Иллюстрированный самоучитель по Windows2000


Планирование организационных единиц (подразделений)


Организационные единицы (OU), или подразделения, могут содержать пользователей, группы, компьютеры, принтеры и общие папки, а также другие

OU. OU — это

минимальная

"единица" администрирования, права управления которой можно делегировать некоторому пользователю или группе. С помощью OU можно обеспечить

локальное

администрирование пользователей (создание, модификация и удаление учетных записей) или ресурсов.

Примечание

Организационные единицы и подразделения — это термины-синонимы; мы будет чаще использовать понятие

организационная единица,

говоря о

структуре

каталога Active Directory и его дереве, и

подразделение —

когда речь идет об

администрировании

Active Directory, делегировании управления и т. п.

В каталоге Active Directory организационные единицы представляют собой объекты типа "контейнер" и отображаются в окне оснастки

Active Directory — пользователи и компьютеры

(Active Directory Users and Computers) как папки. Их основное назначение — группирование объектов каталога с целью передачи административных функций отдельным пользователям.

Дерево OU может отображать реальную структуру организации — административную, функциональную и т. п. При этом учитываются иерархия полномочий ответственных работников и необходимые функции управления. Каждый доменов дереве или лесе может иметь свою, совершенно независящую от других структуру организационных единиц.

Организационная единица — минимальная структурная единица, которой можно назначить собственную групповую политику, т. е. определить разрешения на доступ к ней (и подчиненным OU), конфигурационные настройки и т. п. Однако OU не является структурным элементом безопасности (т. е. нельзя, скажем, назначить подразделению некоторые права доступа к определенному объекту), а служит только для группирования объектов каталога. Для назначения полномочий и разрешений доступа к ресурсам следует применять

группы безопасности

(security groups).

Примечание

Параметры безопасности групповой политики, назначенной некоторому подразделению, позволяют "сужать" область действия этой политики. Предположим, например, что в подразделении имеется несколько групп безопасности. По умолчанию групповая политика распространяется на всех членов подразделения. Однако можно сделать так, что эта политика будет действовать только на определенную группу (группы) и игнорироваться остальными группами подразделения. Подробнее об этом рассказано в главе 27.

<


Начало  Назад  Вперед