主页 / server / 问题 / 776175
Accepted
mwolfe02
Asked: 2016-05-12 08:21:14 +0800 CST

将某些 Active Directory 帐户标识为“IsHuman”

  • 772

我想标记某些 Active Directory 帐户以表明它们代表个人、物理人而不是组、服务帐户、内置帐户等。这可以通过自定义或内置属性、组等。

理想情况下,解决方案将:

  • 轻松将属性一次添加到多个帐户
  • 不必添加到每个帐户
  • 提供一些可能需要在创建帐户时设置的指示(视觉等)
active-directory groups attributes flags

3 个回答

  1. Best Answer

    组是与用户不同的对象,因此区分它们已经成为可能,甚至很容易。内置帐户通常留在用户容器中,而用户帐户和服务帐户通常分类到用户容器下或用户容器外部的单独 OU。无论哪种方式,按 OU 排序都是 GUI 中的视觉指示,也可以通过其他应用程序、powershell 命令、搜索等轻松搜索和排序。

    因此,只需按用户类型将您的用户分类到不同的 OU 中。您可能还想创建一个 OU 树来更精细地对人类用户进行排序,例如,您可以按部门将他们排序到单独的部门 OU 中。或者,您可以按办公地点或任何符合商业意义的方式对它们进行分类。这样,您就有多种方法来区分具有不同需求的用户。

    我还喜欢将所有组分类为 OU。要么我创建一个组 OU 并对其中的所有组进行排序,甚至创建一个 OU 树结构来区分用户组、资源组和分发组,或者我将组包含在适当的用户 OU 中的用户旁边。

    如果您没有将 AD 对象智能地分类到 OU 中,那么您就错过了 Active Directory 的一个主要功能。

    除了使用 OU,您还可以(确实应该)利用组成员身份。通常有理由创建一个或多个用户和通讯组,其中包括组织的所有人员,但不包括任何内置或服务帐户。您可能还想为所有服务帐户创建分配和/或用户组(您可能能够将服务帐户的适当权限分配给组)。通讯组完全用于对用户进行排序,几乎没有其他目的(特别是如果您不进行 Exchange),因此它是用于将帐户分组以用于各种目的的理想机制。

    如果您Exchange,那么您已经将各种架构扩展添加到 Active Directory,您可以使用这些扩展来区分用户邮箱和共享邮箱等。

    最后,关于服务帐户,您可能会考虑各种服务帐户所需的范围。如果您有一个需要自定义帐户但不需要访问任何网络资源的服务,您可以简单地为该服务创建一个本地帐户并授予它在本地计算机上的必要权限。这样就少了一个服务帐户,使您的广告变得混乱。

    • 5

  2. 除了@Todd Wilcox出色的答案之外,我还想为 AD 中的对象添加命名约定的想法。

    您想要为用户/组创建的“属性”的某些方面可以通过对对象和基础结构具有非常强的命名约定而固有地应用,并且不偏离它。

    用户
    常规用户名应该是<FirstName>.<LastName>,或者<lastName><FirstInitial>,而他们的显示名称应该是<LastName>, <FirstName> (<Department>)。或者任何对你的公司有用的东西。无论哪种方式,它们都应该是可重现的,并且以某种方式格式化,如果您知道用户的某个元素,您就会知道如何找到更多关于它们的信息,因为您知道要查找什么。

    Real Name       Department      Display name        User Name
John Doe        IT              Doe, John (IT)      John.Doe
Jane Doe        Finance         Doe, Jane (FIN)     Jane.Doe
James Doe       Human Resources Doe, James (HR)     James.Doe

    服务帐户还应遵循标准约定,但与普通用户不同。这也适用于“共享”帐户,但无论如何我都会远离这些帐户。我的首选格式是sa.<vendor>.<product>,因此很容易将它们分组并找到它们以供以后重复使用。

    Vendor      Product                 Display Name                        Username
VMware      vSphere                 (SA) VMware - vSphere               sa.vmware.vsphere
Microsoft   SQL Server              (SA) Microsoft - SQL Server         sa.microsoft.sqlserver
Microsoft   Exchange                (SA) Microsoft - Exchange           sa.microsoft.exchange
IBM         Tivoli Storage Manager  (SA) IBM - Tivoli Storage Manager   sa.ibm.tsm


    安全组应该根据他们正在做什么和应用什么来命名,但同样遵循标准模式,以便可以轻松找到具有类似目的的组。

    文件共享可以通过共享名称和它们授予的权限来命名,而该共享的服务器/路径可以在描述中找到(SHR_<ShareName>_R用于读取,SHR_<ShareName>_M用于修改)。

    通用邮箱访问组,可以包含邮箱名称和权限(GM_<SMTPAddress>_FMR对于完全访问,GM_<SMTPAddress>_SA对于发送为)。

    AD/服务器延迟组可以是团队的名称(DLG AD DevOps)、、DLG SRV BackupAndStorage等)

    分发列表是唯一奇怪的一个,因为人们会想要它,所以它可能或多或少地被命名为任何需要的东西。但即便如此,您也可以为它们设置适用于您组织的标准。

    • 3

  3. 我工作过的大多数环境都没有对帐户属性执行此操作。他们通过 OU 组织和/或命名标准来做到这一点。一个简化的例子可能是:

    • (域根)
      • 所有帐户
        • 人类
        • 共享帐户
        • 服务帐号

    如果有意义,您可以细分不同的帐户类型。但大多数时候,组成员身份是您进一步划分……群体……人所需要的。向非人工帐户类型添加标准前缀/后缀也可以使这更容易一目了然地查看/管理。例如,所有服务帐户都可能以“svc.”开头。

    • 2

相关问题