Home > Microsoft > Comprensione unità organizzative

Comprensione unità organizzative

Un sommario di unità organizzative (OU)

L’unità organizzativa (OU) è un contenitore che viene utilizzato per organizzare logicamente e di gruppo di Active Directory gli oggetti all’interno di domini. Unità organizzative non sono parte del DNS nomi. Essi sono utilizzati per organizzare gli oggetti di Active Directory in gruppi logici amministrative. Unità organizzative dunque servire come contenitori in cui è possibile creare e gestire oggetti di Active Directory. Unità organizzative sono considerati la più piccola unità che un amministratore può assegnare le autorizzazioni alle risorse all’interno di Active Directory.

L’UO ti consente di applicare politiche di sicurezza, installare applicazioni, delegare il controllo amministrativo di oggetti di Active Directory, e di eseguire script. Una cosa importante da capire è che non sono unità organizzative di protezione. L’account utente, account di gruppo, e gli account computer all’interno di unità organizzative sono i principi di sicurezza.

I tipi di oggetti di Active Directory che possono essere situate in unità organizzative sono di seguito elencati:

  • L’utente, gruppo e computer di oggetti; le cartelle condivise, stampanti, applicazioni e altre unità organizzative dallo stesso dominio.

Utente sono i principali oggetti di protezione utilizzati in Active Directory. Un oggetto utente è costituito da il nome utente, password, informazioni al gruppo, e le altre informazioni che definiscono l’utente. Un gruppo oggetto impedisce amministratori da impostare i singoli permessi utente. Una serie di utenti possono essere raggruppati, e quindi assegnato l’autorizzazione appropriata per oggetti di Active Directory. Un oggetto contiene informazioni su un computer che è un membro del dominio. Perché unità organizzative possono contenere altre unità organizzative, un amministratore può gerarchicamente gruppo di risorse e di altri oggetti di Active Directory in modo da riflettere la struttura dell’organizzazione. Il processo di aggiungere altre unità organizzative di unità organizzative in un modo gerarchico è denominato raggruppamento unità organizzative.

A pochi vantaggi di unità organizzative sono di seguito riassunte:

  • Unità organizzative possono essere nidificate a sostenere diversi livelli di gerarchia
  • Ogni dominio di Active Directory in ambiente può avere una propria struttura organizzativa. La struttura organizzativa di un dominio è indipendente da un altro dominio della struttura organizzativa.
  • È abbastanza semplice per modificare un struttura organizzativa. OU strutture sono molto più flessibili rispetto alle strutture di dominio.
  • UO di impostazioni di configurazione possono essere ereditato da oggetti in unità organizzative figlio.
  • Impostazioni dei Criteri di gruppo possono essere applicate anche alle unità organizzative
  • È possibile delegare il controllo amministrativo degli oggetti di Active Directory unità organizzative attraverso

Unità organizzative sono tipicamente utilizzati per delegare il controllo amministrativo di oggetti di Active Directory, per nascondere gli oggetti di Active Directory e per amministrare il Group Policy. Quando si delegare il controllo amministrativo su una OU, è consentire ad altri utenti o gruppi di amministrare la UO. La delegazione di effettivo controllo amministrativo viene di solito eseguita da amministratori di livello superiore. Delegazione di controllo sulle unità organizzative consente di trasferire i compiti di gestione ai vari utenti all’interno dell’organizzazione.

Le funzioni amministrative delegate che sono di solito sono di seguito elencati:

  • Creare, cancellare e gestire gli account utente
  • Creare, cancellare e gestire i gruppi
  • Reimposta password su account utente
  • Leggi tutte le informazioni per l’utente
  • Modificare la composizione di un gruppo
  • Gestione Criteri di gruppo di collegamenti

Gli amministratori che sono responsabili per le attività di gestione di dominio hanno il pieno controllo su tutti gli oggetti di Active Directory all’interno del dominio. Questa è la configurazione di default. Questi quindi gli amministratori di creare i controller di dominio, domini, e anche creare le UO per il dominio. Se non vi è unità all’interno della organizzazione che la gestione e la necessità di definire la propria struttura organizzativa, si può delegare l’autorizzazione di controllo completo per l’UO di queste persone. Ciò consentirebbe di queste persone a svolgere tutte le attività di gestione è già menzionato in precedenza per la particolare unità organizzativa. In altri casi, potrebbe essere necessario delegare il controllo solo per specifiche classi di oggetti per un OU.

