xxx公司活动目录设计方案
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
OU设计图如下所示。
4.3.2
OU是用来在域中创建结构的容器。在域中创建结构时,需要考虑如下的OU特性。
OU可以嵌套。一个OU可以包含子OU,使得可以在域中创建一个分层的目录树结构。
OU可以用来委派管理和控制对目录对象的访问。当综合使用OU嵌套和访问控制列表时,可以用一种非常细化的方式委派目录中对象的管理。例如,可以赋予帮助中心技术人员权限,为一组指定的用户重新设置密码,但无权创建用户或修改用户对象的任何其他属性。
架构更改、配置更改和向活动目录森林添加域都会影响到整个活动目录森林。活动目录森林中的每个单位都必须同意实现这些更改的过程,同意架构管理员和企业管理员组的成员身份。如果单位不同意一个公共策略,它们就不能共享相同的活动目录森林。
希望限制信任关系范围
活动目录森林中的每个域都信任该活动目录森林中的所有其它域。可以将活动目录森林中的每个用户包括进某个组成员关系中,或使其出现在活动目录森林中任何计算机的访问控制列表上。如果希望防止将特定资源的访问权限授予特定用户,则必须让这些用户驻留在与资源不同的活动目录森林中。
全局编录包含来自活动目录森林中每个域的每个对象的一个副本,但只包含每个对象的部分制定的属性。全局编录能使您在整个活动目录森林内进行快速、高效的搜索。
全局编录使活动目录森林中的目录结构对最终用户透明。将全局编录用作搜索范围使得在目录中查找对象更加简单。采用全局编录和用户主要名称使得登录更加简单。
全厂使用同一个活动目录森林。在单一森林的架构中,用户看到的是统一的全局编录。因为所有的域都通过双向、可传递的信任关系来连接,当新的域添加到森林中时,就不需要建立额外的信任关系。而且不管域的数目有多少,配置信息只需要改变一次就能自动复制到其它的域中。
企业内部的各种资源存在于员工的客户端桌面计算机,服务器,以及其他各种设备之中,用户需要获取相关资源需要首先确定资源在哪一台计算机中,并且要针对不同资源提供不同的登录凭据(如用户名/密码等)来访问。另外存在数据资源重复现象,造成硬件资源的不合理占用。
信息技术部门制定的IT管理规范无法完全被最终用户执行,IT管理规范的制订是为了防止信息系统出现如安全问题等不稳定状况,但松散型管理模式的IT环境中由于信息技术人员无法监控与统一管理企业内部的桌面计算机与服务器等,该规范变为一纸空文,无法被贯彻实施。
单一的配置容器(configuration)
活动目录配置容器是另外一个名字空间,可复制到活动目录森林中的每个域控制器。支持目录的应用程序在配置容器中存放整个目录森林的信息。例如,活动目录将物理网络的有关信息存储在配置容器中,并用这些信息来指导创建域控制器之间的复制连接。企业管理员组完全控制配置容器。目录森林的所有域共享单一而且一致的配置,不需要对域进行逐个配置。
考虑未来企业的发展,会有分支机构等异地加入到域中,所以将厂区和分支机构的活动目录森林和域结构设计如下。
4.2.2
活动目录森林是域的集合,它简化用户与目录的交互过程以及对多域的管理。活动目录森林具有以下特征:
单一的活动目录架构(schema)
活动目录架构定义了对象类别以及可以在目录中创建的对象类别的属性。活动目录架构作为一个名字空间,可复制到活动目录森林中的各个域控制器。活动目录架构管理员负责对它进行管理。
在大规模网络和服务器投资建设之前,企业很有必要对现有IT架构进行优化,以适应未来IT信息化的发展,这已经成为信息技术部门与企业管理人员关心的首要问题。
从信息技术部门人员来说,如何设计IT架构ቤተ መጻሕፍቲ ባይዱ将IT环境的管理由松散方式变为集中管理的方式,减轻日常管理维护负担,提升IT生产力。从最终用户来说,如何能够实现单一的身份验证,快速的访问企业内部的各种资源,较少的宕机时间也是最大的愿望。
其它设计考虑
包括采用统一的服务器命名方式;使用组策略管理客户端;将活动目录的五类角色放置在可靠的服务器硬件平台上;建立活动目录备份和恢复系统;建立补丁程序安装系统;安装网络防病毒软件等。
