Organization unit в active directory

Organization unit в active directory

Организационные подразделения (organizational units — OU) являются логическими контейнерами, обычно используемыми для определения департаментов или других отделений. Компания Microsoft советует использовать минимальное количество лесов и доменов при реализации инфраструктуры Active Directory.

Если необходимо определить административную структуру департамента или отдела компании, вместо доменов можно воспользоваться подразделениями. Единственным требованием для создания новых доменов является безопасность, например, использование параметров паролей, отличающихся в различных отделениях.

Кроме этого, создание нового домена оправдано, если администратор региона настаивает на полном контроле над локальными ресурсами.

Использование организационных подразделений позволяет быстро группировать пользователей и компьютеры для упрощения процесса администрирования. Некоторым пользователям даже можно предоставить возможность управления объектами, входящими в подразделение.

Например, в подразделении “Support Manager” можно предоставить право создания и удаления учетных записей и сброса паролей пользователей. Это делается с помощью Мастера делегирования управления (Delegation of Control Wizard). Предоставление пользователю необходимых прав администратора позволяет упростить администрирование в пределах предприятия, не снижая общий уровень безопасности.

Как и в случае доменов, подразделения могут иметь дочерние подразделения. Но подразделения отличаются от доменов отсутствием общего пространства имен. Например, можно создать подразделение “Реклама” и дочерние подразделения “Сервер” и “Восток”.

Кроме делегирования административных привилегий и логической организации объектов по департаментам и отделениям, настройка подразделений позволяет связать развертывание объектов групповых политик с определенными департаментами и группами пользователей.

Администрирование Active Directory. Создание организационного подразделения при помощи оснастки ADUC

Администрирование Active Directory. Создание организационного подразделения при помощи оснастки ADUC

Всем доброго времени суток, продолжаем наши уроки системного администрирования. Продолжим сегодня разбираться в основных объектах Active Directory. После того, как мы разобрались с планированием Active Directory, первое что нужно создать, это структуру организационных подразделений (OU). Делается это для того, чтобы системный администратор, мог делегировать права на отдельные группы объектов, объединенных по каким-то критериям, применять групповые политики, по тем же соображениям. Если вы организуете себе удобную иерархию, то у вас все будет в AD просто лафа, которая вам сэкономит много времени.

Читайте также:  Wave editor как пользоваться

Я создам у себя в AD, структуру такого плана:

  • На верху OU территориальной принадлежности. В моем случае это города
  • Дальше это OU серверы, пользователи и компьютеры
  • Дальше можно уже при необходимости делить на этажи, отделы и все такое, как вашей фантазии придет в голову.

Ну собственно начнем. Открываем Пуск-Администирование-ADUC

Администрирование Active Directory-1 часть. Создание контейнера при помощи оснастки ADUC.-01

Дальше правым кликом по имени нашего домена, выбрать меню Создать-Подразделение или нажать иконку сверху.

Администрирование Active Directory-1 часть. Создание контейнера при помощи оснастки ADUC.-02

Вводим название OU, в моем случае Город. Дальше подобным образом создаем нужное вам количество OU в нужной вам иерархии.

Администрирование Active Directory-1 часть. Создание контейнера при помощи оснастки ADUC.-03

У меня это выглядит вот так. Есть несколько городов, которые содержат в себе дополнительные организационные подразделения:

  • Пользователи
  • Группы рассылок
  • Группы
  • Системные учетные записи
  • Сервера
  • Компьютеры

Администрирование Active Directory-1 часть. Создание контейнера при помощи оснастки ADUC.-04

Если вы вдруг создали лишний OU или не в том месте, можете попробовать ее удалить или перенести, делается это правым кликом удалить или крестик сверху. Но увидите что от удаления OU защищен.

Администрирование Active Directory-1 часть. Создание контейнера при помощи оснастки ADUC.-05

Администрирование Active Directory-1 часть. Создание контейнера при помощи оснастки ADUC.-06

Для того чтобы, это поправить и у вас был в Active Directory порядок, идем меню "Вид-Дополнительные компоненты".

Администрирование Active Directory-1 часть. Создание контейнера при помощи оснастки ADUC.-07

Теперь кликаем правым кликом по нужному OU и выбираем свойства.

Администрирование Active Directory-1 часть. Создание контейнера при помощи оснастки ADUC.-08

Переходим на вкладку "Объект", и видим эту галочку, которая защищает OU. Сняв ее можно проводить манипуляции, совет как сделаете, что нужно поставьте галчку обратно.

Читайте также:  Skyforge указы совета богов

Администрирование Active Directory-1 часть. Создание контейнера при помощи оснастки ADUC.-09

Как видите компания Microsoft сделала процесс создания объектов в Active Directory, очень тривиальным, так как многие вещи, системный администратор просто делегирует, например, на отдел кадров, которые заводят учетные записи. Если остались вопросы, то пишите их в комментариях, рад буду пообщаться.

Я рассмотрю вариант создание Organizational Unit средствами командной строки.

Данная заметка является продолжением статьи по работе с Active Directory.

Нажать сочетание клавиш “Win+R” для вызова диалогового окна “Run” (Выполнить) и набрать в нем команду “cmd”.

Для создания контейнеров, учетных записей нужно обладать правами Domain Admins или быть делегированным админом.

dsadd ou “ou=IT,dc=polygon,dc=local”

Для наглядного просмотра, что мы только, что сейчас сделали предлагаю воспользоваться Active Directory Users and Computers.

Из меню “Start” – “Control Panel” – “Administrative Tools” – запускаем оснастку “Active Directory Users and Computers”.

Такой способ более удобен если нужно создать структуру с помощью скрипта без запуска GUI интерфейса оснасток.

Используйте прокси ((заблокировано роскомнадзором, используйте vpn или proxy)) при использовании Telegram клиента:

Поблагодари автора и новые статьи

будут появляться чаще 🙂

Карта МКБ: 4432-7300-2472-8059
Yandex-деньги: 41001520055047

Большое спасибо тем кто благодарит автора за практические заметки небольшими пожертвованиями. С уважением, Олло Александр aka ekzorchik.

Ссылка на основную публикацию
Adblock detector