微軟網(wǎng)絡(luò)中的組織單位設(shè)計(jì)模型研究

白 靜，白振興
(空程大學(xué)工程學(xué)院 陜西西安 710038)

l引 言

活動(dòng)目錄(．Active Director,AD)是Windows平臺(tái)的一個(gè)部件，AD服務(wù)提供了一種管理組成網(wǎng)絡(luò)環(huán)境的各種對(duì)象的標(biāo)志和關(guān)系的方法。Microsoft公司在AD數(shù)據(jù)庫(kù)的設(shè)計(jì)中采用了ITU(國(guó)際電信聯(lián)盟，
InternationalTelecommunicatioNS Union)所規(guī)范的X．500建議標(biāo)準(zhǔn)。在X．500結(jié)構(gòu)中，對(duì)應(yīng)的目錄叫容器。用容器來(lái)組織數(shù)據(jù)庫(kù)中的對(duì)象，也就是說(shuō)，容器對(duì)象就是邏輯上包含其他對(duì)象的對(duì)象。例如，文件夾是容器對(duì)象。容器對(duì)象的用途就是組織目錄中展現(xiàn)的資源。這些容器對(duì)象不代表物理資源，而把他們作為工具來(lái)將資源組織成邏輯分組。因?yàn)樗麄冇糜谫Y源的組織，所以在AD中將其稱作OU(組織單位，0rge【nl'zation Units)。即OU就是在域中使用的ADy容器對(duì)象。他是一個(gè)邏輯容器，可將用戶、組、計(jì)算機(jī)和其他OU放置于該容器中。他可以只包含來(lái)自父域的對(duì)象，不能容納來(lái)自其他域的對(duì)象。
從多方面講，在環(huán)境中計(jì)劃0U的結(jié)構(gòu)比設(shè)計(jì)域、樹(shù)或林(林是分享共同的方案和全局目錄服務(wù)器的樹(shù)的集合)的結(jié)構(gòu)要復(fù)雜得多。因?yàn)橛蛲ǔ４砦锢砦恢没騿为?dú)的商業(yè)實(shí)體，所以找出給定域的范圍通常是很簡(jiǎn)單的事情。同樣，AD樹(shù)不過(guò)是域的分組，也比較容易理解。林也是一樣的，每一個(gè)林代表惟一的名字空間，要找出他的限制或邊界也比較容易。然而OU用于組織實(shí)際資源，如打印機(jī)、用戶賬戶、服務(wù)器等。盡管域的范圍不難找出，創(chuàng)建OU卻比較困難。OU將資源分為邏輯分組。這些分組能代表部門、位置，甚至代表工程。將資源放入適當(dāng)?shù)腛U，可以大大減輕長(zhǎng)期管理任務(wù)。以打印機(jī)為例，多數(shù)單位中的打印機(jī)由距離較近的用戶使用。如果OU結(jié)構(gòu)反映了公司部門結(jié)構(gòu)，打印機(jī)可能被這些部門的許多人使用，但是打印機(jī)在樹(shù)中只能有一個(gè)記錄。

2 oU概述

OU形成邏輯管理單位，用于在域中分配管理優(yōu)先權(quán)。與現(xiàn)有結(jié)構(gòu)中添加另一個(gè)域相比，創(chuàng)建另一個(gè)OU來(lái)組織對(duì)象更有優(yōu)越性。OU可以包含的對(duì)象類型有用戶、計(jì)算機(jī)、工作組、打印機(jī)、應(yīng)用程序、安全策略、文件共享及其他OU。但OU不能包含其他域的對(duì)象。如果改變樹(shù)的方案，OU包含的對(duì)象也可以改變。
0U是組策略對(duì)象能被鏈接到的或可以委派系統(tǒng)管理機(jī)構(gòu)的作用域或單元。使用OU，管理員可以在OU中代表邏輯層次結(jié)構(gòu)的域中創(chuàng)建容器。這樣管理員就可以根據(jù)0U模型管理賬戶及資源的配置和使用。可根據(jù)需要擴(kuò)展容器的層次以及模擬域中組織的層次。使用OU可以幫助管理員將網(wǎng)絡(luò)所需的域的數(shù)量降到。在多數(shù)情況下，0u創(chuàng)建的原因是有2個(gè)：