第
本节内容包括服务器硬件配置设计和活动目录的详细内容设计。
4.1
考虑到该活动目录将是南海发电厂的基础架构,森林中的用户大约200个。为此建议活动目录域控制器选用不低于以下硬件配置的PC服务器:
2.5功能强大并易于扩展的IT基础架构
企业希望现有的IT基础架构能够提供较强的功能,如安全的身份验证,资源整合,软硬件集中监控、管理等,并且希望该基础架构支持较多的上层应用,具有较强的可扩展性,在未来的几年中可以在现有底层IT架构上实现更多的价值。实现IT投资的保值。
基于上述情况,结合国内外企业信息化的发展趋势和经验,同时参考IT技术的现有能力和发展走向,建议企业统筹安排、统一规划,通过分步实施、集中建设的方式,构建一个集中、统一、互联互通高可管理性的基于活动目录的企业核心IT基础架构。
3.2
基于以上活动目录的规划设计原则,本方案包括的活动目录设计内容小结如下:
域控制器硬件要求
使用2GHz的处理器以上,2GB以上内存,40GB以上磁盘空间,100M网卡。
活动目录森林和域结构设计
建立一个活动目录森林中;XXX使用根域名DD.COM;;
OU设计
各部门将在域DD.COM中建立单独的OU;可为高层领导建立单独的OU。各分支机构建立单独OU,并使用权限委派管理资源。
通过对网络内的服务器与客户端计算机进行集中式的管理,有助于消除早期“松散型”管理带来的安全漏洞及其他影响IT系统稳健运行问题,能够保证企业制订的IT管理规范可以通过计算机的逻辑方式派发给各个被管理的节点,并且通过集中管理的模式可以有效降低客户端的维护工作量。
2.2统一的数据组织与资源管理
需要实现统一的数据组织,如未来文件服务器的发布,共享打印机的发布等等,并且能够提供较为简单的信息检索方式,快速查询并定为所需的各种资源,实现资源的高效利用。另外统一的数据组织与资源管理可以有效减少数据冗余与资源浪费,减轻IT环境的维护难度,提升企业生产力。
4.2.3
在Window 2003活动目录森林中,共享目录数据库的一组计算机构成了活动目录的域。活动目录域具有唯一的名称,并集中管理用户帐户和组。作为Windows 2003网络的安全范围,活动目录域具有自己的安全策略,并与其它与建立安全联系。活动由一个或者多个域组成,每个域都可跨越多个物理位置。
Windows2003的域形成的连续名字空间叫做域树。创建第一个域控制器时就创建了域树,即使只有一个域。对DNS而言,域是DNS名字空间中的任何一个分支。虽然DNS的域通常都与活动目录的域相对应,但这两个域是不同的概念。
现阶段,部分企业对IT环境的发展仍然缺乏整体和长远考虑,还是按照老思路,简单考虑硬件及应用软件的采购与建设,照此建设思路走下去,将会使目前的IT环境更加“臃肿”,更难于管理,最终导致生产力的降低。
第
随着以上阐述的问题在企业内部IT环境中越来越突出,XXX存在以下需求:
2.1集中的组织与管理网络内的服务器及客户端
2.3单一登录的网络环境
企业内的普通员工计算机应用能力有限,如何使员工一次登录计算机后就可以访问其有权限访问的各种资源是提升生产效率,对于普通员工来说更能感受到应用信息技术能够带来更加快捷的工作效率,有助于提升信息系统的使用率。
2.4集中化的软件部署与运行限制
企业希望在大规模部署某个应用软件时可以避免手工逐一安装的低效率模式,而采用服务器/客户端的网络分发模式,并能对软件的版本更新做到一定控制,并且可以制定哪些软件可以被安装在哪些用户的计算机上。通过对软件的运行限制,限制客户端计算机上所运行的应用软件,使工作用计算机仅可以运行特定应用程序,与工作无关的应用程序将会被禁止运行,提升系统安全性与最大化企业IT系统效能。
由于活动目录森林具有共享元素(例如架构),因此活动目录森林中的所有参与者必须同意这些共享元素的内容和管理。若各参与单位不能在活动目录森林的管理上进行合作,就必须建立一个以上的活动目录森林,这包括:
不互相信任管理员
参与单位的各管理运相互之间缺乏信任,使用同一个活动目录森林将导致管理和安全问题。
不同意活动目录森林的更改策略
