企業分OU管理的時機與注意事項

　　一、 分支機構采用多OU而不是多域。

　　不少企業為了擴展自己公司的規模，會在各地開設分支機構。如筆者以前的東家，總部在上海。在浙江、安徽等地都有自己的分支機構和辦事處。為了加強信息化管理，對這些身在外地的辦事處與分支機構，該如何管控呢？【IT專家網獨家撰稿】

　　從Windows網絡環境角度出發，顯然有兩種管控的方式。一是通過多域環境來管理。即為分支機構或者辦事處設置一個域，將其作為本部域的一個子域。這么設計可以給分支機構一個相對靈活的網絡環境。但是其也有缺陷。如往往需要為分支機構專門設置一個域管理員、增加了企業信息化部署的成本 。在2008網絡環境中，已經不建議為小型的分支機構或者辦事處設置域，而是將其納入到本部域的管理范疇中去。只是在辦事處或者分支機構設置一個只讀域控制器即可。

　　另外一種方式就是通過多OU來管理。如上圖所示，企業可能在內地有一個工廠，然后在沿海城市又有一個物流部門。此時不一定要通過多域環境來管理。筆者的建議時，可以為物流部門設置一個OU，然后這個OU加入到集團的域中即可。如此的話，即能夠保證物流部門信息化環境的安全性，而且還可以對OU進行本地化管理。如增加一個用戶或者刪除一個用戶等等簡單信息的維護。一些核心的內容，如OU的安全策略(用戶口令的安全性等等)仍然是由總部人員維護。【IT專家網獨家撰稿】

　　二、 根據管理權限來分配OU。

　　根據企業特定的需要，可以將組織單元進一步細分為資源OU以便于組織和委托管理。但是需要注意的是，OU并不是分的越多越好，也并不是嵌套的層數越多越好。如在現實工作中，有些系統工程師喜歡根據企業的部門來劃分組織單元，如IT部門、采購部門等等。筆者認為這種分法完全是沒有必要的。不但不會帶來多大的效益，而且還會無形之中增加管理員的工作量。

　　筆者認為，通常只當管理員有向另一組管理員委托管理權限時才創建特定的OU。而不是根據部門來創建OU。如各個部門的網絡資源都是有同一個人來維護的，那么就沒有必要按部門來劃分組織單元。如現在出于管理的考慮，IT部門有三個人，分別管理硬件、軟件與網絡安全。此時就可以分為3個組織單元：硬件OU、軟件OU、和安全策略OU，并為不同的用戶分配相關的權限。此時就可以為不同的管理人員創造相對獨立的工作環境，防止相互之間的干擾。【IT專家網獨家撰稿】

　　簡單的說，如果同一個人管理一個域，那么就完全沒有必要通過增加組織單元來增加環境的復雜性。或者雖然有多個人來管理這個域，但是相互之間沒有明顯的權限劃分，也沒有必要劃分組織單元。過多的組織單元會影響組策略、注冊和其他相關要素。為此組織單元絕對不是越多越好，而是要做到精辟。根據管理權限來分配OU，這是筆者強烈建議的準則。換句話說，涉及OU時先設一個單獨的組織單元。然后再必要的時候才添加組織單元。

　　三、 根據組織策略來規劃OU。

　　在實際工作中，我們還可以根據組織策略來規化OU。如現在企業在網絡環境中實現了一個文件服務器。現在有一個基本的訪問規則。各個部門之間對于文件服務器有不同的訪問權限。如每個部門的用戶只能夠往自己部門的文件夾中寫入或者刪除文件。對于其他部門的共享文件夾只有查詢權限，而無法更改或者刪除作業。針對這種需求，權限該如何控制呢？如果一個用戶從A部門轉到B部門，權限又該如何調整呢？簡單的說，這種需求可以通過組策略來完成。可以根據企業的實際情況，分為不同的組。然后為不同的組設置不同的訪問策略。當用戶加入到某個組之后，就自動擁有這個組的權限。如此的話，將用戶從某個部門轉移到另外一給部門之后，就不用重新配置權限。【IT專家網獨家撰稿】

　　如果將這個組與組織單元結合起來，就會更加的合適。此時就可以根據不同的部門設置不同的組織單元。然后在不同的組織單元上使用不同的組策略。在實際工作中，只要加入到這個組織單元的用戶就自動具有相關的訪問權限。

　　另外還可以給一些經理以特別的權限。如采購員要更改訪問的密碼，就不要找系統管理員。直接找采購經理申請即可。在系統中，可以授予采購部經理重置他自己部門用戶口令的管理權限。如果出于安全的考慮，可以限制其不能夠新建用戶或者刪除用戶信息，而只能夠更改口令。此時使用OU的好處就非常的明顯。如可以方便的將用戶從一個OU拖放到另外一個OU中。【IT專家網獨家撰稿】

　　四、 OU可以根據需要進行修改。

　　域設計完成之后，如果要進行修改，那將是一項非常大的工程。如刪除一個域，那受影響的用戶數量會很多。后續的善后工作也非常龐大。為此對于域來說，要強調前期的設計。一旦規劃設計完成之后，就不要做隨意的更改，特別是刪除域的作業。

　　但是對于OU組織單元的要求則與域完全不同。相對域來說，組織單元的修改是非常簡單的，就好像是更改主機的名字一樣的簡單。無論是增加一個組織單元，或者刪除一個組織單元，又或者調整組織單元內部的對象，都是比較簡單的。如上面提到過，要將一個用戶從一個OU移動到另外一個OU，只需要用鼠標拖拉一下即可。用戶相關的權限會自動進行調整。【IT專家網獨家撰稿】

　　為此對于OU組織單元來說，只要系統管理員認為適合作出結構更改的任何時刻都可以立即修改組織單元的結構。簡單的說，就是認為有必要對現有的組織單元架構進行更改時，可以馬上著手進行調整。從某種角度也可以說明，在組織單元設計時，域允許OU存在一定的缺陷。

　　在實際工作中，也確實如此。如處于成長型的企業，其公司的組織架構經常在發生變化。在這種情況下，企業的OU組織單元也會需要經常變化，以滿足企業日常管理的需要。而相對來說，域環境是相對穩定的，一般不需要進行調整。【IT專家網獨家撰稿】

　　可見，微軟OU組織單元的應用相對來說還是比較靈活的。正是因為比較靈活，在其設計時不少系統管理員容易陷入誤區。筆者認為，組織單元設計時，一個核心的原則就是要根據管理權限和組織策略來設計，而不要簡單的根據部門來設置。組織單元越多，其管理上的開銷也就越大。通常情況下，可以先設置一個組織單元。在后續工作中，如果有需要再進行添加。從少到多，這是一個不錯的選擇

服務器租用/服務器托管中國五強！虛擬主機域名注冊頂級提供商！15年品質保障！--億恩科技[ENKJ.COM]