(1)使管理優(yōu)先權(quán)的授權(quán)更加容易。
(2)使工作組策略的分配更加容易。
2．1授權(quán)
盡管一些特定的管理任務(wù)，比如關(guān)于域結(jié)構(gòu)的管理必須集中管理控制，但是還有多數(shù)管理任務(wù)可以簡(jiǎn)單地授權(quán)于特定個(gè)人或工作組。通過(guò)在域中創(chuàng)建OU并將特定0U的管理控制權(quán)委派給特定用戶或組，可將管理控制權(quán)委派給域樹(shù)的任何級(jí)別。即管理員有能力選擇特定的管理權(quán)限，并將其權(quán)限授權(quán)于特定的個(gè)人或工作組。例如，有某技術(shù)支持人員接聽(tīng)求助電話。雖然此技術(shù)支持人員需要有訪問(wèn)AD信息的權(quán)利，或者甚至是更改信息的權(quán)利，但是他不應(yīng)該對(duì)整個(gè)樹(shù)或域有完全控制的權(quán)利。技術(shù)支持人員普通的任務(wù)就是更改口令。在Mict'osoft NT環(huán)境中，只允許技術(shù)支持者有能力更改口令，而不給他們其他更多的權(quán)限，通常實(shí)現(xiàn)比較困難。但在Windows Servet2003中使用OU結(jié)構(gòu)，這就比較容易實(shí)現(xiàn)，甚至可以在域中限制選定資源的授權(quán)范圍。
計(jì)劃授權(quán)時(shí)，網(wǎng)絡(luò)系統(tǒng)管理員創(chuàng)建OU，代表責(zé)任的管理區(qū)域。如果管理員的遠(yuǎn)端辦公室有一位子系統(tǒng)管理員，他有權(quán)處理該辦公室的所有資源管理任務(wù)，那么網(wǎng)絡(luò)系統(tǒng)管理員創(chuàng)建一個(gè)OU代表該位置，在0U中放置適當(dāng)?shù)馁Y源記錄(對(duì)象)，然后將必要的權(quán)限授予該子系統(tǒng)管理員。

2．2 工作組策略

工作組策略(group policies)基本上是一組適用于客戶工作站的規(guī)則，這些規(guī)則影響或控制展現(xiàn)給用戶的環(huán)境。比如說(shuō)有一位用戶在網(wǎng)站或雜志上讀到某篇技術(shù)文章，就相信其中的內(nèi)容，并嘗試作者的所有建議。雖然這篇文章的作者說(shuō)的沒(méi)有錯(cuò)，但是用戶并不知道文章作者的具體環(huán)境。文章作者的建議經(jīng)常造成問(wèn)題，或者與用戶希望的結(jié)果不一致。工作組策略使管理員能夠控制這種用戶的環(huán)境，將用戶的選項(xiàng)限制為管理員認(rèn)為用戶可以訪問(wèn)的選項(xiàng)。例如，普通的設(shè)置之一就是允許管理員決定哪個(gè)配置選項(xiàng)卡應(yīng)該出現(xiàn)在"顯示"小程序上。管理員可以允許用戶自己設(shè)置背景或屏幕保護(hù)程序，但是管理員也可以將這兩項(xiàng)完全從"顯示設(shè)置"選項(xiàng)卡上去掉。

工作組策略功能強(qiáng)大，管理員可以決定用戶應(yīng)該對(duì)他們的計(jì)算機(jī)有多大的控制權(quán)利。

工作組策略可以分配于OU層(也可以分配于其他層)。即管理員可以創(chuàng)建一個(gè)OU，然后鏈接GP0(工作組策略對(duì)象，Group Policy()bject．)到容器，默認(rèn)情況下，他會(huì)應(yīng)用于0U的所有用戶和計(jì)算機(jī)上。

