Я хотел бы выбрать лучшую структуру для своего домена Active Directory, чтобы иметь возможность эффективно применять GPO. Вот моя схема: CompanyName \ ServiceName {Пользователи, группы, рабочие станции, ноутбуки}
Мой первый вопрос о географических сайтах: у нас есть два географических сайта, лучше ли создать такую иерархию: CompanyName \ GeographicSiteName \ ServiceName {Users, Groups, Workstations, Laptops} или обработка GPO географических сайтов с помощью политики Sites? Действительно, такая организация может привести к необходимости дублировать некоторые службы, если они разделены на 2 сайта.
Мой второй вопрос касается {пользователей, групп, рабочих станций, ноутбуков}, как вы думаете, есть лучшая организация?
Огромное спасибо
Это очень открытый вопрос, и во многом он определяется методами работы вашей организации. Вы много работаете за пределами географических границ или большинство задач ограничено конкретными сайтами?
Лично я предпочитаю создать несколько подразделений низкого уровня.
/people
/groups
/services
/hosts
Люди организованы на основе организационной структуры (логически).
Группы также основаны на структуре организации (содержат пользователей, например, «ИТ-операции»).
Службы содержат учетные записи служб и 2+ группы для каждой службы (например, «Администраторы файлового сервера», которые будут членами «Пользователи файлового сервера»), которые содержат ТОЛЬКО организационные группы. В этом случае вы должны добавить ИТ-операции для администраторов файлового сервера и администраторов файлового сервера в локальную группу администраторов на ваших файловых серверах.
Хосты должны содержать что-либо с IP-адресом, которое находится в домене (или должно быть представлено в AD, например, принтеры и т. Д.). Я разбиваю их по географическому принципу, так как они являются физическими ресурсами, а компьютерным объектам групповой политики часто необходимо учитывать местоположение.
DNS согласован с хостами, потому что, например, мой файловый сервер DFS - это файлы.сайт.compay.local "и принт-сервер" принт.сайт.compay.local. Поскольку DHCP обычно дает людям правильный суффикс поиска, даже если пользователь переходит на другой сайт, они все равно могут печатать в \ print и переходить в свой домашний каталог в \ files, ничего не меняя (при условии, что DFS-R или что-то похожее на synch homedirs).