Проектирования скруктуры OUs

Сама структура Active Directory практически не изменилась, с того момента как была представлена в 2000 году. Не подверглось изменению и понятие “Организационная единица” (OU) в структуре AD.  Многие организации игнорируют и не уделяют большое внимание структуре OU, чтобы более эффективно управлять AD, повысить простоту управления. Давайте разберемся с дизайном OU, как это работает, и зачем нам вообще это нужно.

Сразу хочу сказать,  все что  тут изложено – мое личное мнение, и не претендует быть эталоном  и примером для подражания :) 

Что такое OU?

OU является объектом Active Directory, и используется для размещения других объектов, которые создаются и содержатся в инфраструктуре Active Directory. OU отличаются от Контейнеров, которые также являются неотъемлемой частью AD, тем  что с OU можно связать Объект Групповой Политики (GPO), а для Контейнера этого сделать нельзя. Казалось бы, что это мелочь – но это очень важная мелочь! Вот перечень Контейнеров:

• Computers
• Users
• Builtin

В основном OU используются для размещения таких объектов:

• User accounts
• Group accounts
• Computers

Можно конечно создать в контейнере  общие папки и принтеры, но пользы от таких объектов в AD мало.

OU по умолчанию

При первоначальной установки AD, создается только  одна OU. Default Domain Controllers  - является единственной OU по умолчанию которая создается, и предназначено доя размещения и управления контроллеров домена. Администратор домена может создавать неограниченное количество OU. Но со временем, слишком большое количество OU может затруднить управления ними.

Для чего создавать OU. Причина №1

Первая причина для создания OU – это управление объектами такими как: Учетные записи пользователей, Группы пользователей.  Меньше конечно требуется для управление объектов “Computer” (я имею ввиду  атрибуты AD). Примеры управления которые можно предоставить для Учетных записей и Групп пользователей:

• Users - создание, удаление, изменение свойств пользователя
• Groups - создание, удаление, изменение членства в группе

При использовании OU для раздачи определенных прав на объект, который расположен внутри – называется делегированием. Существует специальный мастер  для делегирования прав объектов, а также можно напрямую раздать права на OU. Но хочется отметить, что последний способ не самый лучший.

Рисунок 1: Мастер делегирования для OU.

Для чего создавать OU. Причина №2

Вторая причина для создания OU является развертывание объекта GPO. Когда объект групповой политики связан с OU, параметры объекта групповой политики применяются только к объектам в этом подразделении и к объектам которые расположены в дочерних подразделениях. Это позволяет легко и эффективно распространять групповые политики только для пользователей и компьютеров, которые нуждаются в настройках.Объекты групповой политики могут быть связаны с доменом и сайтами Active Directory, но тогда  труднее управлять и конфигурировать GPO. Более эффективно управлять и распространять GPO используя как раз OU.

Планирование структуры подразделений

Прежде чем начать планирование OU, приходится обговаривать много деталей. Намного легче планировать структуру подразделений с чистого листа, чем реорганизовать уже существующую структуру. Но реалии таковы, что мы часто перепроектируем структуру AD, вместо того чтобы продумать ее перед развёртыванием.
Что же следует учесть проектируя структуру подразделений:

• кто будет участвовать в управлении учетными записями пользователей, группами, рабочими станциями?
• будут ли все, кто отвечает за управление пользователями, группами и компьютерами иметь полный доступ ко всем объектами или только часть объектов?
• какие учетные записи должны иметь одинаковые настройки и учетные записи пользователей, у которых должны быть разные настройки?
  • эти параметры нужно разделить на категории, согласно требований для вашей организации. Категории могут включать в себя: подключение сетевых дисков,  настройки безопасности, настройки IE, настройки приложения и т.д.
• какие учетные записи компьютеров должны иметь одинаковые настройки и  учетные записи компьютеров с разными настройками?
• прежде всего нужно отделить сервера от настольных компьютеров
• категории десктопов могут быть: IT, Руководители, Разработчики, Финансы, HR, HelpDesk и др.
• категории на которые можно разделить сервера: DCs, SQL, Web, Intranet, Финансы, HR, и т.д.

Сколько нам нужно OUs?

На этот вопрос никто не даст однозначного ответа. Все зависит от того как вы собираетесь управлять объектами AD, делегировать управление и распространять GPO.

И того…

OUs для AD просто необходимы. Без использования OUs решать вопросы связанные с управлением,  устранением неисправностей, намного сложнее. Постарайтесь не думать над дизайном, а логически подумайте, как вы хотите делегировать и как вы хотите развернуть объекты групповой политики. Не забывайте, что некоторые параметры объекта групповой политики (Group Policy Preferences ) позволяют связывать объект групповой политики в зависимости от ряда условий, при этом повышая эффективность применения групповой политики.