總之，創(chuàng)建容器的目的就是：

(1)分配管理控制權(quán)，允許管理員或用戶能夠添加、刪除或修改樹(shù)中有限部分的對(duì)象。
(2)將對(duì)象分組以便管理。
(3)使管理更簡(jiǎn)單，使對(duì)象分配權(quán)限到OU，而不用多次進(jìn)行。
(4)限制一個(gè)大容器中的對(duì)象數(shù)量，使管理更容易
(5)為了控制策略的應(yīng)用。
(6)作為其他Ou的存儲(chǔ)容器使用。

3現(xiàn)有oU模型

使用OU能夠創(chuàng)建可以縮放到任意規(guī)模的管理模型。用戶可擁有對(duì)域中所有OU或?qū)蝹€(gè)0U的管理權(quán)限，不需要具有域中任何其他0U的管權(quán)限。也就是說(shuō)，OU提供了域中的結(jié)構(gòu)。該結(jié)構(gòu)是分層性質(zhì)，與多個(gè)域放置一起的結(jié)構(gòu)是一樣的。每個(gè)0U作為一個(gè)子目錄，幫助管理員組織目錄中描述的各種資源。該結(jié)構(gòu)必須對(duì)管理員有意義，即對(duì)網(wǎng)絡(luò)有價(jià)值。如圖1所示，該設(shè)計(jì)中存在2個(gè)問(wèn)題。

(1)若干OU名不是用戶友好類型的
"a，b，c，1，2"這類名字可能對(duì)創(chuàng)建他的管理員有意義，但是對(duì)于其他人則不知所云。
(2)以人名命名容器可能在一段時(shí)間里比較方便，一旦人員變動(dòng)或業(yè)務(wù)結(jié)構(gòu)變化，所有這些容器就需重新命名。
好的OU結(jié)構(gòu)有許多模型。一個(gè)模型應(yīng)定義OU類別及其之間的關(guān)系。為樹(shù)創(chuàng)建的模型應(yīng)遵循單位或公司的運(yùn)作。不同于其他類型的網(wǎng)絡(luò)，基于目錄的網(wǎng)絡(luò)需要管理員在設(shè)計(jì)系統(tǒng)前了解單位或公司的運(yùn)作和工作流程。目前已有一些OU標(biāo)準(zhǔn)模型。
3．1 項(xiàng)目模型
基于項(xiàng)目組的模型如圖2所示。

對(duì)于特定環(huán)境，項(xiàng)目模型有一定優(yōu)勢(shì)：
(1)在資源和成本必須被追蹤的環(huán)境中，該模型工作良好。
(2)由于每個(gè)項(xiàng)目組都是一個(gè)單獨(dú)的OU，組間的安全易于維護(hù)。
缺點(diǎn)：
(1)項(xiàng)目通常會(huì)有一個(gè)時(shí)限，所以許多OU不得不經(jīng)常刪除，而資源會(huì)重新分配。
(2)如果項(xiàng)目經(jīng)常變化，該類結(jié)構(gòu)需要經(jīng)常維護(hù)。此模型適合于規(guī)模小且產(chǎn)品線有限的公司。
3．2成本中心模型
反映成本中心的0U模型如圖3所示。該模型是適用于預(yù)算考慮比其他考慮重要的公司。

成本中心模型的主要優(yōu)點(diǎn)是各個(gè)分部或商業(yè)團(tuán)體管理各自的資源。缺點(diǎn)是：
(1)用戶分組的方式不能反映資源的使用情況。
(2)管理優(yōu)先權(quán)的分配比較困難。此模型不能真正完全利用AD的強(qiáng)大功能。
3．3地理模型
地理模型是以地理位置來(lái)構(gòu)建OU，如圖4所示。NetAdmin公司創(chuàng)建了層0U代表地區(qū)，第二層代表省市。如果各省市都有自己的管理員，該配置比較有利，管理員可以輕松的授予管理權(quán)限給本地用戶賬戶。

