Я хотел бы отметить определенные учетные записи Active Directory, чтобы указать, что они представляют отдельных физических лиц, а не группы, учетные записи служб, встроенные учетные записи и т. Д. Это может быть через настраиваемый или встроенный атрибут, группу и т. Д.
В идеале решение должно:
Группы - это объект, отличный от пользователей, поэтому различать их уже возможно, даже легко. Встроенные учетные записи обычно остаются в контейнере «Пользователи», тогда как учетные записи пользователей и сервисные учетные записи обычно сортируются в отдельные подразделения либо в контейнере «Пользователи», либо вне контейнера «Пользователи». В любом случае сортировка по OU будет визуальной индикацией в графическом интерфейсе, а также легко доступной для поиска и сортировки другими приложениями, командами PowerShell, поиском и т. Д.
Так что просто отсортируйте пользователей по разным OU по типу пользователя. Вы также можете создать дерево OU для более детальной сортировки пользователей-людей, например, вы можете отсортировать их по отделам в отдельные подразделения OU. Или вы можете отсортировать их по местоположению офиса или по тому, что имеет смысл для бизнеса. Таким образом, у вас будет несколько способов различать пользователей с разными потребностями.
Мне также нравится сортировать все группы по подразделениям. Либо я создаю групповое OU и сортирую все группы внутри него и даже создаю древовидную структуру OU, чтобы отличать группы пользователей от групп ресурсов от групп рассылки, либо я включаю группы рядом с пользователями в соответствующие пользовательские OU.
Если вы не сортируете объекты AD по подразделениям, вы упускаете одну из основных функций Active Directory.
В дополнение к использованию OU вы можете (действительно должны) использовать членство в группе. Обычно существуют причины для создания одной или нескольких групп пользователей и рассылки, которые включают весь персонал организации, но не включают встроенные или служебные учетные записи. Вы также можете создать группу рассылки и / или пользователей для всех учетных записей служб (вы можете назначить соответствующие права для учетных записей служб группам). Группа рассылки полностью предназначена для сортировки пользователей практически без других целей (особенно если вы не используете Exchange), поэтому это идеальный механизм для группировки учетных записей для различных целей.
если ты делать есть Exchange, то в Active Directory добавлены всевозможные расширения схемы, которые можно использовать для различения почтовых ящиков пользователей и общих почтовых ящиков и т. д.
Наконец, что касается учетных записей служб, вы можете подумать о том, какой объем требуется для различных учетных записей служб. Если у вас есть служба, которой требуется настраиваемая учетная запись, но не требуется доступ к каким-либо сетевым ресурсам, вы можете просто создать локальную учетную запись для этой службы и предоставить ей необходимые права на локальном компьютере. Это на одну учетную запись меньше, загромождая вашу AD.
В дополнении к @Todd Wilcox
Отличный ответ, я хотел бы добавить идею соглашения об именах для объектов в AD.
Определенные аспекты «атрибутов», которые вы хотите создать для пользователей / групп, могут быть применены по своей сути за счет очень строгого соглашения об именах для объектов и инфраструктуры, и не отклоняясь от него.
Пользователи
Обычные имена пользователей должны быть <FirstName>.<LastName>
, или <lastName><FirstInitial>
, а их отображаемые имена будут <LastName>, <FirstName> (<Department>)
. Или все, что работает для вашей компании. В любом случае они должны быть воспроизводимыми и отформатированы таким образом, чтобы, если вы знаете определенный элемент для пользователя, вы знали, как узнать о них больше, потому что вы знаете, что искать.
Real Name Department Display name User Name
John Doe IT Doe, John (IT) John.Doe
Jane Doe Finance Doe, Jane (FIN) Jane.Doe
James Doe Human Resources Doe, James (HR) James.Doe
Учетные записи служб также должны соответствовать стандартным соглашениям, но разные чем для обычных пользователей. Это также относится к «общим» учетным записям, но я бы все равно держался подальше от них. Мой предпочтительный формат sa.<vendor>.<product>
, так что их довольно легко сгруппировать и найти для последующего повторного использования.
Vendor Product Display Name Username
VMware vSphere (SA) VMware - vSphere sa.vmware.vsphere
Microsoft SQL Server (SA) Microsoft - SQL Server sa.microsoft.sqlserver
Microsoft Exchange (SA) Microsoft - Exchange sa.microsoft.exchange
IBM Tivoli Storage Manager (SA) IBM - Tivoli Storage Manager sa.ibm.tsm
Группы
Группы безопасности должны быть названы в зависимости от того, что они делают и к чему они применяются, но опять же после стандарт шаблон, чтобы можно было легко найти группы с похожими целями.
Общие файловые ресурсы могут быть названы по имени общего ресурса и разрешений, которые они предоставляют, в то время как сервер / путь для этого общего ресурса находится в описании (SHR_<ShareName>_R
для чтения, SHR_<ShareName>_M
для изменения).
Общие группы доступа к почтовому ящику могут содержать имя почтового ящика и права (GM_<SMTPAddress>_FMR
для полного доступа, GM_<SMTPAddress>_SA
для "Отправить как").
AD / server Delagation groups может быть именем команды (DLG AD DevOps)
, DLG SRV BackupAndStorage
, и т.д..)
Списки рассылки - единственная странность, потому что они, вероятно, будут называться более или менее так, как указано, потому что люди захотят этого. Но даже тогда вы можете установить для них стандарты, которые подходят вашей организации.
Большинство сред, в которых я работал, не делают этого с атрибутами в учетных записях. Они делают это через организационные единицы и / или стандарты именования. Упрощенный пример может быть таким:
Вы можете разделить разные типы счетов, если это имеет смысл. Но в большинстве случаев членство в группах - это все, что вам нужно для дальнейшего разделения ... групп ... людей. Добавление стандартного префикса / суффикса к типам учетных записей, не связанных с людьми, также может упростить просмотр и управление с первого взгляда. Например, все учетные записи служб могут начинаться с «svc.».