Планирование организационных единиц (подразделений)
Планирование организационных единиц (подразделений)
Организационные единицы (OU), или подразделения, могут содержать пользователей, группы, компьютеры, принтеры и общие папки, а также другие
OU. OU — это
минимальная
"единица" администрирования, права управления которой можно делегировать некоторому пользователю или группе. С помощью OU можно обеспечить
локальное
администрирование пользователей (создание, модификация и удаление учетных записей) или ресурсов.
Примечание 1
Примечание 1
Организационные единицы и подразделения — это термины-синонимы; мы будет чаще использовать понятие
организационная единица,
говоря о
структуре
каталога Active Directory и его дереве, и
подразделение —
когда речь идет об
администрировании
Active Directory, делегировании управления и т. п.
В каталоге Active Directory организационные единицы представляют собой объекты типа "контейнер" и отображаются в окне оснастки
Active Directory — пользователи и компьютеры
(Active Directory Users and Computers) как папки. Их основное назначение — группирование объектов каталога с целью передачи административных функций отдельным пользователям.
Дерево OU может отображать реальную структуру организации — административную, функциональную и т. п. При этом учитываются иерархия полномочий ответственных работников и необходимые функции управления. Каждый доменов дереве или лесе может иметь свою, совершенно независящую от других структуру организационных единиц.
Организационная единица — минимальная структурная единица, которой можно назначить собственную групповую политику, т. е. определить разрешения на доступ к ней (и подчиненным OU), конфигурационные настройки и т. п. Однако OU не является структурным элементом безопасности (т. е. нельзя, скажем, назначить подразделению некоторые права доступа к определенному объекту), а служит только для группирования объектов каталога. Для назначения полномочий и разрешений доступа к ресурсам следует применять
группы безопасности
(security groups).
Примечание 2
Примечание 2
Параметры безопасности групповой политики, назначенной некоторому подразделению, позволяют "сужать" область действия этой политики. Предположим, например, что в подразделении имеется несколько групп безопасности. По умолчанию групповая политика распространяется на всех членов подразделения. Однако можно сделать так, что эта политика будет действовать только на определенную группу (группы) и игнорироваться остальными группами подразделения. Подробнее об этом рассказано в главе 27.
Вот рекомендации по выбору решения (организовать ли в сети несколько доменов или делить её на организационные единицы):
Создавайте несколько доменов, если в организации действует децентрализованное управление, при котором пользователями и ресурсами управляют совершенно независимые администраторы.
Создавайте несколько доменов, если части сети связаны медленным каналом и совершенно нежелательна полная репликация по этому каналу (если репликация возможна хотя бы иногда, то лучше создавать один домен с несколькими сайтами).
Разбивайте домен на организационные единицы, чтобы отразить в них структуру организации.
Разбивайте домен на организационные единицы, если нужно делегировать управление над ограниченными, небольшими группами пользователей и ресурсов; при этом можно делегировать
все
права администрирования или только
некоторые.
Разбивайте домен на организационные единицы, если их структура соответствует
будущим
изменениям в организации (компании). Домены же, по возможности, нужно конфигурировать так, чтобы перемещать или делить их приходилось как можно реже.
Двухуровневая иерархия — доменов в дереве доменов и организационных единиц в домене — обеспечивает гибкость администрирования, которое может быть и централизованным, и децентрализованным, и смешанным.