Общие сведения о понятиях проекта подразделения
Структура подразделения (OU) для домена включает в себя следующее:
Схема иерархии подразделений
Список подразделений
Для каждого подразделения:
Назначение подразделения
Список пользователей или групп с контролем над подразделением или объектами в подразделении
Тип элемента управления, который пользователи и группы имеют над объектами в подразделении
Иерархия подразделений не должна отражать иерархию отделов организации или группы. Подразделения создаются для определенной цели, например делегирование администрирования, применение групповой политики или ограничение видимости объектов.
Структуру подразделения можно разработать для делегирования администрирования отдельным лицам или группам в организации, которым требуется автономия для управления собственными ресурсами и данными. Подразделения представляют административные границы и позволяют управлять областью полномочий администраторов данных.
Например, можно создать подразделение с именем ResourceOU и использовать его для хранения всех учетных записей компьютеров, принадлежащих файлам и серверам печати, управляемым группой. Затем вы можете настроить безопасность в подразделении, чтобы только администраторы данных в группе имели доступ к подразделению. Это предотвращает изменение учетных записей сервера файлов и печати администраторов данных в других группах.
Вы можете дополнительно уточнить структуру подразделения, создав поддери подразделений для конкретных целей, например применение групповой политики или ограничить видимость защищенных объектов, чтобы только некоторые пользователи могли их видеть. Например, если необходимо применить группу пользователей или ресурсов к группе пользователей или ресурсов, можно добавить этих пользователей или ресурсы в подразделение, а затем применить групповую политику к этому подразделению. Вы также можете использовать иерархию подразделений для включения дальнейшего делегирования административного управления.
Хотя в структуре подразделения нет технического ограничения, мы рекомендуем ограничить структуру подразделения до глубины не более 10 уровней. На каждом уровне не существует технического ограничения. Обратите внимание, что приложения с поддержкой служб домен Active Directory (AD DS) могут иметь ограничения на количество символов, используемых в различающемся имени (то есть полный путь протокола LDAP) к объекту в каталоге или глубине подразделения в иерархии.
Структура подразделения в AD DS не предназначена для просмотра конечным пользователям. Структура подразделения — это средство администрирования для администраторов служб и администраторов данных, и это легко изменить. Продолжайте просматривать и обновлять структуру подразделения, чтобы отразить изменения в административной структуре и поддерживать администрирование на основе политик.