1. OU 设计原则
- 业务导向:按业务单元而非地域划分 OU
- 继承管理:子 OU 继承父 OU 的管理权限
- 分层管理:集团统一管理策略,子公司管理本地
- 最小权限:只授予完成任务所需的最小权限
2. 集团 OU 结构
PowerShell - 创建集团 OU 结构
# 创建根级 OU
New-ADOrganizationalUnit -Name "IT信息部" -Path "DC=iehang,DC=cn"
New-ADOrganizationalUnit -Name "集团总部" -Path "DC=iehang,DC=cn"
# 创建部门 OU
New-ADOrganizationalUnit -Name "财务部" -Path "OU=集团总部,DC=iehang,DC=cn"
New-ADOrganizationalUnit -Name "销售部" -Path "OU=集团总部,DC=iehang,DC=cn"
New-ADOrganizationalUnit -Name "技术部" -Path "OU=集团总部,DC=iehang,DC=cn"3. 子公司 OU 规划
PowerShell - 创建子公司 OU
# 创建各子公司 OU
New-ADOrganizationalUnit -Name "深圳子公司" -Path "DC=iehang,DC=cn"
New-ADOrganizationalUnit -Name "青岛子公司" -Path "DC=iehang,DC=cn"
New-ADOrganizationalUnit -Name "济南子公司" -Path "DC=iehang,DC=cn"
# 在各子公司下创建部门 OU
New-ADOrganizationalUnit -Name "分公司财务部" -Path "OU=深圳子公司,DC=iehang,DC=cn"
New-ADOrganizationalUnit -Name "分公司销售部" -Path "OU=深圳子公司,DC=iehang,DC=cn"
New-ADOrganizationalUnit -Name "分公司行政部" -Path "OU=深圳子公司,DC=iehang,DC=cn"4. 权限委派
PowerShell - 委派 OU 权限
# 委派子公司管理员权限
Set-ADOrganizationalUnit -Identity "OU=深圳子公司,DC=iehang,DC=cn" `
-ManagedBy "IEHANG\SZ-Admin"
# 委派密码重置权限
Add-ADACL -Target "OU=深圳子公司,DC=iehang,DC=cn" `
-Principal "IEHANG\SZ-HelpDesk" `
-Instance "CN=Delegate-PC-Reset,CN=Delegation,CN=WindowsPolicies"
# 验证 OU 权限
Get-ADOrganizationalUnit -Identity "OU=深圳子公司,DC=iehang,DC=cn" |
Select-Object Name, ManagedBy5. 常见问题
Q1:子公司 OU 应该设在子域还是根域
取决于管理模式:集中管理模式设在根域,分布式管理模式设在子域。
Q2:可以锁定子公司管理员的权限吗
可以。使用选择性授权和凭据保护,限制子公司管理员只能管理其所在的 OU。