Организационные единицы

Организационная единица представляет собой контейнер административного уровня, который применяется в Active Directory для логической организации объектов. Концепция организационной единицы взята из стандарта облегченного протокола доступа к каталогам (Lightweight Directory Access Protocol — LDAP), на котором построена Active Directory, хотя между чистым LDAP и Active Directory существуют некоторые концептуальные различия. Объекты в Active Directory могут быть ло­гически размещены в OU так, как указано ад­министратором. Хотя все объекты пользова­телей по умолчанию находятся в контейнере Users, а объекты компьютеров — в контейнере

На заметку

Технически стандартные папки Users и Computers в Active Directory не являются организа­ционными единицами, а определены как объекты класса Container. Необходимо понимать эту тонкость, поскольку объекты класса Container ведут себя не так, как организационные единицы. Для правильного использования таких служб, как Group Policies, зависящих от функциональности OU, рекомендуется переместить объекты пользователей и компьютеров из их стандартных контейнеров в структуры OU.

К каждому объекту в структуре Active Directory можно обратиться с помощью за­просов LDAP, указывающих на их конкретное местоположение в структуре OU. Вам будут часто встречаться ссылки на объекты в таком виде при написании сценариев для модификации или создания пользователей в Active Directory, или просто при выпол­нении LDAP-запросов к Active Directory.

На заметку

Структура OU может быть вложенной, то есть OU могут включать в себя много уровней под-OU. Однако учтите, что чем сложнее структура OU, тем труднее ее администрировать, и тем большее время требуется на выполнение запросов к каталогам. Microsoft не рекомендует применять глубину вложенности более 10 уровней. Однако будет разумным установить зна­чительно меньшую сложность, чем это число, чтобы сохранить возможность быстрого от­клика запросов к каталогам.

OU в основном предназначены для удовлетворения потребностей в делегировании администрирования различным группам администраторам. Хотя имеются и другие возможности использования OU, все-таки основной причиной создания OU в среде AD является этот тип делегирования администрирования. Более подробно эта кон­цепция описана в данной главе в разделе «Приступаем к созданию OU».

Необходимость наличия организационных единиц

Хотя существует тенденция использования организационных единиц для оформ­ления структуры Active Directory, OU не следует создавать просто для отражения организационной схемы компании. Тот факт, что в организации имеются отделы продаж, производства и маркетинга, не означает, что в Active Directory обязательно должны быть три OU. Администратор должен создавать организационные едини­цы, если подразделения будут администрироваться раздельно, и/или к различным отделам будут применяться различные политики. Однако если администрирование отделов будет выполнять одна и та же команда IT-специалистов, и к ним будут при­меняться одни и те же политики, то в нескольких OU нет необходимости. Кроме того, организационные единицы не видны каталогу, то есть если пользо­ватель захочет послать почтовые сообщения членам OU, то он не увидит в группи­ровке OU ни структуру OU, ни ее членов. Чтобы видеть членов организационной структуры, необходимо создать группы Active Directory. Группы видны и каталогу и пользователю, если он захочет увидеть список членов и групп в организации.

Аналогичные записи:
Вы можете оставить комментарий, или ссылку на Ваш сайт.

Оставить комментарий

Вы должны быть авторизованы, чтобы разместить комментарий.