6 votos

Cuando lo que realmente necesita una unidad organizativa de Active Directory?

Tengo que dar permisos a un usuario en Windows Server 2003 Active Directory que solo estará activo en un determinado grupo de usuarios. La idea inicial era tener a una unidad organizativa que le permita a ese usuario en particular ciertos derechos (creación de usuarios, restablecer contraseña, para agregar usuarios a grupos, etc.). Sin embargo, después de leer más en las cosas, no estoy seguro de si una unidad organizativa es necesaria o no, y realmente no estoy seguro de cuando una unidad organizativa vez sería necesario. Esta es la que me molesta y me gustaría entender mejor el propósito de OU antes de que el uso o no-uso de ellos.

He buscado en la web un poco y los resultados varían según el vago "el Uso de unidades organizativas para organizar AD" a algo específico "Agregar una unidad organizativa a un dominio si en un grupo de necesidades administrativa especial de acceso a un segmento de usuarios." En este punto, el último parece ser el más apropiado en este caso. Técnicamente hablando, usted sólo puede usar el Asistente para Delegación de Control en una unidad organizativa. Sin embargo, yo no veo nada me impide asignar manualmente los permisos de forma individual a un grupo de dominio y eficacia que tenga la misma cosa. Lo que me estoy perdiendo aquí? Gracias.

11voto

Izzy Puntos 7322

Las unidades organizativas son utilizados para organizar los objetos en Active Directory. Un ejemplo típico sería el siguiente:

myDomain.loc
├─Users
├─Servers
│ ├Domain Controllers
│ └Member Servers
└─Workstations
  ├New York
  ├London
  └Brisbane

Esto hace que sea más fácil diferenciar los objetos en el dominio visualmente, en lugar de tener que confiar en la memoria o cavar a su alrededor. El uso de esta estructura también se puede aplicar políticas de contenedores específicos. Usted podría tener un general de Internet Explorer política que se aplica a las Estaciones de trabajo OU por lo tanto se aplica a todos los objetos secundarios en el árbol. A continuación, puede establecer específicos de la configuración de Internet Explorer a la sub-unidades Organizativas (por ejemplo, las diferentes políticas que establezca la Página principal de internet explorer para Londres estaciones de trabajo, otro de los conjuntos diferentes de página de inicio para el new York estaciones de trabajo, etc.)

En el ejemplo concreto que parece que desea delegar el control de AD para un grupo de usuarios. En este caso, el método correcto es crear un nuevo grupo de seguridad y hacer que todos los usuarios de un miembro de ese grupo. A continuación, abra Usuarios y Equipos de AD, haga clic en la unidad organizativa desea que los usuarios/grupo de control, y seleccione Delegar el Control.

Ahora... si usted organizar su ANUNCIO correctamente, usted puede tener un control exhaustivo sobre lo que usted quiere que un grupo de usuarios tienen control sobre. Por ejemplo, se podría crear un grupo llamado NewYork-Administradores, y el delegado de control para que el grupo de Nueva York en las estaciones de trabajo, en lugar de todas las estaciones de trabajo.

Un ideal de ANUNCIOS de la estructura para este tipo de delegación sería una estructura como silimar a la siguiente:

myDomain.loc
├─Domain Controllers
├─Special Users
└─Locations
  ├─New York
  │ ├─Users
  │ ├─Workstations
  │ ├─Servers
  │ ├─Contacts
  │ ├─Servers
  │ └─Groups
  ├─London
  │ ├─Users
  │ ├─Workstations
  │ ├─Servers
  │ ├─Contacts
  │ ├─Servers
  │ └─Groups
  └─Brisbane
    ├─Users
    ├─Workstations
    ├─Servers
    ├─Contacts
    ├─Servers
    └─Groups

Esto le permite delegar el control a los objetos de active directory en un muy granular.

2voto

BlankVerse Puntos 85

En general, las unidades Organizativas son utilizados para:

  • Para mantener las cosas limpias y estructuradas. Sus usuarios se mantienen alejados de los grupos, los grupos se mantienen lejos de las computadoras, los objetos en el sitio se mantiene alejado de los objetos en el sitio B, y así sucesivamente.

  • Delegación de control. Sólo se necesita realmente si usted tiene múltiples niveles de acceso o varios sitios con diferentes administradores en cada uno. Aún así me gustaría planificar con anticipación y preparar las cosas para habilitar todos modos.

  • Las directivas de grupo. No es totalmente necesario como política de aplicación puede ser administrado a través de cualquiera de los permisos o filtros WMI, pero al mismo tiempo ayuda a saber que si un usuario está en OU X se obtiene de la política de Y.

Tenga en cuenta que en el anterior, usted no puede aplicar un GPO a un contenedor, por lo que si usted no crear unidades Organizativas que usted tendrá que poner todo de su Gpo en la parte superior (Dominio) de nivel y filtro de ellos el uso de WMI o de seguridad. Es más fácil para usted y para todos los demás solo usar unidades Organizativas excepto si usted tiene un escenario donde las políticas específicas que desea/necesita no se puede hacer (o se puede hacer, pero están desordenados) el uso de una unidad organizativa modelo.

Aparte de la obvia de requisitos técnicos en mis 2 últimos puntos, creo que mantener las cosas limpias y ordenadas, es razón suficiente. Es más fácil encontrar el objeto que usted desea fuera de una lista de 100 que se fuera de una lista de 1500, por ejemplo. También separa los objetos que cree (usuarios, equipos y grupos, en su mayoría) de builtin objetos, lo que puede ayudar a evitar desagradables accidentes ("OK, que eliminan la cuenta de Administrador?").

0voto

Matt Simmons Puntos 16275

He creado dos unidades Organizativas, uno para almacenar los "Empleados", y el otro para almacenar los clientes que necesitan para autenticar a nuestros servidores de FTP.

La razón por la que he utilizado Ou es que algunos de mis dispositivos pueden autenticar contra LDAP, pero no (parece?) reconocer la pertenencia de grupo único. También, se "siente" mejor para acordonar las cuentas externas. Si yo tuviera una mayor infraestructura con más clientes, habría creado su propio dominio para ellos.

EnMiMaquinaFunciona.com

EnMiMaquinaFunciona es una comunidad de administradores de sistemas en la que puedes resolver tus problemas y dudas.
Puedes consultar las preguntas de otros sysadmin, hacer tus propias preguntas o resolver las de los demás.

Powered by: