Что такое подразделение organization unit
Что такое подразделение organization unit
Всем доброго времени суток, продолжаем наши уроки системного администрирования. Продолжим сегодня разбираться в основных объектах Active Directory. После того, как мы разобрались с планированием Active Directory, первое что нужно создать, это структуру организационных подразделений (OU). Делается это для того, чтобы системный администратор, мог делегировать права на отдельные группы объектов, объединенных по каким-то критериям, применять групповые политики, по тем же соображениям. Если вы организуете себе удобную иерархию, то у вас все будет в AD просто лафа, которая вам сэкономит много времени.
Я создам у себя в AD, структуру такого плана:
Ну собственно начнем. Открываем Пуск-Администирование-ADUC
Администрирование Active Directory-1 часть. Создание контейнера при помощи оснастки ADUC.-01
Дальше правым кликом по имени нашего домена, выбрать меню Создать-Подразделение или нажать иконку сверху.
Администрирование Active Directory-1 часть. Создание контейнера при помощи оснастки ADUC.-02
Вводим название OU, в моем случае Город. Дальше подобным образом создаем нужное вам количество OU в нужной вам иерархии.
Администрирование Active Directory-1 часть. Создание контейнера при помощи оснастки ADUC.-03
У меня это выглядит вот так. Есть несколько городов, которые содержат в себе дополнительные организационные подразделения:
Администрирование Active Directory-1 часть. Создание контейнера при помощи оснастки ADUC.-04
Если вы вдруг создали лишний OU или не в том месте, можете попробовать ее удалить или перенести, делается это правым кликом удалить или крестик сверху. Но увидите что от удаления OU защищен.
Администрирование Active Directory-1 часть. Создание контейнера при помощи оснастки ADUC.-05
Администрирование Active Directory-1 часть. Создание контейнера при помощи оснастки ADUC.-06
Для того чтобы, это поправить и у вас был в Active Directory порядок, идем меню «Вид-Дополнительные компоненты».
Администрирование Active Directory-1 часть. Создание контейнера при помощи оснастки ADUC.-07
Теперь кликаем правым кликом по нужному OU и выбираем свойства.
Администрирование Active Directory-1 часть. Создание контейнера при помощи оснастки ADUC.-08
Переходим на вкладку «Объект», и видим эту галочку, которая защищает OU. Сняв ее можно проводить манипуляции, совет как сделаете, что нужно поставьте галчку обратно.
Администрирование Active Directory-1 часть. Создание контейнера при помощи оснастки ADUC.-09
Как видите компания Microsoft сделала процесс создания объектов в Active Directory, очень тривиальным, так как многие вещи, системный администратор просто делегирует, например, на отдел кадров, которые заводят учетные записи. Если остались вопросы, то пишите их в комментариях, рад буду пообщаться.
Управление организационными подразделениями (OU) в домене Active Directory
Организационное подразделение (Organizational Unit — OU) представляет собой контейнер в домене Active Directory, который может содержать различные объекты из того же самого домена AD: другие контейнеры, группы, аккаунты пользователей и компьютеров. OU представляет собой единицу административного управления внутри домена, на который администратор может назначить объекты групповых политик и назначить разрешения другим пользователем.
Таким образом, выделим две основные задачи использования OU кроме хранения объектов Active Directory
Как создать Organizational Unit с помощью консоли ADUC
Для создания Organizational Unit ваша учетная запись должна обладать правами Domain Admins, или ей должны быть делегированы полномочия на создание новый OU (во всем домене или конкретном контейнере).
По умолчанию все создаваемые Organizational Unit защищены от случайного удаления.
Если вы откроете свойства созданного OU, вы увидите что на вкладке Object включена опция «Protect object from accidental deletion». Чтобы вы могли удалить данный OU, нужно снять данный чекбокс. При удалении OU удаляются все другие объекты, которое содержатся в контейнере.
