Práticas recomendadas da estrutura LDS do Active Directory [closed]

2

Estou procurando orientação na estruturação de um diretório LDS e encontrando apenas práticas recomendadas direcionadas aos Serviços de Domínio. Alguém aqui tem referências para a estrutura hierárquica que configuramos no diretório?

Estou interessado em itens pequenos, como nomear o nó superior com tags "DC" ou "O", etc. Por exemplo, "DC = CompanyName, DC = local" quando não estivermos realmente usando algum domínio específico? Não deveria ser "O = CompanyName"? E estou interessado em saber se vale a pena considerar esta questão.

    
por Mark A Johnson 05.09.2012 / 16:46

2 respostas

1

Eu costumo usar apenas tags DC para o DN raiz. Por exemplo:

DC=something,DC=example,DC=COM

Eu também corresponto parte da raiz com o domínio (neste caso, seria example.com). É apenas um hábito, não vai ajudar ou dificultar a sua capacidade de usar contas proxy, por exemplo.

Cada produto habilitado para LDAP em que posso pensar permite que você especifique o DN completo do caminho onde seus usuários estão localizados. Portanto, os componentes que você usa não importam tanto quanto a própria estrutura (chamada de Árvore de Informações do Diretório ou DIT). Você basicamente tem que equilibrar duas coisas:

  • Uma estrutura plana é uma prova futura
  • Uma estrutura profundamente aninhada permite maior controle (delegação, segregação de usuários)

Um DIT simples, onde, por exemplo, todos os usuários estarão em:

OU=Users,DC=something,DC=example,DC=COM

Vai caber qualquer estrutura organizacional que você tem que trabalhar contra. Mas você sacrificará alguma habilidade de segregar usuários entre aplicativos usando seu LDS.

Aqui está um exemplo. Se você tiver dois aplicativos, poderá ter:

OU=Application_A,OU=Users,DC=something,DC=example,DC=COM
OU=Application_B,OU=Users,DC=something,DC=example,DC=COM

Mas o que acontecerá se um usuário de Application_A quiser usar Application_B ? O mesmo vale para grupos:

OU=Groups_A,OU=Users,DC=something,DC=example,DC=COM
OU=Groups_B,OU=Users,DC=something,DC=example,DC=COM

Em suma, não se preocupe com componentes, mas pense em como seu DIT se ajustará em um cenário de reutilização diferente.

    
por 05.09.2012 / 18:02
1

Para entender a diferença entre dc= e o= no Active Directory, é necessário lembrar que o Active Directory é uma implementação LDAP em seu núcleo.

DC= na linguagem LDAP especifica um Componente de Domínio . Ele deve ser usado se e somente se você estiver definindo algo que existe dentro do espaço DNS. Se sua organização for foobarco.example.com no DNS, é perfeitamente legítimo usar dc=foobarco,dc=example,dc=com como sua raiz.

O= na linguagem LDAP especifica uma Organização . Ele deve ser usado ao definir um item organizacional que esteja fora de outras hierarquias, como o DNS.
Por exemplo, se foobarco.example.com tivesse uma empresa subsidiária chamada Shiny Widgets com seu próprio domínio do AD, mas não seu próprio domínio DNS, você rootearia essa árvore em o=ShinyWidgets,dc=foobarco,dc=example,dc=com .

Geralmente, assume-se que um Domínio AD terá um namespace DNS correspondente, portanto, a configuração mais comum que você verá no Active Directory é que a raiz da árvore será definida por uma série de D omain C omponents.

    
por 05.09.2012 / 18:19