Corrigindo a estrutura de contas de usuários e computadores no Active Directory

Navegue suas respostas
4

Estou tentando corrigir uma hierarquia do Active Directory completamente não planejada e não estruturada. Quando o domínio foi criado pela primeira vez no Windows Server 2000, nenhum contêiner ou UO foi criado para usuários ou computadores. Todos os usuários foram agrupados sob o contêiner padrão "Usuários" e todos os computadores foram agrupados no contêiner padrão "Computadores".

O domínio acabou sendo atualizado e eu tenho dois DCs x64 do Windows Server 2008 agora. Mas é claro que a estrutura atual ou a falta dela é um pesadelo para atribuir permissões e aplicar Diretiva de Grupo, então eu preciso reestruturar tudo.

Minha pergunta é sobre que tipo de interrupção de negócios devo esperar ao mover usuários e computadores para UOs e grupos, se houver?

Algum conselho sobre como fazer isso? quaisquer indicações para as melhores práticas?

Caso seja necessário, o restante do ambiente é um servidor de arquivos do Windows Server 2008, um servidor de impressão do Windows Server 2003 R2, o Windows Server 2003 R2 e um servidor Windows 2003 R2 x64 executando o SQL Server 2005 SP2.

    
por Zero Subnet 14.04.2011 / 16:45

2 respostas

5

Se os serviços que estão interagindo com o Active Directory forem todos (ou principalmente) da Microsoft, você não deverá ter nenhuma interrupção. Os produtos da Microsoft saberão como encontrar dinamicamente as contas, para que sua reestruturação seja transparente para o seu ambiente operacional. Outros produtos que se ligam (via LDAP, por exemplo) a um alto nível de seu diretório e fazem pesquisas de subárvore também não devem ser afetados, dependendo de como eles são vinculados.

O que você deve procurar são outros serviços que podem usar o Active Directory (novamente, via LDAP ou similar) e ter ligações codificadas para objetos de contêiner (OUs) de nível inferior ou objetos em nível de folha (contas, grupos etc.) ) ao procurar por objetos no diretório. Sua reestruturação fará com que essas pesquisas falhem.

Por exemplo, usamos uma plataforma de banco de dados não-MS que, sim, vincula-se ao AD para autenticação do usuário. No entanto, ele mantém seu próprio banco de dados interno de usuários e temos que associar o ADsPath absoluto a cada conta de usuário ao criar logins para este sistema. Quando uma conta de usuário passa para uma unidade organizacional diferente, a autenticação desse usuário é interrompida até que atualizemos a conta com o novo ADsPath.

A pesquisa automática por esses serviços não é trivial, portanto, se você os tiver, é altamente recomendável manter um inventário de aplicativos / serviços que se conectam ao AD.

    
por 14.04.2011 / 16:55
0

Você não deve esperar qualquer interrupção. Mover objetos para contêineres diferentes não causa nenhuma interrupção. Como você não pode aplicar diretivas diretamente às UOs padrão, você não precisa nem se preocupar em garantir que a diretiva correta seja aplicada às novas.

Praticamente, você é bom para isso.

No que diz respeito às melhores práticas, costumo fazer três UOs de nível superior em um novo ambiente. UserAccounts, Groups e Machines (ou algo análogo a computadores). A partir daí, faço UOs filho para tipos específicos de máquinas (como servidores / estações de trabalho), grupos administrativos / grupos de distribuição / grupos de recursos, etc. Dessa forma, é fácil segmentar todos os usuários / computadores com políticas amplas e ainda vincular políticas mais específicas a UOs mais específicas.

    
por 14.04.2011 / 16:52

Tags

Qual solução de monitoramento para servidores, bancos de dados e aplicativos da web? Nagios ou Hyperic? [duplicado] DNS do Windows - Zona nunca carregada