Come accennato prima, O può anche essere utilizzato per nascondere gli oggetti di dominio sensibile a determinati utenti. Questo viene fatto attraverso la creazione di un’unità organizzativa per coloro oggetti di dominio che si desidera nascondere o non si desidera che tutti gli utenti di visualizzare, e quindi di assegnare solo gli utenti che devono avere la possibilità di visualizzare questi oggetti le necessarie autorizzazioni. Dopo le autorizzazioni appropriate siano configurate per l’unità organizzativa, tutto ciò che dovete fare è spostare il sensibili oggetti di Active Directory per l’UO.

I criteri di gruppo può essere definito come un insieme di permessi che si possono applicare a oggetti di Active Directory. Impostazioni dei Criteri di gruppo possono essere collegati a siti, domini e unità organizzative; e può valere sia per gli account utente, account computer e account di gruppo. Impostazioni dei Criteri di gruppo vengono applicati alle unità organizzative, in forma di oggetti Criteri di gruppo (GPO). L’oggetto Criteri di gruppo contiene le impostazioni dei Criteri di gruppo che possono essere applicati a utenti e computer in un’unità organizzativa.

Criteri di gruppo viene applicato nel seguente ordine:

  • Criteri del computer locale
  • Site policy
  • Dominio politica
  • UO di politica, che inizia con la casa madre OU

Active Directory, tuttavia includere un n. Sovrascrive l’impostazione e un blocco di successione che si possono utilizzare per controllare come vengono applicate politiche. Il n. Sovrascrive l’impostazione può essere attivata per interrompere una politica impostazione organizzativa di un bambino di sovrascrivere il genitore OU impostazione. Il Blocco Ereditarietà impostazione può essere in grado di impedire a un bambino OU, e gli oggetti che esso contiene, da ereditare impostazioni di Criteri di gruppo dalla sua madre OU.

Pianificazione uno Struttura organizzativa

Nella progettazione di uno struttura organizzativa, è necessario individuare e definire i seguenti:

  • Il modo in cui l’impresa è riuscita
  • La struttura organizzativa per ogni dominio
  • Le unità organizzative che devono essere create
  • Il modo in cui i criteri di gruppo deve essere applicato.
  • Le unità organizzative per le quali si intende delegare il controllo amministrativo, e gli utenti che si intende delegare il controllo di.
  • Il sensibile oggetti di Active Directory che si desidera nascondere da parte degli utenti.

La seguente strategia è generalmente raccomandato per una struttura organizzativa: è necessario creare un’unità organizzativa, con il risultato finale è che gli oggetti di Active Directory all’interno della UO sono amministrati da un unico gruppo. Questo vi permette di concedere il particolare il gruppo di diritti identici a tutti gli oggetti di Active Directory in particolare OU, e alla stessa unità organizzativa. È in linea di principio dovrebbe evitare un struttura organizzativa che i risultati dello stesso gruppo che necessitano di gestire gli oggetti nel corso di molti differenti unità organizzative. Ciò significa che gli opportuni diritti dovranno essere concesso singolarmente in ogni unità organizzativa.

E ‘anche una buona pratica di assegnare un proprietario di ogni unità organizzativa. Il proprietario della UO sarebbe il compito di svolgere i seguenti compiti di gestione:

  • Creare, cancellare e gestire le unità organizzative figlio
  • Applica criteri di gruppo
  • Delegare il controllo amministrativo su oggetti in UO

Si dovrebbe anche servizio admin oggetti separati dal resto del dominio oggetti. Nascondere servizio admin oggetti impedisce tutti gli utenti del dominio di visualizzare le proprietà e gli attributi, e consente anche di applicare criteri di gruppo in modo che solo gli utenti di servizi di amministrazione sono in grado di eseguire alcuni compiti amministrativi.

