OU— ключевой компонент протокола Х.500. Подразделением (organizational unit, OU) называется контейнер, способствующий систематизации объектов домена в рамках логических административных групп.
Подразделения, или организационные единицы (organizational unit) представляют собой объекты каталога контейнерного типа, посредством которых администратор может организовать объекты в соответствии с некоторой логической структурой вычислительной сети. Основное предназначение подразделений состоит в логической организации сетевых ресурсов с целью наиболее эффективного управления ими. Все объекты, размешенные внутри подразделения, рассматриваются как некоторый административный блок.
Рассмотрим задачи, для решения которых могут быть применены организационные единицы.
ü Формирование административной иерархии. Механизм подразделений наряду с доменами может быть использован как средство формирования административной иерархии сети. Администраторы уровня корпорации принимают глобальные решения в рамках всего леса доменов. Администраторы доменов осуществляют управление доменами. При этом они передают (делегируют) определенным пользователям часть своих полномочий на уровне подразделений — это полномочия на управление объектами, расположенными внутри этих подразделений. При этом пользователи, которым делегированы административные полномочия, могут реализовать их исключительно внутри своего подразделения.
ü Отражение организационной структуры предприятия. Подразделения OU можно использовать для организации объектов каталога AD в соответствии с их географическим расположением или с принадлежностью к некоторому структурному подразделению предприятия. Например, реализовав вычислительную сеть университета в виде домена, можно создать для каждого факультета свое подразделение. Для кафедр, имеющихся на каждом факультете, можно также создать свои подразделения.
ü Управление процессом применения групповых политик. Групповые политики могут быть применены на трех уровнях: на уровне домена, на уровне сайта и на уровне подразделений. Если необходимо в рамках одного домена реализовать несколько различных групповых политик, можно использовать иерархию подразделений.
ü Распределение ответственности. Администратор может разместить объекты одного класса в отдельных подразделениях. Такой шаг позволяет распределить обязанности по управлению домена между администраторами низшего звена. Например, один из них ответственен за управление пользователями, второй - за управление компьютерами, третий же осуществляет публикацию принтеров.
ü Управление доступом к объектам. Администратор может назначать права доступа к подразделениям. Соответственно, администратор может управлять уровнем доступа к объектам каталога, поместив их внутрь подразделения и предоставив определенным категориям пользователей соответствующие разрешения на доступ к его содержимому. Например, администратор помещает объекты, ассоциированные с информацией о контакте, внутрь подразделения, доступ к которой имеют только менеджеры отдела продаж и руководители компании.
Организационные единицы могут быть вложены друг в друга, образуя иерархию, которая совпадает со структурой вашего предприятия или организации. С помощью Active Directory вы можете создать один большой домен и группу ресурсов и пользователей в нескольких отдельных организационных единицах. OU позволяют вам делегировать полномочия. Вы можете назначить определенным пользователям или группам права административного контроля организационной единицы, которые позволяют им изменять пароли и создавать учетные записи в этой организационной единице, но не предоставлять им права на управление остальной частью домена. Эта возможность представляет собой основное усовершенствование по сравнению с администрированием доменов в Windows NT.
Среди объектов, которые могут содержаться в подразделениях, следует упомянуть учетные записи пользователей, группы, компьютеры, принтеры, приложении, общие папки, а также другие вложенные подразделения, относящиеся к локальному домену. Графически подразделения обозначаются пиктограммой папки с книгой. При установке Active Directory на новые контроллеры домена Microsoft Windows Server 2003 автоматически создастся подразделение Контроллеры домена (Domain Controllers). В результате дополнения одних подразделений другими формируется иерархическая структура, а называется этот процесс вложением подразделений.
Существует три основных задачи, руководствуясь которыми администраторы создают подразделения:
§ делегирование административных полномочий;
§ администрирование групповых политик;
§ сокрытие объектов.
Группы
Подразделения являются наиболее крупными объектами AD, но это не единственный механизм, который администратор может использовать для группировки объектов по некоторому признаку.
Пользователей, потребности которых в ресурсах сети примерно одинаковы, естественно объединять в группы. Например, обычно сотрудникам одного подразделения требуются для работы одни и те же папки, принтеры и одинаково ограниченный (или неограниченный) доступ к Интернету.
В этом случае доступ к ресурсам нужно предоставить не отдельным пользователям, а доменным группам.
Говоря более строго:
Объекты, ассоциированные с пользователями, компьютерами и контактной информацией, могут быть объединены в специальные группы (groups). Это позволяет упростить процесс управления, поскольку администратор может в процессе управления сослаться на всю группу, а не указывать отдельные объекты.
При создании группы в Active Directory системный администратор выбирает:
Ø Первое - области действия группы (локальная доменная, глобальная или универсальная область действия).
Ø Второе тип группы (группа безопасности или группа распространения).
Группы безопасности используются для назначения разрешений на доступ к ресурсам определенной совокупности пользователей. Как и объекты-пользователи в Active Directory, с каждым объектом-группой безопасности связан уникальный код безопасности (Security ID, SID). Active Directory использует уникальность кода безопасности для применения параметров безопасности к ресурсам в домене. Так как код безопасности уникален, то, если вы просто удалите группу А и смените имя группы В на А, не следует ожидать, что у этой переименованной группы будут такие же параметры безопасности, как у первоначальной группы А.
Группа безопасности - основной тип группы, используемый администраторами при управлении.
Группы распространения являются объектами-группами, назначение которых заключается в том, чтобы се члены могли получать почтовые сообщения Simple Mail Transfer Protocol (SMTP), а также осуществлять LDAP-поиск в Active Directory, например поиск адресов.
Почтовая группа. С выходом Exchange 2000 появилась новая концепция - почтовая группа, которая сочетает в себе концепции групп безопасности и групп распространения.
При работе домена в основном режиме Windows 2000 или выше существует возможность сменить тип группы с группы распространения на группу безопасности и наоборот.