要点
具体描述
处理器
2.0G Hz
内存
2GB
网卡
100MHz
本地磁盘
40GB
操作系统
Windows 2003 Standard Server
其它
彩色显示卡
鼠标
备份磁带
防病毒软件
备份恢复软件等
4.2
4.2.1
根据XXX的实际情况,设计时把厂内的用户都运行在一个活动目录森林中。全厂使用的根域名为DD.COM,放置根域管理员账户和用户组。根域中目前没有任何客户端和普通用户。
站点设计
厂内建立一个单独的物理站点。
DC、GC和DNS服务器设计
在每个活动目录域中放置两台域控制器,同时将每台域控制器都配置为根域DNS服务器和GC服务器。每个DNS服务器除了配置有本域的区域名外,还含有一个公共的区域名:_msdcs.DD.com。
DHCP和WINS服务器设计
厂内配置一台DHCP服务器和一台WINS服务器。各站点之间的WINS服务器配置为互为复制伙伴。
用户不会在OU结构中浏览。没有必要设计一个吸引最终用户的OU结构。尽管用户有可能浏览一个域的OU结构,但对于用户查找资源来说,这并不是一个最有效的方法。在目录中查找资源的最有效的方法是查询全局编录。
通常应当按照管理要求来设计OU。如按照组织机构将整个域划分为层次结构。但需要注意,若OU的层次过多,将会延长用户登录时间。
域间完全信任
活动目录森林的域之间自动创建可传递的双向信任关系。来自任何域的用户和组都能被活动目录森林中的任何计算机识别,并包括在组或访问控制列表(ACL)中。
完全信任使得在Windows 2003中管理多个域更加简单。在将一个域添加到活动目录森林时,此域会自动配置为双向可传递信任。
单一的全局编录(Global Catalog,GC)
XXX
活动目录设计方案
广州市黑马软件科技有限公司
2010-3-1
第
1.1
本解决方案将从XXX的IT环境现状出发,分析现有环境,提出关心的关键问题及未来的挑战,并根据相关问题详细阐述对应解决方案,帮助XXX改善现有IT环境,以信息技术提升企业生产力。
1.2
当前XXX内部网络环境多数仍为松散的管理状态,在实际环境中无论是工作用桌面计算机还是服务器都是采用工作组模型,各自独立。IT环境中的软硬件资源都无法实现充分利用。
Windows 2003的域控制器(DC)对本域负责认证用户登录、维护安全策略和本域中的安全账户数据库。DC还管理管理用户对网络的访问,如登录、认证、对共享目录和资源的访问等。
根据XXX的实际情况,根域名DD.COM将为厂区所使用;各分支机构将作为子域加入活动目录森林中。
4.3
4.3.1
结合XXX的企业网络环境,可以为厂内不同的部门建立单独的OU;在各部门OU内,再按照小组划分子OU。还可为企业高层领导建立一个单独的OU。各分支机构使用委派的权限管理自己OU内的用户账户和计算机资源。
第
企业级活动目录的规划和部署,是企业网络基础结构中的重要部分。在规划中,应建立一套最能反映企业情况的结构。考虑周全的活动目录规划对实际部署至关重要。
3.1
活动目录设计应考虑以下内容:
目录的可用性和容错能力;
目录客户机和服务器的网络使用特征;
管理目录内容的效率;
用户查看目录和与目录互动的方式;
考虑企业未来分支机构接入,目录结构随企业发展而发展的能力。
1.3
由于历史和技术发展方面的原因,现有XXX内部的IT环境是逐步建立起来的,而且在早期建立时由于没有整体架构的科学指导,导致目前的松散型IT环境,客户端、服务器各自独立,形成一个个信息“孤岛”,无法统一管理。在松散型管理的系统网络环境中,一旦某个节点出现问题需要定位出现问题的位置,并需要繁琐费时的恢复过程来实现修复。生产系统应用软件的大规模部署需要相关人员在各个计算机上逐一手工安装,极大耗费人力与时间。
OU不是安全主管。不能使OU成为安全组的成员,也不能因为用户驻留在特定的OU中而授予他们访问资源的权限。因为OU用于管理的委派,所以用户对象的父OU指出谁管理用户对象,但是它并不指出用户可以访问的资源。
