU進行管理嗎?
答:1、不能在一級OU上創建AD對象,因爲沒有被授權;
2、不能對重慶OU進行管理,因爲沒有被授權;
前面我們根據地點和公司劃分了二級OU,下面我們再針對每個公司繼續劃分OU。
每個公司的OU架構共設計了兩個方案,下面我們先看看二個方案的架構圖。
方案一:
![OU結構規劃圖1.gif]()
接上篇:中型企業Active Directory 設計部署系列三 AD架構的設計(上)
解答上篇的問題:假如我是南昌的IT管理員可以在一級OU上創建AD對象嗎?可以對重慶的OU進行管理嗎?
答:1、不能在一級OU上創建AD對象,因爲沒有被授權;
2、不能對重慶OU進行管理,因爲沒有被授權;
前面我們根據地點和公司劃分了二級OU,下面我們再針對每個公司繼續劃分OU。
每個公司的OU架構共設計了兩個方案,下面我們先看看二個方案的架構圖。
方案一:
方案二:
公司OU劃分沒有一定結構,原則是根據公司的實際情況來劃分,怎麼樣管理方便就怎麼樣劃分。
第一個方案簡單明瞭,把相應的對象放入相應的OU再進行策略管理;
第二個方案也不錯,在管理上劃分得很細,但相應的也增加了管理的複雜度;
根據公司的實際情況,爲了簡化管理決定採用第一個方案,強化總公司的IT管理,減少AD的維護量,保障公司OU架構的統一性和可靠性所有公司都統一採用這一架構,併爲公司裏的每一個OU委派權限給分公司的IT管理員。具體的OU委派權限如下:
IT:
作用:此OU委派給總公司IT管理員創建和存放分公司的IT用戶和組
委派權限:
1、創建、刪除以及管理用戶帳戶
2、重設用戶密碼並強制在下次登錄時更改密碼
3、讀取所有用戶信息
4、創建、刪除和管理組
5、修改組成員身份
6、生成策略的結果集(計劃)
7、生成策略的結果集(記錄)
Groups:
作用:委派給分公司IT管理員創建和存放本地分公司的用戶組
委派權限:
1、創建、刪除和管理組
2、修改組成員身份
Users:
作用:委派給分公司IT管理員創建和存放本地用戶帳號
委派權限:
1、創建、刪除和管理組
2、重設用戶密碼並強制在下次登錄時更改密碼
3、讀取所有用戶信息
4、修改組成員身份
5、生成策略的結果集(計劃)
6、生成策略的結果集(記錄)
Servers:
作用:委派給分公司IT管理員創建和存放本地服務器計算機帳號;
委派權限:
1、創建、刪除以及管理計算機帳戶
2、生成策略的結果集(計劃)
3、生成策略的結果集(記錄)
Mobiles:
作用:委派給分公司IT管理員創建和存放本地筆記本計算機帳號;
委派權限:
1、創建、刪除以及管理計算機帳戶
2、生成策略的結果集(計劃)
3、生成策略的結果集(記錄)
Workstations:
作用:委派給分公司IT管理員創建和存放本地普通計算機帳號;
委派權限:
1、創建、刪除以及管理計算機帳戶
2、生成策略的結果集(計劃)
3、生成策略的結果集(記錄)
下一篇:中型企業Active Directory 設計部署系列四 組策略的設計
本系列文章單獨發於bbs.winos.cn,供論壇朋友交流分享,希望能有更多的交流和分享,大家一起學習和提高,因近期有文章被作少許改動後在大型網站轉載,並未註明原文作者以及來源爲bbs.winos.cn,爲支持和保護論壇原創,如需轉載或對原文進行修改、裁剪編輯等後再轉載,請事先與我取得聯繫,故作聲明,謝謝合作