学院以前的应用系统都是使用关系数据库的,现在想用AD来做LDAP服务器,查阅MS的文档,说是用户管理推荐使用AGDLP策略,也就是说把用户帐户(Account)加入全局组(Group),再把全局组加到域本地组(Domain Local Group),再将权限(Permission)实施到DL上。我暂时不需要Windows来管理计算机、打印机之类的资源,只需要依靠AD进行用户口令认证,以及读取院内的组织结构就行了。
传统的关系数据库上,通常把用户作为一个表,院内的单位作为一张表,有层次关系的,或许还会做成多张级联表,比如下面的二级结构:大单位表,包括教务部、政治处、计算机系等;小单位表,包括教务科、教保科(以上两个归属教务部),政工科(归属政治处),自动化教研室(归属计算机系),大单位表和小单位表通过关联字段进行关联,用户表则通过为每个用户设定小单位编码与小单位关联。
现在的问题是:AGDLP的过程中,MS推荐Group按照行政组织结构来规划,是否可以理解为所有用户先归到Domain Users组,然后再按照院内行政结构来设计教务部、政治处、计算机系,然后在设计教务科、政工科等小单位的组,再将小单位组嵌套进各自的主管部门组,最后将用户账号分类放入用户所在的小单位组里。这种方式,好像和先建立OU,然后在OU中建立用户账号有些不同,不知那种方法更好一些?
传统的关系数据库上,通常把用户作为一个表,院内的单位作为一张表,有层次关系的,或许还会做成多张级联表,比如下面的二级结构:大单位表,包括教务部、政治处、计算机系等;小单位表,包括教务科、教保科(以上两个归属教务部),政工科(归属政治处),自动化教研室(归属计算机系),大单位表和小单位表通过关联字段进行关联,用户表则通过为每个用户设定小单位编码与小单位关联。
现在的问题是:AGDLP的过程中,MS推荐Group按照行政组织结构来规划,是否可以理解为所有用户先归到Domain Users组,然后再按照院内行政结构来设计教务部、政治处、计算机系,然后在设计教务科、政工科等小单位的组,再将小单位组嵌套进各自的主管部门组,最后将用户账号分类放入用户所在的小单位组里。这种方式,好像和先建立OU,然后在OU中建立用户账号有些不同,不知那种方法更好一些?
5楼说的我也知道,但新建的系统可以用ldap的方法考虑问题,还有好多老系统哪,估计用int或char来表示单位编码的方法还不能完全丢掉。
继续追问。
方法一:直接把用户账号容器OU用作表示内部单位名称和编码的实体(这样要搜索一个用户所属单位或找一个单位下面有那些用户特方便,但资源对象可能就要和账号对象混在一起了)
方法二:除了账号OU,再另建一套单位OU树形结构。(用户账号可以属于多个Group,但好像只能属于一个OU吧?账号OU下的用户账号没法和部门OU建立对应关系了?)?
这问题对懂的人来说是不是有点小白...不管了,还是打破沙锅问到底吧!
以往表示单位编码,通常用Int或vChar,用OU表示部门,在OU下定义用户之后,要兼容以前用关系数据库vchar字段表示部门编码的应用系统,是否应该进行架构扩展,为每个部门OU加上一个string类型的编码字段?
谢谢各位的回答,结贴给分了!vrhero 35分,whoami333 10分,JeffrySun 5分。欢迎各位dx继续在就这个问题发表高见,找机会再给分!