组策略可以与一个OU相关联。组策略可以定义用户和计算机的桌面配置。可以将组策略与站点、域和OU相关联。在OU基础上定义组策略使您可以在同一域中使用不同策略。
4.3.2
OU是用来在域中创建结构的容器。在域中创建结构时,需要考虑如下的OU特性。
OU可以嵌套。一个OU可以包含子OU,使得可以在域中创建一个分层的目录树结构。
OU可以用来委派管理和控制对目录对象的访问。当综合使用OU嵌套和访问控制列表时,可以用一种非常细化的方式委派目录中对象的管理。例如,可以赋予帮助中心技术人员权限,为一组指定的用户重新设置密码,但无权创建用户或修改用户对象的任何其他属性。
架构更改、配置更改和向活动目录森林添加域都会影响到整个活动目录森林。活动目录森林中的每个单位都必须同意实现这些更改的过程,同意架构管理员和企业管理员组的成员身份。如果单位不同意一个公共策略,它们就不能共享相同的活动目录森林。
希望限制信任关系范围
活动目录森林中的每个域都信任该活动目录森林中的所有其它域。可以将活动目录森林中的每个用户包括进某个组成员关系中,或使其出现在活动目录森林中任何计算机的访问控制列表上。如果希望防止将特定资源的访问权限授予特定用户,则必须让这些用户驻留在与资源不同的活动目录森林中。
全局编录包含来自活动目录森林中每个域的每个对象的一个副本,但只包含每个对象的部分制定的属性。全局编录能使您在整个活动目录森林内进行快速、高效的搜索。
全局编录使活动目录森林中的目录结构对最终用户透明。将全局编录用作搜索范围使得在目录中查找对象更加简单。采用全局编录和用户主要名称使得登录更加简单。
全厂使用同一个活动目录森林。在单一森林的架构中,用户看到的是统一的全局编录。因为所有的域都通过双向、可传递的信任关系来连接,当新的域添加到森林中时,就不需要建立额外的信任关系。而且不管域的数目有多少,配置信息只需要改变一次就能自动复制到其它的域中。
企业内部的各种资源存在于员工的客户端桌面计算机,服务器,以及其他各种设备之中,用户需要获取相关资源需要首先确定资源在哪一台计算机中,并且要针对不同资源提供不同的登录凭据(如用户名/密码等)来访问。另外存在数据资源重复现象,造成硬件资源的不合理占用。
信息技术部门制定的IT管理规范无法完全被最终用户执行,IT管理规范的制订是为了防止信息系统出现如安全问题等不稳定状况,但松散型管理模式的IT环境中由于信息技术人员无法监控与统一管理企业内部的桌面计算机与服务器等,该规范变为一纸空文,无法被贯彻实施。
单一的配置容器(configuration)
活动目录配置容器是另外一个名字空间,可复制到活动目录森林中的每个域控制器。支持目录的应用程序在配置容器中存放整个目录森林的信息。例如,活动目录将物理网络的有关信息存储在配置容器中,并用这些信息来指导创建域控制器之间的复制连接。企业管理员组完全控制配置容器。目录森林的所有域共享单一而且一致的配置,不需要对域进行逐个配置。
考虑未来企业的发展,会有分支机构等异地加入到域中,所以将厂区和分支机构的活动目录森林和域结构设计如下。
4.2.2
活动目录森林是域的集合,它简化用户与目录的交互过程以及对多域的管理。活动目录森林具有以下特征:
单一的活动目录架构(schema)
活动目录架构定义了对象类别以及可以在目录中创建的对象类别的属性。活动目录架构作为一个名字空间,可复制到活动目录森林中的各个域控制器。活动目录架构管理员负责对它进行管理。
在大规模网络和服务器投资建设之前,企业很有必要对现有IT架构进行优化,以适应未来IT信息化的发展,这已经成为信息技术部门与企业管理人员关心的首要问题。
从信息技术部门人员来说,如何设计IT架构ቤተ መጻሕፍቲ ባይዱ将IT环境的管理由松散方式变为集中管理的方式,减轻日常管理维护负担,提升IT生产力。从最终用户来说,如何能够实现单一的身份验证,快速的访问企业内部的各种资源,较少的宕机时间也是最大的愿望。
其它设计考虑
包括采用统一的服务器命名方式;使用组策略管理客户端;将活动目录的五类角色放置在可靠的服务器硬件平台上;建立活动目录备份和恢复系统;建立补丁程序安装系统;安装网络防病毒软件等。
第
本节内容包括服务器硬件配置设计和活动目录的详细内容设计。
