企業(yè)分OU管理的時機(jī)與注意事項(xiàng)

　　一、 分支機(jī)構(gòu)采用多OU而不是多域。

　　不少企業(yè)為了擴(kuò)展自己公司的規(guī)模，會在各地開設(shè)分支機(jī)構(gòu)。如筆者以前的東家，總部在上海。在浙江、安徽等地都有自己的分支機(jī)構(gòu)和辦事處。為了加強(qiáng)信息化管理，對這些身在外地的辦事處與分支機(jī)構(gòu)，該如何管控呢？【IT專家網(wǎng)獨(dú)家撰稿】

　　從Windows網(wǎng)絡(luò)環(huán)境角度出發(fā)，顯然有兩種管控的方式。一是通過多域環(huán)境來管理。即為分支機(jī)構(gòu)或者辦事處設(shè)置一個域，將其作為本部域的一個子域。這么設(shè)計可以給分支機(jī)構(gòu)一個相對靈活的網(wǎng)絡(luò)環(huán)境。但是其也有缺陷。如往往需要為分支機(jī)構(gòu)專門設(shè)置一個域管理員、增加了企業(yè)信息化部署的成本 。在2008網(wǎng)絡(luò)環(huán)境中，已經(jīng)不建議為小型的分支機(jī)構(gòu)或者辦事處設(shè)置域，而是將其納入到本部域的管理范疇中去。只是在辦事處或者分支機(jī)構(gòu)設(shè)置一個只讀域控制器即可。

　　另外一種方式就是通過多OU來管理。如上圖所示，企業(yè)可能在內(nèi)地有一個工廠，然后在沿海城市又有一個物流部門。此時不一定要通過多域環(huán)境來管理。筆者的建議時，可以為物流部門設(shè)置一個OU，然后這個OU加入到集團(tuán)的域中即可。如此的話，即能夠保證物流部門信息化環(huán)境的安全性，而且還可以對OU進(jìn)行本地化管理。如增加一個用戶或者刪除一個用戶等等簡單信息的維護(hù)。一些核心的內(nèi)容，如OU的安全策略(用戶口令的安全性等等)仍然是由總部人員維護(hù)�！綢T專家網(wǎng)獨(dú)家撰稿】

　　二、 根據(jù)管理權(quán)限來分配OU。

　　根據(jù)企業(yè)特定的需要，可以將組織單元進(jìn)一步細(xì)分為資源OU以便于組織和委托管理。但是需要注意的是，OU并不是分的越多越好，也并不是嵌套的層數(shù)越多越好。如在現(xiàn)實(shí)工作中，有些系統(tǒng)工程師喜歡根據(jù)企業(yè)的部門來劃分組織單元，如IT部門、采購部門等等。筆者認(rèn)為這種分法完全是沒有必要的。不但不會帶來多大的效益，而且還會無形之中增加管理員的工作量。

　　筆者認(rèn)為，通常只當(dāng)管理員有向另一組管理員委托管理權(quán)限時才創(chuàng)建特定的OU。而不是根據(jù)部門來創(chuàng)建OU。如各個部門的網(wǎng)絡(luò)資源都是有同一個人來維護(hù)的，那么就沒有必要按部門來劃分組織單元。如現(xiàn)在出于管理的考慮，IT部門有三個人，分別管理硬件、軟件與網(wǎng)絡(luò)安全。此時就可以分為3個組織單元：硬件OU、軟件OU、和安全策略O(shè)U，并為不同的用戶分配相關(guān)的權(quán)限。此時就可以為不同的管理人員創(chuàng)造相對獨(dú)立的工作環(huán)境，防止相互之間的干擾。【IT專家網(wǎng)獨(dú)家撰稿】

　　簡單的說，如果同一個人管理一個域，那么就完全沒有必要通過增加組織單元來增加環(huán)境的復(fù)雜性�；蛘唠m然有多個人來管理這個域，但是相互之間沒有明顯的權(quán)限劃分，也沒有必要劃分組織單元。過多的組織單元會影響組策略、注冊和其他相關(guān)要素。為此組織單元絕對不是越多越好，而是要做到精辟。根據(jù)管理權(quán)限來分配OU，這是筆者強(qiáng)烈建議的準(zhǔn)則。換句話說，涉及OU時先設(shè)一個單獨(dú)的組織單元。然后再必要的時候才添加組織單元。

