微软网络中的组织单位设计模型研究

微软网络中的组织单位设计模型研究

白 静，白振兴
(空军工程大学工程学院 陕西西安 710038)

l引 言

活动目录(．Active Director,AD)是Windows平台的一个部件，AD服务提供了一种管理组成网络环境的各种对象的标志和关系的方法。Microsoft公司在AD数据库的设计中采用了ITU(国际电信联盟，
InternationalTelecommunicatioNS Union)所规范的X．500建议标准。在X．500结构中，对应的目录叫容器。用容器来组织数据库中的对象，也就是说，容器对象就是逻辑上包含其他对象的对象。例如，文件夹是容器对象。容器对象的用途就是组织目录中展现的资源。这些容器对象不代表物理资源，而把他们作为工具来将资源组织成逻辑分组。因为他们用于资源的组织，所以在AD中将其称作OU(组织单位，0rge【nl'zation Units)。即OU就是在域中使用的ADy容器对象。他是一个逻辑容器，可将用户、组、计算机和其他OU放置于该容器中。他可以只包含来自父域的对象，不能容纳来自其他域的对象。
从多方面讲，在环境中计划0U的结构比设计域、树或林(林是分享共同的方案和全局目录服务器的树的集合)的结构要复杂得多。因为域通常代表物理位置或单独的商业实体，所以找出给定域的范围通常是很简单的事情。同样，AD树不过是域的分组，也比较容易理解。林也是一样的，每一个林代表惟一的名字空间，要找出他的限制或边界也比较容易。然而OU用于组织实际资源，如打印机、用户账户、服务器等。尽管域的范围不难找出，创建OU却比较困难。OU将资源分为逻辑分组。这些分组能代表部门、位置，甚至代表工程。将资源放入适当的OU，可以大大减轻长期管理任务。以打印机为例，多数单位中的打印机由距离较近的用户使用。如果OU结构反映了公司部门结构，打印机可能被这些部门的许多人使用，但是打印机在树中只能有一个记录。

2 oU概述

OU形成逻辑管理单位，用于在域中分配管理优先权。与现有结构中添加另一个域相比，创建另一个OU来组织对象更有优越性。OU可以包含的对象类型有用户、计算机、工作组、打印机、应用程序、安全策略、文件共享及其他OU。但OU不能包含其他域的对象。如果改变树的方案，OU包含的对象也可以改变。
0U是组策略对象能被链接到的或可以委派系统管理机构的作用域或单元。使用OU，管理员可以在OU中代表逻辑层次结构的域中创建容器。这样管理员就可以根据0U模型管理账户及资源的配置和使用。可根据需要扩展容器的层次以及模拟域中组织的层次。使用OU可以帮助管理员将网络所需的域的数量降到。在多数情况下，0u创建的原因是有2个：

(1)使管理优先权的授权更加容易。
(2)使工作组策略的分配更加容易。
2．1授权
尽管一些特定的管理任务，比如关于域结构的管理必须集中管理控制，但是还有多数管理任务可以简单地授权于特定个人或工作组。通过在域中创建OU并将特定0U的管理控制权委派给特定用户或组，可将管理控制权委派给域树的任何级别。即管理员有能力选择特定的管理权限，并将其权限授权于特定的个人或工作组。例如，有某技术支持人员接听求助电话。虽然此技术支持人员需要有访问AD信息的权利，或者甚至是更改信息的权利，但是他不应该对整个树或域有完全控制的权利。技术支持人员普通的任务就是更改口令。在Mict'osoft NT环境中，只允许技术支持者有能力更改口令，而不给他们其他更多的权限，通常实现比较困难。但在Windows Servet2003中使用OU结构，这就比较容易实现，甚至可以在域中限制选定资源的授权范围。
计划授权时，网络系统管理员创建OU，代表责任的管理区域。如果管理员的远端办公室有一位子系统管理员，他有权处理该办公室的所有资源管理任务，那么网络系统管理员创建一个OU代表该位置，在0U中放置适当的资源记录(对象)，然后将必要的权限授予该子系统管理员。