Структура OU в Active Directory
В небольших инфраструктурах AD (20-50 пользователей) необязательно создавать новые OU, можно все складывать в дефолтные контейнеры в корне (Users и Computer). В большой инфраструктуре желательно разделить все объекты на разные контейнеры. В основном используется иерархический дизайн Organizational Unit в AD, по географическому или функциональному принципу.
К примеру, у вашей организация имеются подразделения в разный странах и городах. Было бы логично на верхнем уровне домена создать отдельные контейнеры для каждой страны, а внутри страны отдельные контейнеры для города / региона / области. Внутри последних можно создать отдельные контейнеры для администраторов, групп, компьютеров, серверов и пользователей (см скриншот). При необходимости вы можете добавить дополнительные уровни иерархии (здания, отделы и т.д.). С такой иерархией вы сможете гибко делегировать полномочия в AD и назначать групповые политики.
Как создать OU с помощью PowerShell
Ранее для создания OU в AD можно было использовать консольную утилиту dsadd. Например, для создания OU в домене можно выполнить такую команду:
dsadd ou “ou=Kazahstan,dc=vmblog,dc=ru”
В Windows Server 2008 R2 появился отдельный модуль для работы с AD: Active Directory module для Windows PowerShell (входит в состав RSAT). Для создания Organizational Unit можно использовать командлет New-ADOrganizationalUnit. Например, создадим новый OU с именем Belarus в корне домена:
Чтобы создать новый OU в существующем контейнере, выполните команду:
Как делегировать полномочия на OU
При делегировании полномочия на OU другим пользователям желательно предоставлять права не непосредственно учетным записям пользователям, а административным группам. Таким образом, чтобы предоставить права на OU новому пользователю достаточно добавить его в предварительно созданную доменную группу.
Для делегирования щелкните ПКМ по OU и выберите пункт Delegate Control.
В мастере делегирования управления выберите группу пользователей, которым нужно предоставить доступ.
Затем выберите задачи администрирования, которые нужно делегировать.
В данном примере мы делегировали членам группы AccountOperators полномочия на смену паролей всех пользователей в контейнере Belarus.
Описание Active Directory
Active Directory содержит иерархическую структуру для администратора, позволяющую организовывать объекты в его домене. Должное планирование структуры этого каталога позволяет администратору упростить делегирование администрирования и облегчить управление настольными системами.
Структура Active Directory
Оснастка Active Directory Users and Computers
Организационные единицы
Администратор может также создавать организационные единицы (OU). Обычно OU создаются для упрощения административного управления доменом. Для создания OU выполните следующие шаги.
Вы можете создавать вложенные OU, помещая их внутри этой OU, но обычно при создании структуры OU не рекомендуется создавать более 5 уровней вложенности.
Контейнеры
Контейнеры создаются системой Windows Server 2003 по различным причинам. По умолчанию создаются следующие контейнеры.
Если выбрать View/Advanced Features (Вид/Дополнительно) в Active Directory Users and Computers, то вы увидите следующие дополнительные контейнеры.
Объекты Active Directory
Еще одним элементом, содержащимся в Active Directory, являются объекты. Объекты размещаются внутри организационных единиц и контейнеров Active Directory. Вы можете помещать объекты в определенной OU и определять групповую политику по этой OU, чтобы упрощать задачи администрирования или управлять компьютерной средой. К примерам объектов можно отнести принтеры, пользовательские учетные записи, компьютерные учетные записи и группы безопасности.
LDAP и Active Directory
Отличительные имена
Ниже приводится пример того, как выглядит DN для организационной единицы Domain Controllers в Active Directory для вымышленного домена company.com:
Так что же описывает это DN? Глядя на него, вы можете сказать, что организационная единица Domain Controllers находится в домене company.com.
