В LDAP лучше всего вкладывать группы в организационные единицы или создавать организационную единицу непосредственно под корневым DNS только для групп?
Я не уверен, что лучше: вложить группы под каждое из моих организационных подразделений или создать организационное подразделение непосредственно под корневым DN только для групп. Считается ли одна лучшей практикой другой? Я хочу, чтобы моя конфигурация была как можно более простой, чтобы обеспечить максимальную совместимость с приложениями, поддерживающими LDAP.
Мои непосредственные потребности включают:
- Система единого входа с Atlassian Crowd
- Google Apps Directory Sync (Группы LDAP -> Списки рассылки)
- pGina для проверки подлинности Windows
Вот диаграмма, показывающая две рассматриваемые мной стратегии:
Согласно руководству по проектированию AD, при проектировании структуры необходимо учитывать 2 вещи: 1) делегирование административного контроля и 2) групповые политики.
Поскольку групповые политики не применяются к группам, у вас в основном остается одно - делегирование административного контроля. Ваша модель B дает возможность выполнять локальное делегирование административных задач в каждой школе, что может быть чем-то, что вы реализуете, так что я бы пошел на это.
Я видел примеры дальнейшего разделения групп на отдельные подразделения по типу группы, например, группа приложений, группа политик, группа разрешений и т. Д.
Я думаю, что было бы лучше сохранить все группы, которые содержат участников только из одной школы, в одном организационном подразделении и иметь отдельное подразделение в корне для межшкольных групп. Это поможет в управлении вашей AD в долгосрочной перспективе.