配置 Active Directory 组织单位层次结构

 

上一次修改主题: 2005-05-16

在 Windows Server 2003 群集中运行 Exchange 时,必须配置已创建的 Exchange 虚拟服务器 (EVS) 计算机帐户,以使任何安全策略都不会直接应用到该帐户。因为 EVS 计算机帐户是对 Windows® 群集进行配置时附带生成的,所以对 EVS 计算机帐户应用安全策略是不必要的。事实上,对 EVS 计算机对象应用安全策略将可能导致故障。因此必须移动 EVS 计算机帐户,以使其不会从 Windows 或 Exchange GPO 安全策略继承任何安全组策略对象 (GPO)。此外,要管理计算机帐户属性,组织中的群集服务帐户必须对 EVS 计算机帐户具有完全控制权限。要实现这一点,您必须执行以下步骤:

  1. 创建 EVS 组织单位 (OU)。
  2. 关闭 EVS OU 上的 GPO 继承。
  3. 将对 EVS OU 的完全控制权限授予群集服务帐户。
  4. 将 EVS 计算机帐户移到新 OU,如果 EVS 计算机帐户尚未存在,则在新 OU 中创建它。
note注意:
有关如何创建和配置 EVS OU 的详细步骤,请参阅如何在强化安全的环境中配置和运行 Exchange Server 2003 群集

如果您遵循 Windows Server 2003 Security Guide(英文)Exchange Server 2003 Security Hardening Guide(英文)建议的 OU 结构,则可以通过应用 Exchange 2003 群集节点 GPO 模板进行本主题中建议的更改。在 Exchange Server 2003 Security Hardening Guide 下载程序包中,可提供 Exchange 2003 群集节点 GPO 模板。

下图说明添加其他群集 OU 时 OU 结构是如何被更新的。

带有 Exchange 群集的组织单位层次结构

将添加以下两个新 OU:

  • “Exchange 虚拟服务器”是将包含 EVS 实例的 OU。
  • “Exchange 群集节点”是将包含 Exchange 群集节点的 OU。

Exchange 群集节点 OU 从 Windows 成员服务器(包括在 Windows Server 2003 Security Guide 中)和 Exchange 2003 后端安全策略继承 GPO 安全配置。要在此环境下运行 Exchange 群集,必须将 Exchange 2003 群集节点库 GPO 模板应用到 Exchange 群集节点 OU。有关由 Exchange 2003 群集节点库 GPO 模板进行的配置更改的说明,请参阅配置 Exchange 2003 群集节点

note注意:
有关如何创建 Exchange 群集节点 OU 和 GPO 策略(包括如何导入 Exchange 2003 群集节点库 GPO 模板)的详细步骤,请参阅如何在强化安全的环境中配置和运行 Exchange Server 2003 群集

通过将 Exchange 2003 群集节点库 GPO 模板应用到 Exchange 群集节点 OU,可以一致地配置要在强化后的环境中运行的 Exchange 群集。

有关创建 Active Directory OU 层次结构以支持 Exchange 服务器角色的详细信息,请参阅 Exchange Server 2003 Security Hardening Guide(英文)中的“Security-Hardening Exchange 2003 Servers”。

important重要提示:
如果 OU 结构没有反映 Windows Server 2003 Security GuideExchange Server 2003 Security Hardening Guide 中建议的层次结构,请不要在组织中的每台计算机上手动应用本主题中的建议。建议您通过将 GPO 应用到环境中的 OU 来强化 Exchange 和 Windows 基础结构。此方法对于整个组织提供一致的配置。通过将安全模板应用到相应 OU 或通过创建您自己 GPO 安全模板,来使用本主题中的建议配置 OU 层次结构。
 
显示: