Vytváranie Organizačných jednotiek (OU)

Organizačná jednotka (Organizational Unit – OU) je obzvlášť užitočný typ objektu v doméne. Môžete ho použiť sa na organizáciu stoviek tisícov objektov v adresári do jednoducho spravovaných jednotiek. OU zoskupuje a organizuje objekty pre účely administrácie ako je napríklad delegovanie administratívnych práv a pridelenie politík kolekcii objektov práve tak ako jednému objektu.

Pomocou OU môžete:

  • organizovať objekty v doméne. OU obsahujú objekty domény, ako napríklad účty užívateľov a počítačov, skupiny. Zdieľané súbory a tlačiarne, ktoré sú publikované v AD sa taktiež nachádzajú v OU.
  • delegovanie administratívneho riadenia. Môžete priradiť úplné administratívne riadenie (ako napríklad oprávnenie Full Control) všetkým objektom v OU, alebo limitované administratívne riadenie (ako napríklad modifikovanie e-mailu) užívateľským objektom v OU. Pre delegovanie administratívneho riadenia pridelíte špecifické oprávnenia na OU a objekty ktoré sú v ňom obsiahnuté.
  • zjednodušenie správy zdrojov. Pomocou OU môžete vytvárať kontajnery v doméne, ktoré budú reprezentovať hierarchickú alebo logickú štruktúru vašej organizácie. Následne použijete nastavenia Group Policy na správu konfigurácie nastavení užívateľov a počítačov na základe vášho organizačného modelu.

Hierarchický model OU

Ako systémový administrátor nebudete navrhovať organizačnú štruktúru vašej organizácie. Je však dôležité poznať charakteristiku a vetvenie každej štruktúry. Tieto znalosti môžu byť kritické pri vykonávaní administratívnych úloh v štruktúre AD. Jestvujú štyri základné hierarchické modely:

Funkčne orientovaná hierarchia

Je založená na na obchodných funkciách organizácie bez ohľadu na geografické umiestnenie, úseky alebo divízie. Túto cestu si vyberiete ak IT funkcia nie je založená na umiestnení alebo organizácii.
Pokiaľ sa rozhodujete, či máte použiť túto hierarchiu, berte do úvahy nasledovné charakteristiky tohto návrhu:

  • nie je ovplyvnený reorganizáciou. Pokiaľ dôjde k reorganizácii firmy, táto nemá vplyv na štruktúru.
  • môže vyžadovať ďalšie vrstvy. Môže byť nutné vytvárať ďalšie vrstvy v hierarchii OU pre zjednodušenie administrácie užívateľov, tlačiarní, serverov a sieťových zdieľaní.

Táto štruktúra je vhodná iba v malých organizáciách, pretože funkčné úseky v stredných a veľkých organizáciách sú často odlišné a nemôžu byť efektívne zoskupené do jasne definovaných kategórií.

Organizačne orientovaná hierarchia

Je založená na oddeleniach alebo divíziách v organizácii. Ak je štruktúra AD organizovaná tak, že zohľadňuje organizačnú štruktúru, môže byť obtiažne delegovať administratívnu autoritu, pretože objekty v AD (napríklad tlačiarne, zdieľania) nemusia byť zoskupené tak, že umožnia jednoduché delegovanie administratívnej autority. Pretože užívatelia vidia zriedka štruktúru AD, dizajn by mal vyhovovať najmä administrátorovi a nie užívateľovi.

Hierarchia založená na umiestnení

Ak je organizácia centralizovaná a správa siete je geograficky distribuovaná, mali by ste použiť hierarchiu založenú na umiestnení. Napríklad, môžete sa rozhodnúť vytvoriť organizačné jednotky pre Košice, Banskú Bystricu, Bratislavu v jednej doméne.

Charakteristiky tejto hierarchie sú nasledovné:

  • nie je ovplyvnená reorganizáciou. Aj keď sa divízie a oddelenia môžu často meniť, umiestnenie organizácie sa mení zriedka.
  • prispôsobuje sa spájaniu a rozširovaniu. Ak sa organizácia spojí s inou, je jednoduché novú organizáciu integrovať s existujúcimi OU a štruktúrou doménovej hierarchie.
  • môže ohroziť bezpečnosť. Ak lokácia zahŕňa viacero divízií alebo oddelení, potom jednotlivec alebo skupina s administratívnym oprávnením na OU môže tiež získať oprávnenie nad každou podriadenou doménou alebo OU.

Hybridná hierarchia.

Hierarchia založená na umiestnení a následne na organizačnej štruktúre, alebo ľubovoľnej inej kombinácii typov sa nazýva hybridná hierarchia. Kombinuje silné stránky jednotlivých typov s potrebami organizácie. Charakteristiky sú nasledovné:

  • zjednodušuje ďalší rast v geografických, úsekových alebo divíznych oblastiach.
  • zvýrazňuje hranice správy
  • vyžaduje spoluprácu medzi administrátormi

Názvy asociované s OU

Každý objekt v AD môže byť odkazovaný niekoľkými typmi názvov, ktoré popisujú umiestnenie objektu. AD vytvorí relatívny význačný názov a taktiež kanonický názov pre každý objekt. Tieto názvy sú vytvorené na základe informácií poskytnutých pri vytváraní alebo modifikácii objektu.

Lightweight Directory Access Protocol (LDAP) relatívny význačný názov jednoznačne identifikuje objekt v jeho rodičovskom kontajneri. Napríklad LDAP relatívny význačný názov OU s menom napr. Notebooky je „OU=Notebooky“. Tieto názvy musia byť jedinečné v OU. Pochopenie syntaxe názvov v LDAP je dôležité pre prácu so skriptami pri dotazovaní a administrácii AD.

Na rozdiel od LDAP relatívnych význačných názvov sú LDAP význačné názvy jedinečné globálne. Príklad LDAP význačného názvu OU pomenovaného Notebooky v doméne skolenie.sk je „OU=Notebooky, DC=skolenie, DC=sk“. Systémoví administrátori používajú tieto názvy najmä pri písaní administratívnych skriptov alebo pri administrácii z príkazového riadku.

Syntax kanonických názvov je vytvorená tým istým spôsobom ako LDAP význačný názov, ale je reprezentovaná odlišným zápisom. Kanonický názov OU Notebooky v doméne skolenie.sk je „skolenie.sk/Notebooky“. Kanonické názvy sa používajú v niektorých administratívnych nástrojoch.

Cvičenie:

Vytvorenie OU pomocou dsadd z príkazového riadku v doméne skolenie.sk

  1. Spustite príkazový riadok
  2. Napíšte nasledovný príkaz a stlačte ENTER
  3. dsadd ou "ou=Notebooky,dc=skolenie,dc=sk"

  4. Pokiaľ ste nespravili chybu, mala by sa vám zobraziť správa o úspešnom vykonaní príkazu.

Poznámka: Aj keď sú úvodzovky pri názve vyžadované iba ak názov obsahuje aj medzery, je dobrým zvykom vždy používať úvodzovky.

Pridaj komentár

Vaša e-mailová adresa nebude zverejnená.