2．2 工作组策略

工作组策略(group policies)基本上是一组适用于客户工作站的规则，这些规则影响或控制展现给用户的环境。比如说有一位用户在网站或杂志上读到某篇技术文章，就相信其中的内容，并尝试作者的所有建议。虽然这篇文章的作者说的没有错，但是用户并不知道文章作者的具体环境。文章作者的建议经常造成问题，或者与用户希望的结果不一致。工作组策略使管理员能够控制这种用户的环境，将用户的选项限制为管理员认为用户可以访问的选项。例如，普通的设置之一就是允许管理员决定哪个配置选项卡应该出现在"显示"小程序上。管理员可以允许用户自己设置背景或屏幕保护程序，但是管理员也可以将这两项完全从"显示设置"选项卡上去掉。

工作组策略功能强大，管理员可以决定用户应该对他们的计算机有多大的控制权利。

工作组策略可以分配于OU层(也可以分配于其他层)。即管理员可以创建一个OU，然后链接GP0(工作组策略对象，Group Policy()bject．)到容器，默认情况下，他会应用于0U的所有用户和计算机上。

总之，创建容器的目的就是：

(1)分配管理控制权，允许管理员或用户能够添加、删除或修改树中有限部分的对象。
(2)将对象分组以便管理。
(3)使管理更简单，使对象分配权限到OU，而不用多次进行。
(4)限制一个大容器中的对象数量，使管理更容易
(5)为了控制策略的应用。
(6)作为其他Ou的存储容器使用。

3现有oU模型

使用OU能够创建可以缩放到任意规模的管理模型。用户可拥有对域中所有OU或对单个0U的管理权限，不需要具有域中任何其他0U的管权限。也就是说，OU提供了域中的结构。该结构是分层性质，与多个域放置一起的结构是一样的。每个0U作为一个子目录，帮助管理员组织目录中描述的各种资源。该结构必须对管理员有意义，即对网络有价值。如图1所示，该设计中存在2个问题。

(1)若干OU名不是用户友好类型的
"a，b，c，1，2"这类名字可能对创建他的管理员有意义，但是对于其他人则不知所云。
(2)以人名命名容器可能在一段时间里比较方便，一旦人员变动或业务结构变化，所有这些容器就需重新命名。
好的OU结构有许多模型。一个模型应定义OU类别及其之间的关系。为树创建的模型应遵循单位或公司的运作。不同于其他类型的网络，基于目录的网络需要管理员在设计系统前了解单位或公司的运作和工作流程。目前已有一些OU标准模型。
3．1 项目模型
基于项目组的模型如图2所示。

对于特定环境，项目模型有一定优势：
(1)在资源和成本必须被追踪的环境中，该模型工作良好。
(2)由于每个项目组都是一个单独的OU，组间的安全易于维护。
缺点：
(1)项目通常会有一个时限，所以许多OU不得不经常删除，而资源会重新分配。
(2)如果项目经常变化，该类结构需要经常维护。此模型适合于规模小且产品线有限的公司。
3．2成本中心模型
反映成本中心的0U模型如图3所示。该模型是适用于预算考虑比其他考虑重要的公司。

成本中心模型的主要优点是各个分部或商业团体管理各自的资源。缺点是：
(1)用户分组的方式不能反映资源的使用情况。
(2)管理优先权的分配比较困难。此模型不能真正完全利用AD的强大功能。
3．3地理模型
地理模型是以地理位置来构建OU，如图4所示。NetAdmin公司创建了层0U代表地区，第二层代表省市。如果各省市都有自己的管理员，该配置比较有利，管理员可以轻松的授予管理权限给本地用户账户。

地理模型的优点：
(1)0U会相当稳定，多数公司会重组内部资源，但是办公室的地理位置总是不变的。
(2)公司总部能够轻松发布域范围的策略。
(3)易于判定资源位于何处。
(4)地理命名标准对用户和管理员都易于理解。
缺点：
(1)该设计不能反映NetAdmin公司的任何商业运作。
(2)整个结构是一个大的分区(单一域)。
多数情况下，使用这类模型，其广域链接上的复制通信量会超过其使用优势。
3．4对象模型
以对象类型为基础OU结构的设计如图5所示。层容器是为树中的每类对象创建。在层下面，按地理位置布局会使管理更容易。

