在LDAP中,最好是在组织单位下嵌套组,还是直接在根目录下创建组织单元,仅用于组?

Modified on: Thu, 31 Oct 2019 08:20:02 +0800

我不确定是否最好在我的每个组织单位下嵌套组,或者只为组创建直接位于根DN下的组织单位。一个被认为是最佳实践而不是另一个?我希望尽可能保持配置为vanilla,以最大限度地提高与LDAP感知应用程序的兼容性。

我的迫切需求包括:

  1. 与Atlassian Crowd的SSO
  2. Google Apps Directory Sync(LDAP Groups - > Mailing Lists)
  3. pGina for Windows身份验证
  4. 醇>

    这是一张显示我正在考虑的两种策略的图表:

最佳答案

根据AD设计指南,在设计结构时需要考虑两件事:1)管理控制委托和2)组策略。

由于组策略不适用于组,因此基本上只剩下一个 - 管理控制委派。你的模型B可以选择在每所学校进行一些本地的管理任务授权,这可能是你要实现的,所以这就是我想要的。

我已经看到了按组类型进一步将组划分为单独OU的示例,例如应用程序组,策略组,权限组等。

作者:Trondh

相关问答

添加新评论