Оптимизация AD: Cтруктура орг. подразделений(OU) служит для делегирования прав и назначения групповых политик
Дерево орг. подразделений(OU) – это, прежде всего, рабочий инструмент администратора сети, поэтому структура должна быть понятной и удобной именно администратору для выполнения ежедневных операций. Организационное подразделение в Active Directory, как и обычная папка-контейнер, может содержать различные объекты: пользователей, группы, компьютеры, другие папки и организационные подразделения.
Возможность назначать групповые политик на орг. подразделения (OU) - основное отличие от обычного контейнера AD. Для OU, как и для обычного контейнера, можно гибко задавать права доступа и делегировать управление. Забавный факт, в оснастке Windows 2008 Active Directory Users’n’Computers просто так создать контейнер из меню New не получится, на выбор только объекты или орг. подразделение.
Таким образом, задачи OU, помимо хранения объектов в Active Directory это
• Делегирование управления другим администраторам компании
• Назначение групповых политик
Групповые политики имеют дополнительные методы контроля назначения – фильтрация по группам безопасности (как пользователей, так и компьютеров ) и WMI фильтрация. Так что получается, что делегирование прав и удобство ежедневного администрирования – это входные данные для оптимизации вашего дерева организационных подразделений.
Разрабатывайте дерево OU в первую очередь для делегирования прав и удобства работы
Вопрос какова “правильная структура Active Directory” конечно стандартный и очень частый, но достаточно дискуссионный, так как у всех организаций разные уровни зрелости ИТ, и всегда есть свои особенности администрирования ИТ-систем. В частности, важно знать: сколько людей сопровождают AD, какое количество площадок, каким образом все организовано административно-нормативно, какие есть принятые политики безопасности.
По аналогии с известной моделью оптимизации ИТ-инфраструктуры (IO модель) типовая эволюция дерева OU в разных компаниях примерно такая:
- «Базовый уровень» - пользователей складываем в папку Users, иногда в специально созданные один или два контейнера OU без особого смысла. О том, что такое OU в теории никто ничего не знает, зачем завели - не помнят (достаточно много компаний).
- «Стандартизованный уровень» - структура OU повторяет штатное расписание компании… ну без комментариев, кроме одного – иногда бывает, что такая «штатка» куда точнее отражает реальность, чем например известные документы в отделе кадров. Распространенность – многие компании, считающие себя продвинутыми в AD, но без географических особенностей. Скажем честно, усилия, которые тратятся на поддержание такой структуры, как правило, неоправданные.
- «Рациональный уровень» - структура OU сформирована с учетом количества администраторов и делегирования полномочий на первом уровне вложенности, как правило, это география, а дальше повторяет штатное расписание из «стандартизованного уровня». Смысл в том, что в региональных отделениях компании есть свои админы, которые должны следить за своими пользователями – так что OU первого уровня заводят по географии, которая может несколько отличатся от структуры компании, но часто к ней крайне близка.
- «Динамический уровень». Структура OU организована так, чтобы с минимальными усилиями решать известные задачи администрирования пользователей, компьютеров и групп, при этом имея возможность предлагать людям инструменты для гибкой самостоятельной работы.
По внешнему виду «динамическая» структура может оказаться весьма непростой для понимания новому человеку. Как пример, у нас мало кто из пользователей знает как выглядит дерево орг. подразделений, но есть спец. сайт для обычных людей, который дает возможность практически кому угодно создавать и добавлять группы AD или создавать рассылки Exchange, а также управлять членством людей в них простым и понятным способом для людей.
Организация OU на примере структуры AD - встречается и в Windows SBS, и в больших распределенных каталогах Active Directory
За основу для проектированы своего дерева OU в Active Directory имеет смысл взять стандартный подход, который использует Microsoft в своих решениях. Этот подход можно увидеть и в реализации дерева OU MyBusiness в Small Business Server, и в больших штучных проектных решения MCS для конкретных заказчиков.
Единица администрирования и делегирования – ветвь дерева OU, внутри которой структура создана , прежде всего, для удобства ежедневной работы и групповых политик. Имеет смысл разделить на отдельные контейнеры пользователей, группы безопасности и рассылки, а также создать различные контейнеры для рабочих станций, лэптопов и серверов.
Единицы администрирования в дальнейшем группируются в деревья по необходимости делегирования прав. Это может быть организационное делегирование, географическое, или смешенная модель.
Помните, что делегировать доступ лучше всего, используя ролевую модель администрирования, т.е. предоставлять доступ для специально созданных ролевых групп безопасности, куда затем включать учетные записи администраторов. Для делегирования доступа, конечно же, надо использовать удобный, надежный и простой Мастер делегирования прав доступа Active Directory, который запускается из контекстного меню оснастки Active Directory Users’n’Computers.
Важно заметить, что здесь речь идет именно о каталоге Active Directory, т.е. мы предоставляем доступ для создания-удаления-перемещения пользователей, компьютеров и групп внутри контейнеров. Делегирование административных прав на конкретные рабочие станцией и сервера – это вопрос групповых политик и назначаемых групп.
Лучшее решение – решение удобное в реальной работе
Свою структуру можно создать вручную, можно ее существенно расширить или наоборот упростить по сравнении с примером на картинке. Иногда есть смысл использовать скрипты для генерации дерева OU из штатного расписания, а можно внедрить полноценное решение по оптимизации работы с идентификационной информацией, например MS Identity Lifecycle Management.
Какой бы из вариантов работы вы не выбрали – помните, что обычным людям все эти деревья OU совершенно неинтересны, нужно чтобы все работало быстро и надежно.
Успехов.
Для домашнего чтения
- Делегирование полномочий в службе каталогов Active Directory
- Создание схемы подразделений (OU)
- Делегирование администрирования с помощью объектов подразделений (OU)
Comments
Anonymous
January 01, 2003
Имея в плане установку решений по управлению идентификационными данными, хорошо учитывать дерево OU для удобства подключения таких систем. Т.к. основная работа с учетками должна тогда строится через решение Identety Management. Если нет - то планируем AD для удобства работы реальных людей. Те-же языковые вещи, например, или большая вложенность для удобства группировки.Anonymous
October 20, 2009
Доброго времени суток. В процессе чтения возник вопрос - какого рода взаимосвязь вы подразумеваете между деревом OU и ILM? Насколько мне известно в проектировании ILM никак помочь не может.