4.1
考虑到该活动目录将是南海发电厂的基础架构,森林中的用户大约200个。为此建议活动目录域控制器选用不低于以下硬件配置的PC服务器:
2.5功能强大并易于扩展的IT基础架构
企业希望现有的IT基础架构能够提供较强的功能,如安全的身份验证,资源整合,软硬件集中监控、管理等,并且希望该基础架构支持较多的上层应用,具有较强的可扩展性,在未来的几年中可以在现有底层IT架构上实现更多的价值。实现IT投资的保值。
基于上述情况,结合国内外企业信息化的发展趋势和经验,同时参考IT技术的现有能力和发展走向,建议企业统筹安排、统一规划,通过分步实施、集中建设的方式,构建一个集中、统一、互联互通高可管理性的基于活动目录的企业核心IT基础架构。
3.2
基于以上活动目录的规划设计原则,本方案包括的活动目录设计内容小结如下:
域控制器硬件要求
使用2GHz的处理器以上,2GB以上内存,40GB以上磁盘空间,100M网卡。
活动目录森林和域结构设计
建立一个活动目录森林中;XXX使用根域名DD.COM;;
OU设计
各部门将在域DD.COM中建立单独的OU;可为高层领导建立单独的OU。各分支机构建立单独OU,并使用权限委派管理资源。
通过对网络内的服务器与客户端计算机进行集中式的管理,有助于消除早期“松散型”管理带来的安全漏洞及其他影响IT系统稳健运行问题,能够保证企业制订的IT管理规范可以通过计算机的逻辑方式派发给各个被管理的节点,并且通过集中管理的模式可以有效降低客户端的维护工作量。
2.2统一的数据组织与资源管理
需要实现统一的数据组织,如未来文件服务器的发布,共享打印机的发布等等,并且能够提供较为简单的信息检索方式,快速查询并定为所需的各种资源,实现资源的高效利用。另外统一的数据组织与资源管理可以有效减少数据冗余与资源浪费,减轻IT环境的维护难度,提升企业生产力。
4.2.3
在Window 2003活动目录森林中,共享目录数据库的一组计算机构成了活动目录的域。活动目录域具有唯一的名称,并集中管理用户帐户和组。作为Windows 2003网络的安全范围,活动目录域具有自己的安全策略,并与其它与建立安全联系。活动由一个或者多个域组成,每个域都可跨越多个物理位置。
Windows2003的域形成的连续名字空间叫做域树。创建第一个域控制器时就创建了域树,即使只有一个域。对DNS而言,域是DNS名字空间中的任何一个分支。虽然DNS的域通常都与活动目录的域相对应,但这两个域是不同的概念。
现阶段,部分企业对IT环境的发展仍然缺乏整体和长远考虑,还是按照老思路,简单考虑硬件及应用软件的采购与建设,照此建设思路走下去,将会使目前的IT环境更加“臃肿”,更难于管理,最终导致生产力的降低。
第
随着以上阐述的问题在企业内部IT环境中越来越突出,XXX存在以下需求:
2.1集中的组织与管理网络内的服务器及客户端
2.3单一登录的网络环境
企业内的普通员工计算机应用能力有限,如何使员工一次登录计算机后就可以访问其有权限访问的各种资源是提升生产效率,对于普通员工来说更能感受到应用信息技术能够带来更加快捷的工作效率,有助于提升信息系统的使用率。
2.4集中化的软件部署与运行限制
企业希望在大规模部署某个应用软件时可以避免手工逐一安装的低效率模式,而采用服务器/客户端的网络分发模式,并能对软件的版本更新做到一定控制,并且可以制定哪些软件可以被安装在哪些用户的计算机上。通过对软件的运行限制,限制客户端计算机上所运行的应用软件,使工作用计算机仅可以运行特定应用程序,与工作无关的应用程序将会被禁止运行,提升系统安全性与最大化企业IT系统效能。
由于活动目录森林具有共享元素(例如架构),因此活动目录森林中的所有参与者必须同意这些共享元素的内容和管理。若各参与单位不能在活动目录森林的管理上进行合作,就必须建立一个以上的活动目录森林,这包括:
不互相信任管理员
参与单位的各管理运相互之间缺乏信任,使用同一个活动目录森林将导致管理和安全问题。
不同意活动目录森林的更改策略
要点
具体描述
处理器
2.0G Hz
内存
2GB
网卡
