【IT168 技术】　　问：假如你是珠海总公司员工，带着你的笔记本电脑去南昌分公司出差，到了分公司以后，接入分公司网络这个时候你的身分验证是在那里完成的?

　　                                    答：在南昌的其中一台DC完成身份验证。

　　分析：

　　珠海员工到南昌分公司出差办公当笔记本接入南昌分公司的网络后南昌分公司的DHCP服务器会为它分配一个属于南昌网段的IP地址，并配置南昌分公司的DNS及网关地址，然后DNS会去查询本地的DC，最后在本地DC上对用户进行身份验证。

　　下面进行OS公司的AD的架构设计图

　　从图里我们可以看出Administrator用户对域有最高的权限，是整个AD的管理员，在大中型企业里如果AD靠管理员一个人去管理维护肯定是不可能的特别是有分支机构的企业，因此需要把部分权限委派出去。委派的权限不能过高，因为AD是公司的基础架构，很多应用都是基于AD的，如果AD发生崩溃在大中型企业里后果是不可想象，为了减少AD的崩溃和出错在权限设计方面一定要设计严格的管理权限，制定出在AD里对象的操作规则。

　　AD的结构主要是根据自己企业的实际情况和管理方便来划分下面只是一个实例仅供参考。

　　第一级划分

　　考虑到OS公司在未来的几年发展只限于国内发展，国外暂不考虑，结合中国地理位置第一级OU按省份来划分。

　　OS公司在3个省内有公司第一级划分三个OU分别是GD(广东)、JX(江西)、SC(四川)未来在别的省份发展分公司还可以断续增加省份OU。

　　在第一级OU中设计了一个Groups的OU这个OU主要用于存放OS公司的一些公共组,这个设计主要是为了便于管理。举个例子：总部有一份报表需要给珠海总公司、广东分公司、南昌分公司等各分公司的财务人员查看和修改，如果你是IT管理者该如何做?

　　非常好的的解决方法：

　　1、要求各公司IT管理员创建一个本地的财务组，如珠海ZHOS-Finance-Dept、广州GZOS-Finance-Dept，南昌NCOS-Finance-Dept等，自己本公司的所有财务人员加入到本地创建的财务组;;

　　2、总部管理员在Groups创建一个OS-Finance-Dept财务公共组，把各公司的财务组如珠海ZHOS-Finance-Dept、广州GZOS-Finance-Dept等加入到OS-Finance-Dept财务组;

　　3、创建一个文件夹，把查看和修改权限赋予OS-Finance-Dept。

　　第二级划分

　　第二级划分主要根据OS公司的结构来划分，根据所在的省份在一级OU下为每个公司划分一个OU，每个OU委派给各公司IT主管进行管理。

　　从图里可以看出，每个公司的OU下都有一个组，这个组的用户对这个OU下面的对象负责管理，AD管理员把各公司的IT主管分别加入到相应的组里面。对每个公司的OU委派下面几个权限：

　　1、创建、删除以及管理用户帐户

　　2、创建、删除以及管理计算机帐户

　　3、重设用户密码并强制在下次登录时更改密码

　　4、读取所有用户信息

　　5、创建、删除和管理组

　　6、修改组成员身份

　　7、生成策略的结果集(计划)

　　8、生成策略的结果集(记录)