В качестве еще одно примера предположим, что у вас имеется структура OU Sales в домене company.com. Внутри OU Sales находится еще одна OU с именем West. Внутри OU West у вас имеется учетная запись с именем Mary Smith. Для доступа к этой учетной записи используется следующее DN:
Как видно из этих примеров, описание DN дается снизу вверх по пути в Active Directory, начиная с объекта и вплоть до корня домена.
Относительные отличительные имена
Относительное отличительное имя (relative distinguished name) в пути LDAP содержит информацию об объекте Active Directory в контексте текущего рассматриваемого пути. Если взять предыдущий пример получения объекта с помощью отличительного имени (DN) для пользовательской учетной записи Mary Smith, то DN описывалось как
Относительное отличительное имя для этого объекта
Создание подразделения в управляемом домене доменных служб Azure Active Directory
Подразделения (OU) в управляемом домене доменных служб Active Directory (AD DS) позволяют логически группировать такие объекты, как учетные записи пользователей, служб или компьютеров. Затем можно назначить администраторов определенным подразделениям и применить групповую политику, чтобы использовать необходимые параметры конфигурации.
Управляемые домены Azure AD DS включают следующие два подразделения:
При создании и запуске рабочих нагрузок, использующих Azure AD DS, может потребоваться создать учетные записи служб для приложений, чтобы они могли самостоятельно проходить проверку подлинности. Для организации этих учетных записей служб часто создается пользовательское подразделение в управляемом домене, а затем создаются учетные записи служб в этом подразделении.
В гибридной среде подразделения, созданные в локальной среде AD DS, не синхронизируются с управляемым доменом. Управляемые домены используют плоскую структуру подразделений. Все учетные записи пользователей и группы хранятся в контейнере Пользователей AADDC, хотя их синхронизация выполняется из разных локальных доменов или лесов, даже когда иерархическая структура подразделений настроена локально.
В этой статье демонстрируется создание подразделения в управляемом домене.
Перед началом
Для работы с этой статьей требуются следующие ресурсы и разрешения:
Рекомендации и ограничения для пользовательских подразделений
Создание пользовательских подразделений в управляемом домене обеспечивает дополнительную гибкость управления пользователями и применением групповых политик. По сравнению с локальной средой AD DS, существуют некоторые ограничения и рекомендации при создании и управлении пользовательской структурой подразделений в управляемом домене.
Создайте пользовательское подразделение
Для создания пользовательского подразделения используйте средства администрирования Active Directory на виртуальной машине, подключенной к домену. Центр администрирования Active Directory позволяет просматривать, изменять и создавать ресурсы в управляемом домене, включая подразделения.
Чтобы создать пользовательское подразделение в управляемом домене, необходимо войти в учетную запись пользователя, принадлежащую к группе Администраторы контроллера домена AAD.
Войдите на виртуальную машину управления. Инструкции по подключению с помощью портала Microsoft Azure см. в статье Подключение к виртуальной машине Windows Server.
На начальном экране выберите Администрирование. Отобразится список доступных средств управления, установка которых описана в руководстве по созданию виртуальной машины управления.
Чтобы создать и настроить подразделение, выберите Центр администрирования Active Directory в списке средств администрирования.
Выберите нужный управляемый домен, например aaddscontoso.com. Отобразится список существующих подразделений и ресурсов.
Область Задачи отображается в правой части Центра администрирования Active Directory. В разделе домена, например aaddscontoso.com, выберите Создать > Подразделение.
В диалоговом окне Создание подразделения укажите Имя нового подразделения, например, MyCustomOu. Укажите краткое описание подразделения, например Пользовательское подразделение для учетных записей служб. При необходимости можно также заполнить поле Управляется для подразделения. Нажмите кнопку ОК, чтобы создать пользовательское подразделение.
