活动目录中的对象由使用组织单位 (OU) 进行组织。OU 的设计具有两项主要因素:目录对象管理的委派以及组策略对象 (GPO) 的应用。OU 设计应该反映出在网域中管理对象的方式。 变更 OU 设计并不困难,但是因为必须小心地操控访问控制列表,所以可能会较为复杂。一旦建立委派和组策略之后,重新设计已经套用设定的 OU 可能很花时间。
因为 OU 可担任系统管理委派及组策略应用的双重角色,所以必须进行两次 OU 设计程序:一次针对委派,另一次则针对组策略的用法。
工作 1:针对系统管理的委派来设计 OU 设定
OU 可以用来将对象 (例如用户或计算机) 的系统管理委派给指定的群组。虽然可以将权限委派给个人,但最佳的作法仍是使用群组,因为随着组织中的人员变更,更新委派群组中的成员资格要比更新目录中的对象权限来得容易。藉由 OU 进行委派涉及下列的工作:
· 识别或建立即将委派权利的系统管理员群组。
· 将即将委派权利的个人或群组放置到 OU 中。建立系统管理群组具有管理权的 OU。
· 将要指派的对象权利指派给每个 OU 内的系统管理群组。
· 在 OU 内建立/放置要控制的对象。
· 识别要委派系统管理工作的群组时,请尽可能地详细说明必要的最低控制权限。
工作 2:设计组策略应用程序的 OU 设定
您可以建立 OU,以将组策略设定套用至特定的计算机或用户子集。根据默认,OU 中的所有对象都会收到已套用的 GPO 所包含的设定。
从委派 (或作业) 角度来看,完成 OU 设计之后的下一个步骤就是修改 OU 设计,以说明组策略设定所可能导致的任何独特状况。例如,从委派角度来看,您可以建立称为“工作站”的 OU,以委派用来管理所有工作站的权限。在考虑组策略时,可能需要在桌面计算机 OU 和行动装置 OU 中反映出桌面计算机及笔记本电脑不同的原则需求。在此案例中,可以将这些桌面计算机和移动装置 OU 建立为工作站或 OU 内的子 OU,或者由这两个个别的 OU 来取代工作站 OU。
识别要套用 GPO 的用户或计算机群组。然后再检查网域目前的 OU 设计。如有可能,请重复使用现有的 OU,只有在必要时才建立新的 OU。如果要建立新的 OU 来支持 GPO,请务必检视前一项工作中的对象委派,以确保对象管理和作业模型都保持最新状态。
组策略应用程序有许多筛选及目标选项。安全性筛选、Windows Management Instrumentation (WMI) 筛选以及组策略偏好设定目标,全都可以用来设定以哪些对象接收哪些 GPO。请在没有其他方法可用时,才使用这些技巧来取代预设的组策略应用程式和优先级。筛选的组策略安全性在疑难解答和管理方面十分困难,且可能造成客户端登入时的效能稍微降低。
除此之外,OU的设计还要最好能够反应公司的行政管理架构,虽然不是全部,但至少能够反应整体上的一个大致架构。这是因为,如果真正按照公司的行政结构来规划OU,除了可能与上述的规划产生冲突,还有一个原因,OU的多次嵌套,同样会提高OU的管理复杂性,一般建议OU的嵌套一般不超过三层,最多不超过四层。