地理模型的優(yōu)點(diǎn)：
(1)0U會(huì)相當(dāng)穩(wěn)定，多數(shù)公司會(huì)重組內(nèi)部資源，但是辦公室的地理位置總是不變的。
(2)公司總部能夠輕松發(fā)布域范圍的策略。
(3)易于判定資源位于何處。
(4)地理命名標(biāo)準(zhǔn)對(duì)用戶和管理員都易于理解。
缺點(diǎn)：
(1)該設(shè)計(jì)不能反映NetAdmin公司的任何商業(yè)運(yùn)作。
(2)整個(gè)結(jié)構(gòu)是一個(gè)大的分區(qū)(單一域)。
多數(shù)情況下，使用這類模型，其廣域鏈接上的復(fù)制通信量會(huì)超過(guò)其使用優(yōu)勢(shì)。
3．4對(duì)象模型
以對(duì)象類型為基礎(chǔ)OU結(jié)構(gòu)的設(shè)計(jì)如圖5所示。層容器是為樹(shù)中的每類對(duì)象創(chuàng)建。在層下面，按地理位置布局會(huì)使管理更容易。

對(duì)象模型的優(yōu)點(diǎn)：
(1)資源管理更容易，因?yàn)槊總€(gè)OU代表特定的對(duì)象類型。
(2)以O(shè)U為基礎(chǔ)授權(quán)。
(3)可以按照資源類型輕松分配管理權(quán)。
(4)公司重組對(duì)該類設(shè)計(jì)影響不大。
(5)各類對(duì)象的識(shí)別名保持一致。
(6)與DNS結(jié)構(gòu)類似，能縮短某些管理員的學(xué)習(xí)過(guò)程。
缺點(diǎn)：
(1)所有用戶都在同一個(gè)容器，較難定義OU政策。
(2)這種平面結(jié)構(gòu)必須在每個(gè)域中創(chuàng)建。
(3)有過(guò)多頂層OU，使尋找管理工具變得困難。
3．5分公司或商業(yè)實(shí)體模型
分公司或商業(yè)實(shí)體模型以反映一個(gè)""的商業(yè)結(jié)構(gòu)為基礎(chǔ)。典型的結(jié)構(gòu)就是各個(gè)執(zhí)法部門的結(jié)構(gòu)，如圖6所示。

他的優(yōu)點(diǎn)：
(1)該結(jié)構(gòu)對(duì)用戶十分友好，因?yàn)樗诘慕Y(jié)構(gòu)用戶已十分熟悉。
(2)這種結(jié)構(gòu)易于定位資源。
缺點(diǎn)：
(1)雖然該結(jié)構(gòu)基于一個(gè)""環(huán)境，但是單位或企業(yè)總有可能變化。
(2)任何這種變化都會(huì)迫使0U結(jié)構(gòu)重新設(shè)計(jì)。
(3)該模型在類，如國(guó)家機(jī)構(gòu)的定義十分嚴(yán)格的環(huán)境中工作狀況很好。

3．6 管理模型
基于公司的一般管理分組的結(jié)構(gòu)模型如圖7所示。

該模型的優(yōu)點(diǎn)：
(1)從網(wǎng)絡(luò)管理員角度進(jìn)行設(shè)計(jì)，使管理員工作簡(jiǎn)化。
(2)從物理和邏輯方面看，多數(shù)公司由部門組成，適應(yīng)公司的體系結(jié)構(gòu)。
缺點(diǎn)：
(1)因該模型面向分部，所以部門的所有資源會(huì)在單一OU下分組，用戶難以理解。
(2)如果公司資源屬各部門共享，該模型不能反映公司的業(yè)務(wù)模式。