Creazione e gestione delle unità organizzative

L’Active Directory Utenti e computer di console nel menu Strumenti di amministrazione è utilizzato per creare unità organizzative. Quando si crea un OU, si dovrebbe essere prima di aggiungere in fondo ad un particolare dominio, e quindi si sarebbe aggiunta di oggetti di Active Directory che, delegando il controllo amministrativo per l’UO, o per l’applicazione di un oggetto Criteri di gruppo.

La finestra di dialogo Proprietà di una unità organizzativa è a pochi schede che vengono utilizzati per gestire le proprietà di una particolare unità organizzativa:

  • Scheda Generale: è possibile specificare una descrizione, indirizzo, città, stato o provincia, CAP o il codice postale, e il paese o la regione per l’UO di informazioni in questa scheda.
  • Gestito Con scheda: Questa è la scheda utilizzata per gestire le impostazioni del proprietario del OU. È possibile inserire le seguenti informazioni per il proprietario della UO: nome, sede, indirizzo, città, stato o provincia, regione o paese, numero di telefono, numero di fax. La scheda contiene anche i seguenti pulsanti:
    • Variazione: Puoi fare clic sul pulsante Cambia se si desidera impostare l’account utente, che sarà responsabile della gestione della UO.
    • Vedi: Se si desidera visualizzare o modificare le proprietà dell’account utente attualmente gestendo la UO, fare clic sul pulsante Visualizza.
    • Rimuovi: Se si desidera rimuovere un account utente, fare clic sul pulsante Rimuovi.
  • Scheda Criteri di gruppo: Questa scheda contiene i seguenti pulsanti:
    • Novità: Se si desidera creare un nuovo GPO per l’unità organizzativa, fare clic su questo pulsante.
    • Edit: Se si desidera modificare le attuali impostazioni di Criteri di gruppo, fare clic sul pulsante Modifica. Le impostazioni che possono essere specificati per un oggetto Criteri di gruppo vengono classificate le impostazioni in Configurazione computer e Configurazione utente impostazioni. Ognuno di questi è separato nelle seguenti categorie: Software, Windows, Modelli amministrativi.
    • Aggiungere: Se si desidera collegare un oggetto Criteri di gruppo per l’unità organizzativa, si dovrebbe fare clic su questo pulsante per creare il nuovo oggetto Criteri di gruppo link.
    • Opzioni: Se si desidera disattivare l’oggetto Criteri di gruppo, o per garantire che l’oggetto Criteri di gruppo del genitore non è OU prevalga l’oggetto Criteri di gruppo di un bambino O, fare clic su questo pulsante. Le opzioni disponibili sono Disattiva l’opzione, e il n. Sovrascrive opzione.
    • Elimina: se si desidera eliminare un oggetto Criteri di gruppo, fare clic su questo pulsante.
    • Proprietà: Se si desidera gestire le proprietà dell’oggetto Criteri di gruppo, fare clic su questo pulsante. La finestra di dialogo delle proprietà dell’oggetto Criteri di gruppo ha una scheda Generale, Collegamenti scheda e scheda Protezione. La scheda Generale è una sintesi pannello, e di un pannello Disattiva. È possibile visualizzare informazioni come il nome di oggetto Criteri di gruppo, e di creare e l’ultima data di modifica nel pannello Sommario. È possibile disattivare le impostazioni di configurazione del computer e Configurazione utente Disattivare le impostazioni nel riquadro. Il legame scheda elenca ciascun sito, dominio e organizzativa a cui il particolare oggetto Criteri di gruppo viene applicato. La scheda di sicurezza è il punto in cui impostare le autorizzazioni per l’oggetto Criteri di gruppo: Controllo completo, Lettura, Scrittura, Crea Oggetti figlio, Elimina Oggetti figlio, Applica criteri di gruppo.

