No LDAP é melhor aninhar grupos em unidades organizacionais ou criar uma unidade organizacional diretamente sob o root dn apenas para grupos?

7

Não sei se é melhor aninhar grupos em cada uma das minhas unidades organizacionais ou criar uma unidade organizacional diretamente sob o DN raiz apenas para grupos. Uma é considerada a melhor prática do que a outra? Eu quero manter minha configuração o mais vanilla possível para maximizar a compatibilidade com aplicativos compatíveis com LDAP.

Minhas necessidades imediatas incluem:

  1. SSO com Atlassian Crowd
  2. Google Apps Directory Sync (Grupos LDAP - > Listas de discussão)
  3. pGina para autenticação do Windows

Aqui está um diagrama mostrando as duas estratégias que estou considerando:

    
por Jeffrey 15.10.2013 / 16:00

2 respostas

6

De acordo com as diretrizes de design do AD, há duas coisas a considerar ao projetar sua estrutura: 1) delegação de controle administrativo e 2) políticas de grupo.

Como as políticas de grupo não se aplicam a grupos, basicamente você tem uma - delegação de controle administrativo. Seu modelo B oferece a opção de fazer alguma delegação local de tarefas administrativas em cada escola, o que pode ser algo que você implementará, e é isso que eu teria escolhido.

Já vi exemplos de outros grupos divididos em UOs separadas por tipo de grupo, como grupo de aplicativos, grupo de políticas, grupo de permissões e assim por diante.

    
por 15.10.2013 / 16:31
1

Acho que seria melhor manter todos os grupos que contêm membros de apenas uma única escola sob a mesma UO e ter uma UO separada na raiz dos grupos interSchool. Isso ajudará no gerenciamento de sua DA a longo prazo.

    
por 21.10.2013 / 13:51