问活动目录

EN

不是的。在所有方面，真的。

例如，我居住的一个大型、多国的国家，拥有超过25,000多个GPO。所以，虽然你可能认为你有太多的GPO和太多的复杂性(你很可能)，但这不是一个真正可以解决的问题。具有复杂关系的大型、复杂组织具有庞大、复杂的目录。没办法绕过它。

唯一真正的解决办法是正确设计、执行和管理你的广告结构.这也不是一个容易的任务，也不是什么可以用“几个工具”解决的问题。而且，再一次，即使有适当的设计和政策到位，你将结束一个相对较大和复杂的广告。这只是这类数据的本质--有很多数据，而且它跟踪了大量的关系和依赖关系，所以它很复杂。野兽的本性。

您的第一个目标是决定如何组织/设计AD结构和层次结构，这本身就是一个项目。

一旦解决了这个问题，就应该继续在当前环境中进行报告，这也不是一项简单的任务。有很多这样的工具，包括在LDAP上查询和获取数据的普通旧脚本，以及第三方工具。的和活动目录报告工具可能会成为你想要的“行业标准”，但它们很昂贵，绝不是一颗灵丹妙药。例如，我为一家大约1,000名员工的公司做了一个AD重新设计，他们的文件服务器上的文件权限报告生成了超过25万行的Excel电子表格。

然后，一旦你知道了你想去的地方，你现在在哪里，你就需要计划一个达到目标的方法。当然，这必须在环境运行时完成，因为在处理问题的过程中，您不能很好地将AD脱机几个月。值得注意的是，这通常会导致人们意识到，更容易、更好地支持一个全新的域或森林，您可以将现有的环境“迁移”到其中。

最后，一旦你完成了所有这一切，就必须制定政策和程序，并强制执行以保护新的和/或清理广告的结构和组织，否则你就会在任何时间内回到原来的混乱状态。

大量的工作。

根据您的AD环境的大小和程度，您可能会更好地记录您的广告环境，处理低挂水果和执行政策，因为你清理了一个特定的领域。例如，通过删除前员工和空白组来清除组成员身份，并实现围绕员工离职的过程，例如“运行以下脚本以确定组成员身份并将前员工从所有组中删除”。

但是不管你怎么做，没有任何工具可以帮你做到这一点，这需要付出相当大的努力才能完成。