AD帳號管理問題

wlhfor1974 2020-09-01 19:11:18 ‧ 1367 瀏覽

分享至

請教各位大大

以前公司AD帳號管理

A公司(OU)
->部門1(OU)->子部門1(OU)->帳號1,帳號2,帳號3
->部門2(OU)->帳號1,帳號2,帳號3
->部門3(OU)->子部門1(OU)->帳號1,帳號2

同事說上面的方式會有問題,但也講不出所以然....然後他的方式是
A公司(OU),帳號全放在這個OU裡

以前看文件帳號管理都是像之前公司那樣樹狀結構,也比較好管理,好奇到底會有什麼問題??

看更多先前的討論...收起先前的討論...

ZongXianLi iT邦研究生 5 級 ‧ 2020-09-01 19:41:36 檢舉

這樣的話我蠻好奇你組織樹狀圖要怎麼畫
GPO要怎麼下

wlhfor1974 iT邦新手 3 級 ‧ 2020-09-01 23:57:34 檢舉

A公司是第一層,部門1,2,3是第二層,子部門是第三層,很一般的樹狀,可能我表達的不好

Marx iT邦新手 5 級 ‧ 2020-09-02 08:45:08 檢舉

目前我們也是這樣管理的 , 似乎還沒有發現會產生什麼問題 ? 好奇中 ~

wlhfor1974 iT邦新手 3 級 ‧ 2020-09-02 08:51:16 檢舉

之前公司用了四年也沒問題啊,我也很好奇

Luke iT邦研究生 5 級 ‧ 2020-09-02 09:03:55 檢舉

您應該說：是喔~~~，那怎樣的方式才沒有問題?
心理說: "看"，看不懂就說嗎?....

他的方式，有問題的是，當人數多時，要去改一個部門下的設定，他要找出此部門下人員，就有的選

msnman iT邦研究生 1 級 ‧ 2020-09-02 09:12:47 檢舉

部門1，可開啟分享資料夾1的所有權限
部門2，可開啟分享資料夾1的寫入權限，但拒絕刪除
結果：帳號1可以寫入資料夾1，但刪除被拒。

BKY iT邦好手 1 級 ‧ 2020-09-02 10:09:15 檢舉

需不需要建部門OU或子部門OU,就看貴司需不需要針對部門或子部門分派權限
公司人少,當然就建一個OU就好

wlhfor1974 iT邦新手 3 級 ‧ 2020-09-02 10:34:39 檢舉

Luke:我問過哦,但我聽不懂他在講什麼
msnman大大,應該寫部門1-->帳號1~3,部門2-->帳號4~6,部門3:帳號7~8才對
BKY大大:這我了解啊,AD帳號,網路架構等等都是要隨著公司規模做改變,做法不同,但我同事是說那樣有問題,

ZongXianLi iT邦研究生 5 級 ‧ 2020-09-02 12:05:54 檢舉

在AD建立的時候預設就是把人全部塞到Domain->Users的OU裡面人少當然沒問題但人多怎辦
如果公司想要使用GPO去控管部門電腦設定你沒OU怎麼控管??

BKY iT邦好手 1 級 ‧ 2020-09-02 12:56:21 檢舉

你同事說有問題,就反問他全部塞在一個OU,如果要對部門控管要怎麼做

wlhfor1974 iT邦新手 3 級 ‧ 2020-09-02 16:50:46 檢舉

ZongXianLi/BKY:是啊,我也看過直接放在users裡,根系統帳號全混在一起,看了頭很大,他說一間公司只能有一種密碼原則,突然間我好像明白了什麼XD

zero iT邦好手 1 級 ‧ 2020-09-02 18:00:41 檢舉

題外話，一間公司只有一種密碼原則，這個說法只對了一半。

wlhfor1974 iT邦新手 3 級 ‧ 2020-09-02 20:09:34 檢舉

不做樹狀確實只能有一種密碼原則XD

登入發表討論

直播研討會

{{ item.channelVendor }} {{ item.webinarstarted }} |

直播中

2 個回答

zero

iT邦好手 1 級 ‧ 2020-09-02 13:40:17

最佳解答

對Windows管理來說，你的架構跟你的同事架構都沒什麼差異，

大部份情況下，GPO帳戶的規則幫助不大，很少有機會用到，

但是如果你要串接其他的系統一起運作那就有影響了，

很多非Windows系統的登錄最終解法都會走向使用LDAP來驗證，

如果你有寫過非Windows系統用的程式，

後端驗證是要走LDAP並向Windows AD Server驗證的話，

每次使用者從前端UI輸入完帳戶，後端每次驗證都要指定帳戶所在的位置才行，

LDAP就是這樣規範，還不能不爽不要用，每個帳戶都放在不同公司不同部門，

OU與帳戶少的時候還可以這樣做，人數跟OU架構如果很多層，

寫驗證程式的人一定會想要打你一頓，因為如果不指定帳戶所在的位置，

LDAP就會因找不到該帳戶變成驗證失敗，

這個時候，全部的帳戶只放在一個OU內，這個架構就會方便很多SRE的人，

因為所有帳戶一定放在那個OU內，所以LDAP的DN位置就可以固定，

這樣就不用在寫一堆程式去找這次的使用者輸入的帳戶到底放在哪裡。

回應 6
分享
檢舉

看更多先前的回應...收起先前的回應...

wlhfor1974 iT邦新手 3 級 ‧ 2020-09-02 16:45:34 檢舉

LDAP小弟玩過,對管理人員來說也很麻煩,用指令與設定檔去新增刪除除號,小弟不會寫程式,所以不知程式面,但據小弟所知,大多系統去撈AD上的帳號與群組都是用同步的方式把帳號與群組同步到系統裡,如果要像大大所說的方式去撈,我那種方式真的會抓狂...

wlhfor1974 iT邦新手 3 級 ‧ 2020-09-02 17:13:54 檢舉

啊....突然想到,就算撈到系統裡,程式還是要指定位置,管理跟程式端還真兩難...

zero iT邦好手 1 級 ‧ 2020-09-02 17:29:26 檢舉

Windows的管理現在有Powershell可以用了，AD的帳戶管理不需要再走LDAP，連查詢都很方便。

zero iT邦好手 1 級 ‧ 2020-09-02 17:51:59 檢舉

如果用同步的方式把帳號與群組同步到系統裡，第1同步你要開設定才行不是誰都可以同步DC上的LDAP，第2他的驗證只能在他的系統上運作，網域內的其他裝置不承認他的驗證，如果你要在去溝通網域內的裝置你又要在驗證一次帳戶，第3同步時間週期，AD上某個使用者改了密碼，在同步還沒完成之前，那個系統都還是舊密碼，新密碼無法登錄。