Come creare un’unità organizzativa

  1. Aperto di Active Directory Utenti e computer di console
  2. Nella struttura della console, individuare e cliccate con il tasto destro del dominio appropriato, scegliere Nuovo, quindi fare clic su Unità organizzativa dal menu di scelta rapida.
  3. Nel Nuovo Unità organizzativa finestra di dialogo, immettere un nome univoco per la UO nella casella Nome.
  4. Fare clic su OK.
  5. Procedere alla clic con il pulsante destro della nuova unità organizzativa, quindi selezionare Proprietà dal menu di scelta rapida.
  6. Quando la finestra di dialogo Proprietà della UO si apre, inserire una descrizione per l’UO sulla scheda Generale.
  7. Fare clic sulla scheda Gestito da specificare un proprietario per l’UO.
  8. Fare clic sul pulsante Cambia e scegliere l’account utente desiderato dalla lista Utenti e Gruppi casella
  9. Fare clic sulla scheda Criteri di gruppo.
  10. Fare clic sul pulsante Nuovo per creare un nuovo GPO per l’unità organizzativa.
  11. Immettere un nome per l’oggetto Criteri di gruppo
  12. Procedere per configurare tutte le impostazioni di Criteri di gruppo per la UO utilizzando il resto della pulsanti disponibili sulla scheda.

Come creare una struttura organizzativa sensibili per nascondere gli oggetti di Active Directory

  1. Aperto di Active Directory Utenti e computer di console
  2. Nella struttura della console, individuare e cliccate con il tasto destro del dominio appropriato, quindi fare clic su Nuovo, quindi Unità organizzativa dal menu di scelta rapida.
  3. Nel Nuovo Unità organizzativa finestra di dialogo, immettere un nome univoco per la UO nella casella Nome.
  4. Fare clic su OK.
  5. Procedere alla clic con il pulsante destro della nuova unità organizzativa, quindi selezionare Proprietà dal menu di scelta rapida.
  6. Quando la finestra di dialogo Proprietà per l’unità organizzativa si apre, fare clic sulla scheda “Protezione”
  7. Procedere per rimuovere eventuali autorizzazioni per l’unità organizzativa.
  8. Fare clic sul pulsante Avanzate.
  9. Quando le Impostazioni avanzate di protezione finestra di dialogo per l’unità organizzativa si apre, deselezionare la casella di controllo Consenti autorizzazioni ereditabili dall’oggetto padre di propagare a questo oggetto ea tutti gli oggetti figlio casella di controllo. Fare clic su OK.
  10. Nella scheda Protezione, selezionare e assegnare le opportune il gruppo autorizzazione di controllo completo. Concedere l’autorizzazione di lettura per quei gruppi che dovrebbero essere in grado di leggere il contenuto della UO.
  11. Fare clic su OK
  12. È ora possibile spostare il sensibili oggetti di Active Directory per questa particolare unità organizzativa.

Come eliminare un OU

  1. Aperto di Active Directory Utenti e computer di console
  2. Nella struttura della console, individuare ed espandere il dominio, quindi fare clic destro sulla organizzativa che si desidera eliminare e scegliere Elimina dal menu di scelta rapida.
  3. Fare clic su Sì nella finestra di messaggio per verificare che si desidera eliminare questa particolare unità organizzativa.
  4. Fare clic su Sì se un’altra finestra di messaggio viene visualizzato, richiede di verificare che tutti gli oggetti situati nel OU dovrebbe essere soppresso.

Come modificare le proprietà di un’unità organizzativa

  1. Aperto di Active Directory Utenti e computer di console
  2. Nella struttura della console, individuare ed espandere il dominio, quindi fare clic destro sulla organizzativa che si desidera configurare le proprietà, e scegliere Proprietà dal menu di scelta rapida.
  3. Procedere per modificare le proprietà della UO sulla scheda Generale, gestito dalla scheda, e la scheda Criteri di gruppo.
  4. È inoltre possibile modificare l’oggetto Criteri di gruppo che è legata alla UO o le impostazioni dei Criteri di gruppo esistente dalla scheda Criteri di gruppo.

