|
Планирование
организационных единиц (подразделений)
Организационные единицы (OU), или
подразделения, могут содержать пользователей, группы, компьютеры, принтеры и
общие папки, а также другие
OU.
OU — это
минимальная
"единица" администрирования, права управления которой
можно делегировать некоторому пользователю или группе. С помощью OU можно обеспечить
локальное
администрирование пользователей (создание, модификация и удаление
учетных записей) или ресурсов.
|
|
Примечание
|
|
|
Организационные единицы и
подразделения — это термины-синонимы; мы будет чаще использовать понятие
организационная единица,
говоря о
структуре
каталога Active
Directory и его дереве, и
подразделение —
когда речь идет об
администрировании
Active Directory, делегировании управления
и т. п.
|
В каталоге Active Directory организационные
единицы представляют собой объекты типа "контейнер" и отображаются в окне оснастки
Active Directory — пользователи и компьютеры
(Active Directory Users
and Computers) как папки. Их основное назначение — группирование объектов каталога
с целью передачи административных функций отдельным пользователям.
Дерево OU может отображать реальную
структуру организации — административную, функциональную и т. п. При этом учитываются
иерархия полномочий ответственных работников и необходимые функции управления.
Каждый доменов дереве или лесе может иметь свою, совершенно независящую от других
структуру организационных единиц.
Организационная единица — минимальная
структурная единица, которой можно назначить собственную групповую политику,
т. е. определить разрешения на доступ к ней (и подчиненным OU), конфигурационные
настройки и т. п. Однако OU не является структурным элементом безопасности (т.
е. нельзя, скажем, назначить подразделению некоторые права доступа к определенному
объекту), а служит только для группирования объектов каталога. Для назначения
полномочий и разрешений доступа к ресурсам следует применять
группы безопасности
(security groups).
|
|
Примечание
|
|
|
Параметры безопасности групповой
политики, назначенной некоторому подразделению, позволяют "сужать" область
действия этой политики. Предположим, например, что в подразделении имеется
несколько групп безопасности. По умолчанию групповая политика распространяется
на всех членов подразделения. Однако можно сделать так, что эта политика
будет действовать только на определенную группу (группы) и игнорироваться
остальными группами подразделения. Подробнее об этом рассказано в главе
27.
|
Вот рекомендации по выбору решения
(организовать ли в сети несколько доменов или делить её на организационные единицы):
|
|
Создавайте несколько доменов,
если в организации действует децентрализованное управление, при котором
пользователями и ресурсами управляют совершенно независимые администраторы.
|
|
|
Создавайте несколько доменов,
если части сети связаны медленным каналом и совершенно нежелательна полная
репликация по этому каналу (если репликация возможна хотя бы иногда, то
лучше создавать один домен с несколькими сайтами).
|
|
|
Разбивайте домен на организационные
единицы, чтобы отразить в них структуру организации.
|
|
|
Разбивайте домен на организационные
единицы, если нужно делегировать управление над ограниченными, небольшими
группами пользователей и ресурсов; при этом можно делегировать
все
права
администрирования или только
некоторые.
|
|
|
Разбивайте домен на организационные
единицы, если их структура соответствует
будущим
изменениям в организации
(компании). Домены же, по возможности, нужно конфигурировать так, чтобы
перемещать или делить их приходилось как можно реже.
|
Двухуровневая иерархия — доменов
в дереве доменов и организационных единиц в домене — обеспечивает гибкость администрирования,
которое может быть и централизованным, и децентрализованным, и смешанным.
|