对象模型的优点：
(1)资源管理更容易，因为每个OU代表特定的对象类型。
(2)以OU为基础授权。
(3)可以按照资源类型轻松分配管理权。
(4)公司重组对该类设计影响不大。
(5)各类对象的识别名保持一致。
(6)与DNS结构类似，能缩短某些管理员的学习过程。
缺点：
(1)所有用户都在同一个容器，较难定义OU政策。
(2)这种平面结构必须在每个域中创建。
(3)有过多顶层OU，使寻找管理工具变得困难。
3．5分公司或商业实体模型
分公司或商业实体模型以反映一个""的商业结构为基础。典型的结构就是各个执法部门的结构，如图6所示。

他的优点：
(1)该结构对用户十分友好，因为他基于的结构用户已十分熟悉。
(2)这种结构易于定位资源。
缺点：
(1)虽然该结构基于一个""环境，但是单位或企业总有可能变化。
(2)任何这种变化都会迫使0U结构重新设计。
(3)该模型在类，如国家机构的定义十分严格的环境中工作状况很好。

3．6 管理模型
基于公司的一般管理分组的结构模型如图7所示。

该模型的优点：
(1)从网络管理员角度进行设计，使管理员工作简化。
(2)从物理和逻辑方面看，多数公司由部门组成，适应公司的体系结构。
缺点：
(1)因该模型面向分部，所以部门的所有资源会在单一OU下分组，用户难以理解。
(2)如果公司资源属各部门共享，该模型不能反映公司的业务模式。

4混合模型分析

4．1 总述

如果要准确定义要创建的OU，以及OU应包含账户或共享资源，应该详细深入地考虑单位的结构。针对以上现有标准模型的优缺点，作者提出由两种或更多标准模型组成的混合模型。该结构准确反映了公司的商业结构，他更稳定、需要的调整更少，而标准模型却由于过于严格而做不到这一点。

4．2模型解析

由于标准模型的单个不足，作者恰当结合了各种标准模型，以实现优势互补。如图8所示，NetAdmin集团构建了由4种标准模型组成的混合模型。

层OU以地理位置为基础来构建，代表国内华东、华南等地域所代表的地理位置。因为地理位置的稳定性，地理模型能够使OU十分稳定、总部容易部署与结构、资源判定容易、地理命名标准对管理员和用户也都容易理解。但这一层却几乎没有反映出公司的任何商业运作，而大的地理分区导致复制通信量也很大。

第二层Ou基于分公司或商业实体，包括家电、通讯及电脑等各子公司实体。由于集团各子公司的相对严格不变性，这一层不仅对用户友好、资源定位容易，而且反映了公司的商业运作并缩小了公司范围，在一定程度上弥补了层OU的不足。

第三层OU基于各子公司一般管理分组的结构。在华东地区，家电子公司有人力资源、财务及市场营销等，通讯子公司有研发、市场及人力资源等部门。在华南地区，电脑子公司有销售等部门，通讯子公司有研发、培训等部门。这些部门都是公司的管理分组结构，在这一层正是采用了这种以管理分组为基础的OU结构。这一层模型从网络管理员的角度进行设计，符合多数公司的组织构架，深入反映了公司的商业运作，从而使管理员工作大大简化。

第四层0U结构的设计以对象类型为基础。此种结构
的益处显而易见：资源管理、管理权分配更容易。例如，在各部门中，系统管理员可以创建一个打印机管理员，具有添加、删除和更改该部门所有打印机的权利。这个部门的所有用户都可以共享打印机。既做到了资源的合理利用，又方便管理员根据特殊业务需要来定制环境。另外，将这种以对象类型为基础的模型放在层，避免了大量用户在同一个容器中，减少了管理员的工作量。
尤其是OU的混合模型结构设计能够使用户和管理员的工作量大大降低。