Come rinominare una OU

  1. Aperto di Active Directory Utenti e computer di console
  2. Nella struttura della console, individuare ed espandere il dominio, quindi fare clic destro sulla organizzativa che si desidera rinominare e scegliere Rinomina dal menu di scelta rapida.
  3. Immettere il nuovo nome per l’UO

Come spostare un UO in una nuova posizione

  1. Aperto di Active Directory Utenti e computer di console
  2. Nella struttura della console, individuare ed espandere il dominio che contiene il organizzativa che si desidera spostare in una posizione diversa.
  3. Fare clic sulla OU e procedere con l’UO di trascinare nella nuova posizione.
  4. Rilasciare l’UO nella nuova posizione.

Come muoversi tra gli oggetti di Active Directory unità organizzative usando il drag and drop

  1. Aperto di Active Directory Utenti e computer di console
  2. Nella struttura della console, individuare ed espandere il dominio che contiene l’UO che detiene l’oggetto che si desidera passare a una diversa unità organizzativa.
  3. Espandere l’unità organizzativa
  4. Clicca l’oggetto che si desidera spostare e procedere a trascinare l’oggetto di altre UO.
  5. Scollega l’oggetto nella nuova posizione organizzativa.

Come muoversi tra gli oggetti di Active Directory unità organizzative utilizzando ADUC Sposta Opzione

  1. Aperto di Active Directory Utenti e computer di console
  2. Nella struttura della console, individuare ed espandere il dominio che contiene l’UO che detiene l’oggetto che si desidera passare a una diversa unità organizzativa.
  3. Espandere l’unità organizzativa, fare clic con l’oggetto e quindi scegliere Sposta dal menu di scelta rapida.
  4. Quando la finestra di dialogo Sposta, selezionare la nuova posizione organizzativa per l’oggetto.
  5. Fare clic su OK.

Come muoversi tra gli oggetti di Active Directory utilizzando le unità organizzative Dsmove strumento della riga di comando

È possibile utilizzare il Dsmove strumento della riga di comando per spostarsi tra gli oggetti di Active Directory unità organizzative, e di rinominare un oggetto di Active Directory.

Per utilizzare il Dsmove strumento della riga di comando di Active Directory per spostare gli oggetti da una posizione organizzativa ad una diversa posizione organizzativa,

  1. Fare clic sul pulsante Start, quindi fare clic su Prompt dei comandi.
  2. Inserisci dsmove con i parametri, al prompt dei comandi.

La sintassi del comando è:

dsmove ObjectDN [-NEWNAME NEWNAME] [-newparent ParentDN] [(-s Server |-d Dominio)] [-u NomeUtente] [-p (Password | *)] [-q] (-uc |-UCO |-UCI )

  • ObjectDN, il nome di Active Directory oggetto che si desidera passare a una diversa unità organizzativa.
  • -NEWNAME NEWNAME, rinominare oggetto di Active Directory
  • -newparent ParentDN, per la definizione del nuovo percorso a cui si desidera spostare l’oggetto di Active Directory.
  • (-s Server |-d Dominio), per il collegamento a un server remoto, o il dominio.
  • -u NomeUtente, il nome utente che l’utente utilizza per accedere al server remoto
  • [-p (Password | *), la password di quanto sopra specificato il nome utente.
  • -q, per la definizione di modalità di uscita
  • -uc, UCO,-UCI, per l’impostazione del formato Unicode

