Posso mover esses itens no diretório ativo

1

Estou apenas reorganizando a estrutura de diretórios ativa de minhas empresas, já que ela não acompanha as mudanças na estrutura da empresa.

Existem alguns itens que não tenho certeza se posso me mover ou não. Alguém pode dizer se está tudo bem para mover o abaixo ou não:

Exchange Security Groups OU (Exchange 2010)
Exchange 2010 DiscoverySearchMailbox user account
Exchange 2010 SystemMailbox (x2) user account
Builtin groups found in the Builtin container
All builtin accounts/groups in the default "Users" OU

Pelo que ouvi, a UO dos Grupos de Segurança do Exchange pode ser movida em sua totalidade, pois tem um GUID e um Nome Distinto bem conhecidos. Não tenho tanta certeza sobre as contas de caixas de correio do sistema, embora não consiga pensar em nenhuma razão para isso. Todas as contas internas que eu suponho estão bem para se mover.

Obviamente, as declarações acima só serão verdadeiras se forem movidas para uma UO sem GPOs estranhos.

    
por James Edmonds 23.08.2013 / 15:21

2 respostas

4

Eu realmente não posso falar com os do Exchange, mas minha atitude seria deixá-los como estão. Eu sei que você está limpando, mas normalmente o que eu vi é que as empresas criarão um "root OU" para sua empresa no AD, digamos "ACME" e então colocarão todos os seus objetos / OUs / structure dentro essa UO raiz, deixando a outra estrutura construída / padrão do AD no lugar e não mexendo nela. Se eles o fizerem por motivos de segurança, eles poderão seguir o artigo / link abaixo da Technet.

Para o:

Builtin groups found in the Builtin container

A Microsoft recomenda que você não mexa com eles. Eles são grupos e pastas protegidos dentro do AD que possuem verificações de segurança específicas aplicadas a eles periodicamente.

Veja aqui: link

Groups in the Builtin container cannot be moved to another location.

No entanto, você pode mover as contas de administração e grupos na Users OU para uma UO segura, se seguir os conselhos da MS sobre como fazer isso corretamente.

Veja a seção Strengthening Security on Service Administration Accounts and Groups nesse link para detalhes e orientações. Eu recomendaria altamente que, antes de começar, você detalha a estrutura do seu AD, incluindo os GPOs, para garantir que você não mova algo para uma unidade organizacional que cause problemas sérios. Certifique-se de que seus backups estejam atualizados e eu até recomendaria fazer capturas de tela simples de antes / depois para permitir que você "retroceda", se necessário.

    
por 23.08.2013 / 16:00
1

Limpar e manter a estrutura do AD é uma coisa, mas não se envolva em "trabalho ocupado". Organize as UOs e objetos que você / a empresa criou. Deixe todos os contêineres e objetos internos e padrão como estão. Embora não haja qualquer problema em mover alguns desses itens, o fato é que simplesmente não há uma boa razão para fazê-lo (ou muito, muito poucas boas razões para fazê-lo).

Você: "Hmmm ... deixe-me mudar isso aqui ..."

Telefone: anel de chamada

Você: "Olá"

CEO / CIO / CFO: "A integração de e-mail com nosso sistema ERP / CRM não está mais funcionando. Não podemos nos comunicar com nossos clientes. Estamos perdendo dinheiro a cada segundo!"

Você: "Ops"

    
por 23.08.2013 / 19:00