100MHz
本地磁盘
40GB
操作系统
Windows 2003 Standard Server
其它
彩色显示卡
鼠标
备份磁带
防病毒软件
备份恢复软件等
4.2
4.2.1
根据XXX的实际情况,设计时把厂内的用户都运行在一个活动目录森林中。全厂使用的根域名为DD.COM,放置根域管理员账户和用户组。根域中目前没有任何客户端和普通用户。
站点设计
厂内建立一个单独的物理站点。
DC、GC和DNS服务器设计
在每个活动目录域中放置两台域控制器,同时将每台域控制器都配置为根域DNS服务器和GC服务器。每个DNS服务器除了配置有本域的区域名外,还含有一个公共的区域名:_msdcs.DD.com。
DHCP和WINS服务器设计
厂内配置一台DHCP服务器和一台WINS服务器。各站点之间的WINS服务器配置为互为复制伙伴。
用户不会在OU结构中浏览。没有必要设计一个吸引最终用户的OU结构。尽管用户有可能浏览一个域的OU结构,但对于用户查找资源来说,这并不是一个最有效的方法。在目录中查找资源的最有效的方法是查询全局编录。
通常应当按照管理要求来设计OU。如按照组织机构将整个域划分为层次结构。但需要注意,若OU的层次过多,将会延长用户登录时间。
域间完全信任
活动目录森林的域之间自动创建可传递的双向信任关系。来自任何域的用户和组都能被活动目录森林中的任何计算机识别,并包括在组或访问控制列表(ACL)中。
完全信任使得在Windows 2003中管理多个域更加简单。在将一个域添加到活动目录森林时,此域会自动配置为双向可传递信任。
单一的全局编录(Global Catalog,GC)
XXX
活动目录设计方案
广州市黑马软件科技有限公司
2010-3-1
第
1.1
本解决方案将从XXX的IT环境现状出发,分析现有环境,提出关心的关键问题及未来的挑战,并根据相关问题详细阐述对应解决方案,帮助XXX改善现有IT环境,以信息技术提升企业生产力。
1.2
当前XXX内部网络环境多数仍为松散的管理状态,在实际环境中无论是工作用桌面计算机还是服务器都是采用工作组模型,各自独立。IT环境中的软硬件资源都无法实现充分利用。
Windows 2003的域控制器(DC)对本域负责认证用户登录、维护安全策略和本域中的安全账户数据库。DC还管理管理用户对网络的访问,如登录、认证、对共享目录和资源的访问等。
根据XXX的实际情况,根域名DD.COM将为厂区所使用;各分支机构将作为子域加入活动目录森林中。
4.3
4.3.1
结合XXX的企业网络环境,可以为厂内不同的部门建立单独的OU;在各部门OU内,再按照小组划分子OU。还可为企业高层领导建立一个单独的OU。各分支机构使用委派的权限管理自己OU内的用户账户和计算机资源。
第
企业级活动目录的规划和部署,是企业网络基础结构中的重要部分。在规划中,应建立一套最能反映企业情况的结构。考虑周全的活动目录规划对实际部署至关重要。
3.1
活动目录设计应考虑以下内容:
目录的可用性和容错能力;
目录客户机和服务器的网络使用特征;
管理目录内容的效率;
用户查看目录和与目录互动的方式;
考虑企业未来分支机构接入,目录结构随企业发展而发展的能力。
1.3
由于历史和技术发展方面的原因,现有XXX内部的IT环境是逐步建立起来的,而且在早期建立时由于没有整体架构的科学指导,导致目前的松散型IT环境,客户端、服务器各自独立,形成一个个信息“孤岛”,无法统一管理。在松散型管理的系统网络环境中,一旦某个节点出现问题需要定位出现问题的位置,并需要繁琐费时的恢复过程来实现修复。生产系统应用软件的大规模部署需要相关人员在各个计算机上逐一手工安装,极大耗费人力与时间。
OU不是安全主管。不能使OU成为安全组的成员,也不能因为用户驻留在特定的OU中而授予他们访问资源的权限。因为OU用于管理的委派,所以用户对象的父OU指出谁管理用户对象,但是它并不指出用户可以访问的资源。
组策略可以与一个OU相关联。组策略可以定义用户和计算机的桌面配置。可以将组策略与站点、域和OU相关联。在OU基础上定义组策略使您可以在同一域中使用不同策略。