Теперь в Центре администрирования Active Directory пользовательское подразделение отображается и доступно для использования:
Дальнейшие действия
Дополнительные сведения об использовании средств администрирования или создании и использовании учетных записей служб см. в следующих статьях:
Как управлять OU в Active Directory
Организационная единица или, как обозначено в русской версии Windows server, подразделение (Organizational Unit) — это субконтейнер в Active Directory, в который можно помещать пользователей, группы, компьютеры и другие объекты AD. Подразделения (OU) управляются администраторами домена. Вы также можете настроить делегирование управления над подразделением с помощью мастера делегирования управления. OU могут быть вложенными, и к ним можно применять групповые политики.
Создание подразделения (OU)
OU можно создать с помощью Active Directory Administrative Center (ADAC), Active Directory Users and Computers (ADUC), командной строки и PowerShell.
Создание подразделения с помощью Active Directory Administrative Center
Давайте создадим подразделение с помощью ADAC:
Запустите Active Directory Administrative Center (dsac.exe).
Переключитесь в режим просмотра дерева и разверните домен или подразделение, в котором вы хотите разместить новое.
Щелкните правой кнопкой мыши на OU или домен, выберите «New. », а затем выберите Organizational Unit.
Появится окно создания подразделения:
Введите имя OU и нажмите OK, чтобы его создать.
Создание подразделения с помощью командной строки
Чтобы создать OU с помощью cmd, запустите dsadd.exe со следующими параметрами:
Эта строчка создаст TestOU в домене с описанием «TestOU».
Создание подразделения с помощью Windows PowerShell
Для создания нового подразделения с помощью PowerShell нам нужно использовать команду New-ADOrganizationalUnit. Запустите PowerShell от имени администратора и введите следующее:
Эта строчка создаст TestOU в домене с описанием «TestOU».
Удаление подразделения AD
Подразделения по умолчанию защищены от случайного удаления. Чтобы удалить его, нам нужно снять флажок Protected from Accidental Deletion в свойствах.
Удаление подразделения с помощью Active Directory Administrative Center
Откройте Active Directory Administrative Center (dsac.exe).
Переключитесь в режим просмотра дерева, разверните свой домен и найдите OU, которое вы хотите удалить. Щелкните OU правой кнопкой мыши и выберите “Delete”.
Появится окно подтверждение удаления:
Нажмите Yes для подтверждения. Если OU содержит дочерние объекты, нажмите еще раз.
Удаление подразделения с помощью командной строки
Для удаления OU с помощью командной строки необходимо использовать инструмент dsrm.exe в cmd, запущенном от имени администратора, со следующим синтаксисом:
Эта строчка полностью удалит OU с любыми объектами внутри.
Удаление подразделения с помощью Windows PowerShell
Для удаления подразделения нам нужно использовать команду New-ADOrganizationalUnit в PowerShell запущенном от имени администратора:
Эта строчка полностью удалит OU TestOU со всеми существующими в ней объектами.
Изменение подразделения AD
Иногда вам нужно изменить OU. Вот как это сделать тремя различными способами.
Изменение подразделения с помощью Active Directory Administrative Center
Откройте Active Directory Administrative Center (dsac.exe). Переключитесь в режим просмотра дерева и найдите OU, которую вам нужно изменить.
Щелкните на нем правой кнопкой мыши и выберите «Properties:«. Измените свойства, которые вам нужны. Например, вы можете изменить описание или добавить менеджера.
Снимите флажок с параметра «Защищен от случайного удаления» и нажмите OK.
Изменение подразделения с помощью командной строки
Для того чтобы изменить OU, необходимо использовать dsmod.exe в cmd от имени администратора. Но в этом случае вы можете изменить только описание.
Здесь мы назначаем » New Description » для TestOU.
Изменение подразделения с помощью Windows PowerShell
Команда Set-ADOrganizationalUnit используется для изменения OU. Она очень мощная, в отличие от dsmod.exe. Вы можете легко изменить множество параметров OU, таких как DistinguishedName, LinkedGroupPolicyObjects или ManagedBy. Вот пример того, как изменить параметр ManagedBy в OU: