修復 Active Directory 中的使用者和電腦帳戶結構
我正在嘗試修復完全計劃外和非結構化的 Active Directory 層次結構。首次在 Windows Server 2000 上創建域時,沒有為使用者或電腦創建任何容器或 OU。所有使用者都集中在預設的“使用者”容器中,所有電腦都集中在預設的“電腦”容器中。
域最終得到了升級,我現在有兩個 Windows Server 2008 x64 DC。但是,當然,目前的結構或缺乏結構對於分配權限和應用組策略來說是一場噩夢,所以我需要重新建構整個結構。
我的問題是,在將使用者和電腦移動到 OU 和組(如果有)時,我應該期待什麼樣的業務中斷?
關於如何做到這一點的任何建議?任何指向最佳實踐的指針?
以防萬一,環境的其餘部分是 Windows Server 2008 文件伺服器、Windows Server 2003 R2 列印伺服器、Windows Server 2003 R2 Exchange 2003 Server 和執行 SQL Server 2005 SP2 的 Windows 2003 R2 x64 Server。
如果與 Active Directory 互動的服務全部(或主要)來自 Microsoft,則不應有任何中斷。Microsoft 產品將知道如何動態查找帳戶,因此您的重組將對您的操作環境透明。其他綁定(例如,通過 LDAP)到目錄的高級別並進行子樹搜尋的產品也應該不受影響,具體取決於它們綁定的級別。
您應該四處尋找的是其他可能使用 Active Directory 的服務(同樣,通過 LDAP 或類似方式)並且在查找時具有與較低級別容器對象 (OU) 或葉級別對象(帳戶、組等)的硬編碼綁定對於目錄中的對象。您的重組將導致這些查找失敗。
例如,我們使用一個非 MS 數據庫平台,是的,它確實與 AD 綁定以進行使用者身份驗證。但是,它維護自己的內部使用者數據庫,在為該系統創建登錄名時,我們必須將絕對 ADsPath 與每個使用者帳戶相關聯。當使用者帳戶移動到不同的 OU 時,該使用者的身份驗證會中斷,直到我們使用新的 ADsPath 更新該帳戶。
自動搜尋這些服務並非易事,因此如果您確實擁有它們,我強烈建議您維護連接到 AD 的應用程序/服務的清單。