ske 公演歌曲:企业分OU管理的时机与注意事项技术教程 Windows Server 2008安装 win...

OU组织单元是逻辑上存储目录信息的容器。在Windows2008网络环境中，可以根据管理员的实际需要设置多个OU，甚至采取嵌套的方式。所以这个OU组织单元向管理员提供了一种灵活管理企业网络的工具。但是并不是在任何环境下都能够从OU组织单元中获益。在这篇文章中，笔者要跟大家分析一下，企业分OU组织单元管理的时机以及相关的注意事项。帮助大家挖掘组织单元中的潜在价值。 

　　一、 分支机构采用多OU而不是多域。

　　不少企业为了扩展自己公司的规模，会在各地开设分支机构。如笔者以前的东家，总部在上海。在浙江、安徽等地都有自己的分支机构和办事处。为了加强信息化管理，对这些身在外地的办事处与分支机构，该如何管控呢？

　　从Windows网络环境角度出发，显然有两种管控的方式。一是通过多域环境来管理。即为分支机构或者办事处设置一个域，将其作为本部域的一个子域。这么设计可以给分支机构一个相对灵活的网络环境。但是其也有缺陷。如往往需要为分支机构专门设置一个域管理员、增加了企业信息化部署的成本 。在2008网络环境中，已经不建议为小型的分支机构或者办事处设置域，而是将其纳入到本部域的管理范畴中去。只是在办事处或者分支机构设置一个只读域控制器即可。

　　另外一种方式就是通过多OU来管理。如上图所示，企业可能在内地有一个工厂，然后在沿海城市又有一个物流部门。此时不一定要通过多域环境来管理。笔者的建议时，可以为物流部门设置一个OU，然后这个OU加入到集团的域中即可。如此的话，即能够保证物流部门信息化环境的安全性，而且还可以对OU进行本地化管理。如增加一个用户或者删除一个用户等等简单信息的维护。一些核心的内容，如OU的安全策略(用户口令的安全性等等)仍然是由总部人员维护。

　　二、 根据管理权限来分配OU。

　　根据企业特定的需要，可以将组织单元进一步细分为资源OU以便于组织和委托管理。但是需要注意的是，OU并不是分的越多越好，也并不是嵌套的层数越多越好。如在现实工作中，有些系统工程师喜欢根据企业的部门来划分组织单元，如IT部门、采购部门等等。笔者认为这种分法完全是没有必要的。不但不会带来多大的效益，而且还会无形之中增加管理员的工作量。

　　笔者认为，通常只当管理员有向另一组管理员委托管理权限时才创建特定的OU。而不是根据部门来创建OU。如各个部门的网络资源都是有同一个人来维护的，那么就没有必要按部门来划分组织单元。如现在出于管理的考虑，IT部门有三个人，分别管理硬件、软件与网络安全。此时就可以分为3个组织单元：硬件OU、软件OU、和安全策略OU，并为不同的用户分配相关的权限。此时就可以为不同的管理人员创造相对独立的工作环境，防止相互之间的干扰。

　　简单的说，如果同一个人管理一个域，那么就完全没有必要通过增加组织单元来增加环境的复杂性。或者虽然有多个人来管理这个域，但是相互之间没有明显的权限划分，也没有必要划分组织单元。过多的组织单元会影响组策略、注册和其他相关要素。为此组织单元绝对不是越多越好，而是要做到精辟。根据管理权限来分配OU，这是笔者强烈建议的准则。换句话说，涉及OU时先设一个单独的组织单元。然后再必要的时候才添加组织单元。

　　三、 根据组织策略来规划OU。

　　在实际工作中，我们还可以根据组织策略来规化OU。如现在企业在网络环境中实现了一个文件服务器。现在有一个基本的访问规则。各个部门之间对于文件服务器有不同的访问权限。如每个部门的用户只能够往自己部门的文件夹中写入或者删除文件。对于其他部门的共享文件夹只有查询权限，而无法更改或者删除作业。针对这种需求，权限该如何控制呢？如果一个用户从A部门转到B部门，权限又该如何调整呢？简单的说，这种需求可以通过组策略来完成。可以根据企业的实际情况，分为不同的组。然后为不同的组设置不同的访问策略。当用户加入到某个组之后，就自动拥有这个组的权限。如此的话，将用户从某个部门转移到另外一给部门之后，就不用重新配置权限。

　　如果将这个组与组织单元结合起来，就会更加的合适。此时就可以根据不同的部门设置不同的组织单元。然后在不同的组织单元上使用不同的组策略。在实际工作中，只要加入到这个组织单元的用户就自动具有相关的访问权限。

　　另外还可以给一些经理以特别的权限。如采购员要更改访问的密码，就不要找系统管理员。直接找采购经理申请即可。在系统中，可以授予采购部经理重置他自己部门用户口令的管理权限。如果出于安全的考虑，可以限制其不能够新建用户或者删除用户信息，而只能够更改口令。此时使用OU的好处就非常的明显。如可以方便的将用户从一个OU拖放到另外一个OU中。

　　四、 OU可以根据需要进行修改。

　　域设计完成之后，如果要进行修改，那将是一项非常大的工程。如删除一个域，那受影响的用户数量会很多。后续的善后工作也非常庞大。为此对于域来说，要强调前期的设计。一旦规划设计完成之后，就不要做随意的更改，特别是删除域的作业。

　　但是对于OU组织单元的要求则与域完全不同。相对域来说，组织单元的修改是非常简单的，就好像是更改主机的名字一样的简单。无论是增加一个组织单元，或者删除一个组织单元，又或者调整组织单元内部的对象，都是比较简单的。如上面提到过，要将一个用户从一个OU移动到另外一个OU，只需要用鼠标拖拉一下即可。用户相关的权限会自动进行调整。

　　为此对于OU组织单元来说，只要系统管理员认为适合作出结构更改的任何时刻都可以立即修改组织单元的结构。简单的说，就是认为有必要对现有的组织单元架构进行更改时，可以马上着手进行调整。从某种角度也可以说明，在组织单元设计时，域允许OU存在一定的缺陷。

　　在实际工作中，也确实如此。如处于成长型的企业，其公司的组织架构经常在发生变化。在这种情况下，企业的OU组织单元也会需要经常变化，以满足企业日常管理的需要。而相对来说，域环境是相对稳定的，一般不需要进行调整。

　　可见，微软OU组织单元的应用相对来说还是比较灵活的。正是因为比较灵活，在其设计时不少系统管理员容易陷入误区。笔者认为，组织单元设计时，一个核心的原则就是要根据管理权限和组织策略来设计，而不要简单的根据部门来设置。组织单元越多，其管理上的开销也就越大。通常情况下，可以先设置一个组织单元。在后续工作中，如果有需要再进行添加。从少到多，这是一个不错的选择。