【导语】“姐很高贵你不配”通过精心收集,向本站投稿了2篇浅析 Windows 管理 设计有效OU结构,以下文章小编为您整理后的浅析 Windows 管理 设计有效OU结构,供大家阅读。
篇1:浅析 Windows 管理 设计有效OU结构
切勿低估设计良好的组织单位 (OU) 结构的重要性和复杂性,我发现 IT 部门经常盲目行事,他们有时过分关注 OU 结构,有时又不对其进行认真思考。总之,这会导致 Active Directory 模型发生问题。
过度强调 OU 结构就会忽略 Active Directory 设计的其他方面,例如规划站点拓扑或考虑域控制器大小。另一方面,如 OU 规划不受重视,组策略和委派将会受到不良影响。
我曾听到的一种托辞是 OU 结构很灵活,如果不合适,之后可以进行更改。的确,OU 结构很灵活;不过,管理员通常发现后期更改 OU 结构要比他们原来预期的困难。当然,可以添加新 OU,但旧 OU 却很难清除。
计划欠佳的 OU 结构往往会我行我素。如果在目录中创建了一个新对象,但管理员不知道将其置于 OU 结构中的什么位置,他只能选择要么创建一个新 OU,要么将该对象放在某个不相干的位置。这两种情况都比较危险。创建一个新 OU 很容易做到,但从长远角度来看很难进行跟踪。猖獗的 OU 创建形成了混乱的 OU 结构,而且易于让各种内容蔓延到未记录的目录中。另一方面,如果您将某个对象添加到与其不相干的现有 OU 中,则此新对象可能会接收它不应获得的策略,或者该对象的权限可能被委派给非目标用户。
设计 OU 结构时,应记住一个基本等式:简单性 + 适用性 = 可持续性。如果您的设计过于简单,则它可能并不适用,因此将不得不过于频繁地进行更改。如果您的设计适用性过强,则所有内容都将被分类,这会使情况变得过于复杂。
有三个关于组策略、委派和对象管理的关键原则,它们可为您的设计决策提供指导。这些原则可被归结为三个您应自问的问题,帮助确保所创建的 OU 结构体经得起时间和组织更改的考验:
是否需要创建此 OU 结构,以便可对其应用唯一的组策略对象 (GPO)?
特定管理员组是否需要对此 OU 中的对象具有权限?
此新 OU 是否会使其内部对象管理变得更为轻松?
如果上述任一问题的答案均为“是”,则您可能应创建此 OU。如果所有三个问题的答案均为“否”,则您应重新考虑布局并确定其他设计是否更加合适。但是,在我对此做更深入的探讨并为您显示如何应用这些原则之前,我应首先解释这些原则之所以重要的原因。
原则 1:组策略
OU 设计的第一个原则是考虑将应用于 OU 的组策略对象。GPO 允许您强制对用户和计算机设置进行配置。您可以在 Active Directory 中定义多个 GPO,并将其应用于整个域、各种 OU 乃至域中的站点。GPO 分为两类D一类用于用户,一类用于计算机。
计算机策略和用户策略可在同一 GPO 中定义。GPO 的“用户配置”大多定义用户登录时的体验,
这些设置类型也存在于“计算机配置”中,但此部分还包含与计算机安全性相关的更多设置,例如谁可在本地登录到计算机或如何加密数据。
以下是您在定义支持 GPO 的 OU 时需要记住的一些基础知识。首先,仅仅因为用户和计算机策略可在同一 GPO 中定义,就认为最好将用户和计算机对象放入同一 OU 中是错误的。将它们合并到同一 GPO 中会使 GPO 应用更难以进行故障排除。当您启用环回策略时,这一点非常明显。
其次,许多人会忘记您可以在站点级别应用 GPO,因此为与 GPO 的应用目标相符,应模拟其站点结构设计 OU 结构。这是 OU 设计的一种常见模型,称为“地理模型”。我将进一步探讨此模型。我必须承认“地理模型”在 OU 设计中的地位,但正如您稍后将看到的,我不认为 GPO 应用是实施此模型的主要原因。
此外,当根据 GPO 考虑 OU 结构时,目标应该是消除复杂性。请确保将 OU 添加到 GPO 继承流中。如果您 OU 所包含的服务器要求与其他服务器相同的策略,请考虑将这些计算机对象置于范围更广的服务器 OU 下,并在此服务器 OU 下为不同的服务器类型创建多个 OU(请参阅图 1)。这可以简化策略应用程序,因为更低层 OU 中的每个计算机对象将从服务器 OU 获取策略,还会获取特定于此特定服务器类型的任何其他策略。
另一基础知识是确保不要创建或链接多个不必要的 GPO。使用 GPO,您可以创建一个策略并将其应用于多个 OU。这有时是有益的,但也可能是有害的。如果您必须更改 GPO 设置,而且链接的 GPO 系统过于复杂,则会偶然将更改应用于错误对象。您创建的链接越多,掌握策略范围的难度就越大。同样,您应避免使用与其他策略相同的设置来创建附加策略。如果您发现您经常如此,则考虑修改您的 OU 结构以应用新的 GPO 继承模型。
最后,您应尽量始终为用户对象和计算机对象创建新的 OU。默认情况下,用户和计算机对象被置于容器中,这不允许您将 GPO 与这些对象直接链接。可将 GPO 应用于域中的用户和计算机容器,但除非您在其他位置阻止继承,否则,这些策略将应用于域中的每个用户和计算机。在 Windows Server? 2003 中,您可以使用 rediruser.exe 和 redircomp.exe 工具将用户对象和计算机对象的默认位置更改为您为其创建的 OU。
原则 2:委派
您创建 OU 结构的方式与在域中委派权限的方式一致,这一点非常重要。请记住,当在 Active Directory 中委派权限时,权限更改仅对对象生效。因此,如果您为某位用户授予了对特定计算机对象的“完全控制”,则此人员可以修改该对象的属性,但其并不具有对计算机本身的“管理员”权限。
以下是对您在设计 OU 结构时进行委派的一些建议做法:
设计时应注意权限继承 例如,假设您希望第 1 层管理员能够更改大多数帐户的密码。对于特殊的用户组,管理员不应具有重设密码的能力,但他们确实应该可以更改有关这些帐户的显示名称。
在此,您实际上有两个选项。第一,您可以创建两个单独的并行 OU,然后将特殊用户与普通用户分隔开来。不过,这意味着如果您要更改所有用户的委派选项,则必须在两个单独的位置更改这些权限。这还与不链接多个不必要策略的方法相抵触。
篇2:基于C/S结构超市管理系统设计
基于C/S结构超市管理系统设计
摘要:通过对大型超市计算机综合管理信息系统的`分析与研究,采用面向对象的程序设计语言作为开发平台,建立以局域网为中心的计算机环境,利用数据库应用系统,开发出功能强大、运行可靠的大型超市管理信息系统.作 者:武献宁 张福初 作者单位:湖南现代物流职业技术学院,湖南,长沙,410131 期 刊:硅谷 Journal:SILICON VALLEY 年,卷(期):2010, “”(3) 分类号:X9 关键词:系统分析 系统设计 数据流程★ 《ao、ou、iu》教学设计和教学反思 (人教版一年级上册)
★ 设计管理论文
浅析 Windows 管理 设计有效OU结构(共2篇)
