我正在尝试修复完全未计划和非结构化的Active Directory层次结构.
在 Windows Server 2000上首次创建域时,不会为用户或计算机创建任何容器或OU.所有用户都在默认的“Users”容器下集中在一起,并且所有计算机都集中在默认的“Computers”容器中.
在 Windows Server 2000上首次创建域时,不会为用户或计算机创建任何容器或OU.所有用户都在默认的“Users”容器下集中在一起,并且所有计算机都集中在默认的“Computers”容器中.
该域最终升级,我现在有两个Windows Server 2008 x64 DC.但当然,目前的结构或缺乏是分配权限和应用组策略的噩梦所以我需要重组整个事情.
我的问题是,在将用户和计算机转移到OU和组中时,我应该期待什么样的业务中断?
关于如何做到这一点的任何建议?任何指向最佳实践的指针?
为了防止需要,环境的其余部分是Windows Server 2008文件服务器,Windows Server 2003 R2打印服务器,Windows Server 2003 R2 Exchange 2003 Server和运行sql Server 2005 SP2的Windows 2003 R2 x64服务器.
如果与Active Directory交互的服务全部(或主要)来自Microsoft,则不应有任何中断. Microsoft产品将知道如何动态查找帐户,以便您的重组对您的操作环境透明.将(通过LDAP)绑定到目录的高级别并进行子树搜索的其他产品也应该不受影响,具体取决于它们绑定的级别的方式.
您应该查看的是其他可能使用Active Directory的服务(同样,通过LDAP或类似方法),并在查看时对较低级别容器对象(OU)或叶级对象(帐户,组等)进行硬编码绑定对于目录中的对象.您的重组将导致这些查找失败.
例如,我们使用非MS数据库平台,是的,它与AD结合用于用户身份验证.但是,它维护自己的内部用户数据库,我们必须在为此系统创建登录时将绝对ADsPath与每个用户帐户相关联.当用户帐户移动到其他OU时,该用户的身份验证会中断,直到我们使用新的ADsPath更新帐户.