Come di delegare il controllo amministrativo di un’unità organizzativa

  1. Aperto di Active Directory Utenti e computer di console
  2. Nella struttura della console, individuare e fare clic destro e scegliere l’unità organizzativa Delegato di controllo dal menu di scelta rapida.
  3. La delegazione guidata del controllo lancia
  4. Fare clic su Avanti il benvenuto alla delegazione guidata del controllo pagina.
  5. Fare clic su Aggiungi utenti o gruppi pagina.
  6. Quando Seleziona utenti, computer o gruppi finestra di dialogo si apre, in Immettere i nomi degli oggetti da selezionare nella casella di riepilogo, inserisci l’utente / gruppo al quale si desidera delegare il controllo. Fare clic su OK. Fare clic su Avanti
  7. Quando i compiti delegato apre la pagina, effettuare una delle seguenti
    • Selezionare il Delegato Il comune Compiti seguito, quindi scegliere l’attività che si desidera delegare. Fare clic su Avanti. Completamento della Delega guidata del controllo pagina sarà visualizzato. I compiti tipicamente delegate sono elencati di seguito:
      • Creare, eliminare e gestire gli account utente
      • Reimposta password su Account utente
      • Leggi Tutto Informazioni utente
      • Creare, eliminare e gestire i gruppi
      • Modificare l’iscrizione di un gruppo
      • Gestione Criteri di gruppo Collegamenti
    • Selezionare Crea un’operazione personalizzata per eseguire la Delegato opzione e fare clic su Avanti.
  8. Quando il Tipo oggetto di Active Directory apre la pagina, eseguire una delle azioni elencate di seguito:
    • Selezionare la cartella, gli oggetti esistenti in questa cartella, e la creazione di nuovi oggetti in questa cartella se si desidera delegare il controllo amministrativo per l’UO, comprese tutte le attuali oggetti in OU, e se si desidera delegare il controllo amministrativo per tutti i nuovi oggetti che verranno creati nella OU.
    • Selezionare il solo i seguenti oggetti nella cartella opzione se si desidera delegare il controllo solo per alcuni oggetti in UO. Procedere a scegliere questi oggetti.
  9. È possibile limitare l’utente / gruppo a creare gli oggetti selezionati nel OU consentendo Crea gli oggetti selezionati in questa cartella di controllo.
  10. È inoltre possibile limitare l’utente / gruppo per l’eliminazione di oggetti selezionati nel OU consentendo Elimina gli oggetti selezionati in questa cartella di controllo. Fare clic su Avanti
  11. Quando si apre la pagina Autorizzazioni, attivare una delle seguenti caselle di controllo per visualizzare le informazioni nel permessi: box:
    • Generale, alla lista delle autorizzazioni generali nella permessi: scatola
    • Proprietà specifiche, alla lista di proprietà specifiche autorizzazioni in autorizzazioni: casella
    • Creazione / Eliminazione di oggetti specifici per bambini, per elencare tutti i permessi che si applicano all’oggetto in permessi: scatola
  12. Dopo aver popolato la permessi: casella di, impostare i permessi per l’utente / gruppo per l’unità organizzativa in permessi: casella. Fare clic su Avanti
  13. Verificare di aver selezionato le impostazioni corrette sul completamento La Delega guidata del controllo pagina.
  14. Fare clic su Fine.

Risoluzione dei problemi uno Struttura organizzativa

I problemi comuni che si verificano con OU strutture sono riportati di seguito:

  • Quando gli utenti che non dovrebbe essere consentito di svolgere compiti amministrativi su unità organizzative, sono in grado di eseguire compiti amministrativi, verificare che vi hanno delegato il controllo amministrativo per l’UO per il corretto utente o gruppo. Si consiglia di verificare l’utente o il gruppo specificato per il controllo amministrativo per ogni unità organizzativa all’interno del dominio.
  • Se uno OU contiene gli oggetti che hanno una serie di autorizzazioni applicate quando nessuno è stato definito per la particolare unità organizzativa, verificare che l’unità organizzativa non è permesso di ereditare le impostazioni da un genitore OU. La configurazione di default è che un bambino OU e gli oggetti che il bambino OU contiene, eredita automaticamente gruppo e altre impostazioni di autorizzazione dal suo genitore OU associati.
Share

Microsoft

  1. Nessun commento ancora...