2014-02-24
777
После определения структуры домена организации и планирования доменного пространства имен необходимо разработать структуру организационных единиц (OU или подразделений — ОП). По информации, собранной о компании и ее персонале, необходимо определить, как лучше всего делегировать административные полномочия в доменах. Можно создать иерархию ОП в домене: в отдельном домене разместить пользователей и ресурсы, повторив структуру компании в конкретном подразделении. Таким образом, можно создать логичную и осмысленную модель организации и делегировать административные полномочия на любой уровень иерархии.
В каждом домене разрешается внедрять собственную иерархию ОП. Если организация имеет несколько доменов, то можно создать структуры ОП внутри каждого домена независимо от структуры в других доменах.
Организационное подразделение позволяет [4]:
- отразить структуру компании и организации внутри домена. Без ОП все пользователи поддерживаются и отображаются в одном списке независимо от подразделения, местоположения и роли пользователя;
- делегировать управление сетевыми ресурсами, но сохранить способность управлять ими, то есть присваивать административные полномочия пользователям или группам на уровне ОП;
- изменять организационную структуру компании;
- группировать объекты так, чтобы администраторы легко отыскивали сетевые ресурсы.
Не следует создавать структуру OU исключительно ради того, чтобы просто иметь какую-то структуру: OU используются в определенных целях. К этим целям относятся [3]:
|
|
|
- делегирование административного управления объектами. Правильно разработанная структура OU позволяет администраторам эффективно делегировать полномочия. Каждое OU по умолчанию наследует разрешения, заданные для родительского OU. Аналогично объекты, содержащиеся в OU, наследуют разрешения, заданные для этого OU (и для каждого из его родителей). Наследование — эффективный способ предоставить или делегировать разрешения на доступ к объектам. Преимущество наследования в том, что администратор может управлять разрешениями на доступ ко всем объектам в OU, задавая разрешения для самого OU, а не конфигурируя все дочерние объекты по отдельности;
- ограничение видимости объектов. В некоторых организациях определенные объекты должны быть скрыты от определенных администраторов или пользователей. Даже если запретить изменение атрибутов объекта, пользователи, имеющие доступ к контейнеру с таким объектом, все равно смогут видеть, существует ли этот объект. Однако можно скрыть объекты, поместив их в OU и ограничив круг пользователей, которые имеют разрешение на список содержимого (List Contents) для этой OU. Тогда объекты, помещенные в контейнер, будут невидимы пользователям, не имеющим этого разрешения;
- управление применением групповой политики. Групповая политика позволяет применять одни и те же параметры конфигурации сразу к нескольким объектам. С ее помощью можно определять параметры пользователей (например, ограничения, налагаемые на пароли) или компьютеров. При использовании групповой политики создается объект групповой политики (Group Policy Object, GPO) — объект, связанный с доменом, сайтом или OU и содержащий параметры конфигурации, которые требуется применить.
Возможности ОП облегчат обеспечение безопасности и выполнение любых административных задач.
|
|
|
Первый этап проектирования административной структуры защиты — планирование использования организационных единиц (OU) в каждом домене. Следующий этап проектирования этой структуры — выработка стратегии управления учетными записями пользователей, компьютеров и групп. После этого необходимо разработать эффективную реализацию групповой политики.
OU служит контейнером, в который можно поместить ресурсы и учетные записи домена. Затем можно назначить OU административные разрешения и позволить содержащимся в нем объектам наследовать эти разрешения. OU могут содержать любые объекты следующих типов [3]: пользователи; компьютеры; группы; принтеры; приложения; политики безопасности; общие папки; другие OU.