　　三、 根據(jù)組織策略來規(guī)劃OU。

　　在實(shí)際工作中，我們還可以根據(jù)組織策略來規(guī)化OU。如現(xiàn)在企業(yè)在網(wǎng)絡(luò)環(huán)境中實(shí)現(xiàn)了一個文件服務(wù)器。現(xiàn)在有一個基本的訪問規(guī)則。各個部門之間對于文件服務(wù)器有不同的訪問權(quán)限。如每個部門的用戶只能夠往自己部門的文件夾中寫入或者刪除文件。對于其他部門的共享文件夾只有查詢權(quán)限，而無法更改或者刪除作業(yè)。針對這種需求，權(quán)限該如何控制呢？如果一個用戶從A部門轉(zhuǎn)到B部門，權(quán)限又該如何調(diào)整呢？簡單的說，這種需求可以通過組策略來完成�？梢愿鶕�(jù)企業(yè)的實(shí)際情況，分為不同的組。然后為不同的組設(shè)置不同的訪問策略。當(dāng)用戶加入到某個組之后，就自動擁有這個組的權(quán)限。如此的話，將用戶從某個部門轉(zhuǎn)移到另外一給部門之后，就不用重新配置權(quán)限�！綢T專家網(wǎng)獨(dú)家撰稿】

　　如果將這個組與組織單元結(jié)合起來，就會更加的合適。此時就可以根據(jù)不同的部門設(shè)置不同的組織單元。然后在不同的組織單元上使用不同的組策略。在實(shí)際工作中，只要加入到這個組織單元的用戶就自動具有相關(guān)的訪問權(quán)限。

　　另外還可以給一些經(jīng)理以特別的權(quán)限。如采購員要更改訪問的密碼，就不要找系統(tǒng)管理員。直接找采購經(jīng)理申請即可。在系統(tǒng)中，可以授予采購部經(jīng)理重置他自己部門用戶口令的管理權(quán)限。如果出于安全的考慮，可以限制其不能夠新建用戶或者刪除用戶信息，而只能夠更改口令。此時使用OU的好處就非常的明顯。如可以方便的將用戶從一個OU拖放到另外一個OU中�！綢T專家網(wǎng)獨(dú)家撰稿】

　　四、 OU可以根據(jù)需要進(jìn)行修改。

　　域設(shè)計完成之后，如果要進(jìn)行修改，那將是一項(xiàng)非常大的工程。如刪除一個域，那受影響的用戶數(shù)量會很多。后續(xù)的善后工作也非常龐大。為此對于域來說，要強(qiáng)調(diào)前期的設(shè)計。一旦規(guī)劃設(shè)計完成之后，就不要做隨意的更改，特別是刪除域的作業(yè)。

　　但是對于OU組織單元的要求則與域完全不同。相對域來說，組織單元的修改是非常簡單的，就好像是更改主機(jī)的名字一樣的簡單。無論是增加一個組織單元，或者刪除一個組織單元，又或者調(diào)整組織單元內(nèi)部的對象，都是比較簡單的。如上面提到過，要將一個用戶從一個OU移動到另外一個OU，只需要用鼠標(biāo)拖拉一下即可。用戶相關(guān)的權(quán)限會自動進(jìn)行調(diào)整�！綢T專家網(wǎng)獨(dú)家撰稿】

　　為此對于OU組織單元來說，只要系統(tǒng)管理員認(rèn)為適合作出結(jié)構(gòu)更改的任何時刻都可以立即修改組織單元的結(jié)構(gòu)。簡單的說，就是認(rèn)為有必要對現(xiàn)有的組織單元架構(gòu)進(jìn)行更改時，可以馬上著手進(jìn)行調(diào)整。從某種角度也可以說明，在組織單元設(shè)計時，域允許OU存在一定的缺陷。

　　在實(shí)際工作中，也確實(shí)如此。如處于成長型的企業(yè)，其公司的組織架構(gòu)經(jīng)常在發(fā)生變化。在這種情況下，企業(yè)的OU組織單元也會需要經(jīng)常變化，以滿足企業(yè)日常管理的需要。而相對來說，域環(huán)境是相對穩(wěn)定的，一般不需要進(jìn)行調(diào)整。【IT專家網(wǎng)獨(dú)家撰稿】

　　可見，微軟OU組織單元的應(yīng)用相對來說還是比較靈活的。正是因?yàn)楸容^靈活，在其設(shè)計時不少系統(tǒng)管理員容易陷入誤區(qū)。筆者認(rèn)為，組織單元設(shè)計時，一個核心的原則就是要根據(jù)管理權(quán)限和組織策略來設(shè)計，而不要簡單的根據(jù)部門來設(shè)置。組織單元越多，其管理上的開銷也就越大。通常情況下，可以先設(shè)置一個組織單元。在后續(xù)工作中，如果有需要再進(jìn)行添加。從少到多，這是一個不錯的選擇

服務(wù)器租用/服務(wù)器托管中國五強(qiáng)！虛擬主機(jī)域名注冊頂級提供商！15年品質(zhì)保障！--億恩科技[ENKJ.COM]