Организационные единицы (OU), или подразделения, могут содержать пользователей, группы, компьютеры, принтеры и общие папки, а также другие
OU. OU — это минимальная "единица" администрирования, права управления которой можно делегировать некоторому пользователю или группе. С помощью OU можно обеспечить локальное администрирование пользователей (создание, модификация и удаление учетных записей) или ресурсов.
Примечание: Организационные единицы и подразделения — это термины-синонимы; мы будет чаще использовать понятие
организационная единица, говоря о
структуре каталога Active Directory и его дереве, и
подразделение — когда речь идет об
администрировании Active Directory, делегировании управления и т. п.
В каталоге Active Directory организационные единицы представляют собой объекты типа "контейнер" и отображаются в окне оснастки Active Directory — пользователи и компьютеры (Active Directory Users and Computers) как папки. Их основное назначение — группирование объектов каталога с целью передачи административных функций отдельным пользователям.
Дерево OU может отображать реальную структуру организации — административную, функциональную и т. п. При этом учитываются иерархия полномочий ответственных работников и необходимые функции управления. Каждый доменов дереве или лесе может иметь свою, совершенно независящую от других структуру организационных единиц.
Организационная единица — минимальная структурная единица, которой можно назначить собственную групповую политику, т. е. определить разрешения на доступ к ней (и подчиненным OU), конфигурационные настройки и т. п. Однако OU не является структурным элементом безопасности (т. е. нельзя, скажем, назначить подразделению некоторые права доступа к определенному объекту), а служит только для группирования объектов каталога. Для назначения полномочий и разрешений доступа к ресурсам следует применять группы безопасности (security groups).
Примечание: Параметры безопасности групповой политики, назначенной некоторому подразделению, позволяют "сужать" область действия этой политики. Предположим, например, что в подразделении имеется несколько групп безопасности. По умолчанию групповая политика распространяется на всех членов подразделения. Однако можно сделать так, что эта политика будет действовать только на определенную группу (группы) и игнорироваться остальными группами подразделения. Подробнее об этом рассказано в главе 27.
Вот рекомендации по выбору решения (организовать ли в сети несколько доменов или делить её на организационные единицы):
- Создавайте несколько доменов, если в организации действует децентрализованное управление, при котором пользователями и ресурсами управляют совершенно независимые администраторы.
- Создавайте несколько доменов, если части сети связаны медленным каналом и совершенно нежелательна полная репликация по этому каналу (если репликация возможна хотя бы иногда, то лучше создавать один домен с несколькими сайтами).
- Разбивайте домен на организационные единицы, чтобы отразить в них структуру организации.
- Разбивайте домен на организационные единицы, если нужно делегировать управление над ограниченными, небольшими группами пользователей и ресурсов; при этом можно делегировать все права администрирования или только некоторые.
- Разбивайте домен на организационные единицы, если их структура соответствует будущим изменениям в организации (компании). Домены же, по возможности, нужно конфигурировать так, чтобы перемещать или делить их приходилось как можно реже.
Двухуровневая иерархия — доменов в дереве доменов и организационных единиц в домене — обеспечивает гибкость администрирования, которое может быть и централизованным, и децентрализованным, и смешанным.