4混合模型分析

4．1 總述

如果要準(zhǔn)確定義要?jiǎng)?chuàng)建的OU，以及OU應(yīng)包含賬戶或共享資源，應(yīng)該詳細(xì)深入地考慮單位的結(jié)構(gòu)。針對(duì)以上現(xiàn)有標(biāo)準(zhǔn)模型的優(yōu)缺點(diǎn)，作者提出由兩種或更多標(biāo)準(zhǔn)模型組成的混合模型。該結(jié)構(gòu)準(zhǔn)確反映了公司的商業(yè)結(jié)構(gòu)，他更穩(wěn)定、需要的調(diào)整更少，而標(biāo)準(zhǔn)模型卻由于過(guò)于嚴(yán)格而做不到這一點(diǎn)。

4．2模型解析

由于標(biāo)準(zhǔn)模型的單個(gè)不足，作者恰當(dāng)結(jié)合了各種標(biāo)準(zhǔn)模型，以實(shí)現(xiàn)優(yōu)勢(shì)互補(bǔ)。如圖8所示，NetAdmin集團(tuán)構(gòu)建了由4種標(biāo)準(zhǔn)模型組成的混合模型。

層OU以地理位置為基礎(chǔ)來(lái)構(gòu)建，代表國(guó)內(nèi)華東、華南等地域所代表的地理位置。因?yàn)榈乩砦恢玫姆€(wěn)定性，地理模型能夠使OU十分穩(wěn)定、總部容易部署與結(jié)構(gòu)、資源判定容易、地理命名標(biāo)準(zhǔn)對(duì)管理員和用戶也都容易理解。但這一層卻幾乎沒(méi)有反映出公司的任何商業(yè)運(yùn)作，而大的地理分區(qū)導(dǎo)致復(fù)制通信量也很大。

第二層Ou基于分公司或商業(yè)實(shí)體，包括家電、通訊及電腦等各子公司實(shí)體。由于集團(tuán)各子公司的相對(duì)嚴(yán)格不變性，這一層不僅對(duì)用戶友好、資源定位容易，而且反映了公司的商業(yè)運(yùn)作并縮小了公司范圍，在一定程度上彌補(bǔ)了層OU的不足。

第三層OU基于各子公司一般管理分組的結(jié)構(gòu)。在華東地區(qū)，家電子公司有人力資源、財(cái)務(wù)及市場(chǎng)營(yíng)銷等，通訊子公司有研發(fā)、市場(chǎng)及人力資源等部門。在華南地區(qū)，電腦子公司有銷售等部門，通訊子公司有研發(fā)、培訓(xùn)等部門。這些部門都是公司的管理分組結(jié)構(gòu)，在這一層正是采用了這種以管理分組為基礎(chǔ)的OU結(jié)構(gòu)。這一層模型從網(wǎng)絡(luò)管理員的角度進(jìn)行設(shè)計(jì)，符合多數(shù)公司的組織構(gòu)架，深入反映了公司的商業(yè)運(yùn)作，從而使管理員工作大大簡(jiǎn)化。

第四層0U結(jié)構(gòu)的設(shè)計(jì)以對(duì)象類型為基礎(chǔ)。此種結(jié)構(gòu)
的益處顯而易見(jiàn)：資源管理、管理權(quán)分配更容易。例如，在各部門中，系統(tǒng)管理員可以創(chuàng)建一個(gè)打印機(jī)管理員，具有添加、刪除和更改該部門所有打印機(jī)的權(quán)利。這個(gè)部門的所有用戶都可以共享打印機(jī)。既做到了資源的合理利用，又方便管理員根據(jù)特殊業(yè)務(wù)需要來(lái)定制環(huán)境。另外，將這種以對(duì)象類型為基礎(chǔ)的模型放在層，避免了大量用戶在同一個(gè)容器中，減少了管理員的工作量。
尤其是OU的混合模型結(jié)構(gòu)設(shè)計(jì)能夠使用戶和管理員的工作量大大降低。