Как правильно организовать структуру АД

[Ejik]

Хочется узнать, кто как создает структуру OU в AD для дальнейшего управления юзерами и компьютерами, накатыванием групповых политик и т.д.

У меня возникло сомнения в правильности моей структуры, в данный момент она такая:

(Имеется ввиду Active Directory Users and Computers)

Все стандартные директории остаются, я добавляю OU “capital” в ней создаю еще две OU “computers” и “users”. В OU “computers” делится на OU “desktop” и “laptop”. OU “users” разбивается также на две OU “local” и “region”, “local” в свою очередь делится по департаментам, а “region” по филиалам.

В такой разбивки мне кажется, тяжеловато настраивать политики.

Думаю переделать все в такой формат: в OU “capital” создаю две OU “local” и “region” .

В “local” так же разбиваю по департаментам например OU ”DIT” в котором будут находится OU “users” и “computers” и так во всех департаментах.

Готов выслушать все минусы и плюсы данного разбиения AD, также хотелось бы узнать ваше решения данного вопроса.

[Timba]

Хочется узнать, кто как создает структуру OU в AD для дальнейшего управления юзерами и компьютерами, накатыванием групповых политик и т.д.

Про создании контейнеров лично я рассматриваю только один критерий, а именно - удобство администрирования.

Мне кажется, незачем создавать слишком мудреную структуру, где будет масса вложенных контейнеров, содержащих не так уж много объектов. Будет неудобно пользоваться. И наоборот, так же неудобно будет, если множество объектов будет свалено в одну кучу.

Необходимо подыскать "золотую середину" в соответствии с задачами администрирования и размерами самой сети.

Если сеть большая и разветвленная, то имеет смысл выстраивать структуру AD в соответствии со структурой предприятия.

Если сеть относительно небольшая, но применяется множество групповых политик, то удобнее структурировать контейнеры и объекты в них в соответствии с выполняемыми задачами и назначаемыми политиками. Даже если объекты находятся в различных подразделениях предприятия, но схожи по выполняемым задачам, то удобнее назначить политику один раз на один контейнер, чем несколько раз на OU филиалов, где, к примеру, всего по 3-4 станции.

Не вижу большого смысла создавать внутри OU еще и дополнительные контейнеры "Users" и "Computers". Политики и так назначаются отдельно на пользователей и отдельно на компьютеры. Опять же, с этими контейнерами будет удобно, если объектов в исходном OU все-таки много и это затрудняет администрирование.

Так же хорошо иметь OU для временного размещения там объектов. Это удобно например для инсталляции ПО, если требуется (или хочется) сначала посмотреть на результат на нескольких станциях, прежде чем разворачивать ПО на всем предприятии (в департаменте, подразделении...). Так же такие OU удобны и для прочих экпериментов с GP.

В общем и целом подход примерно такой.

[Ejik]

Timba: Спасибо, мысыль понятно.