OU یا Organizational Unit
OU یا Organizational Unit یک OU در واقع یک Object یا همان شیء است که درون اکتیو دایرکتوری تعریف می شود.OU ها با Containerها کاملا متفاوت هستند،چرا که ما می توانیم به OUها Group Policy اعمال کنیم و حتی می توانیم Group Oplicy مورد نظرمان را هم به OU مورد نظر Link کنیم.اما به Container این امکان وجود ندارد.و در ضمن این را هم باید گفت که OU ها را ادمین می سازد اما Container ها به صورت پیش فرض درون اکتیو دایرکتوری وجود دارند.مانند کانتینر Userها که به صورت پیش فرض وجود داشته و یوزرهای اساسی و کلیدی مانند Administrator و … هم به طور پیش فرض در آن هستند. که این OU ها خودشان باعث سازماندهی و نظم دادن به بقیه Object هایی که ساخته و یا از قبل درون اکتیو دایرکتوری هستند ، می شوند. اکتیو دایرکتوری چندین سال است که تغییرات اساسی چندانی نداشته است.یعنی از زمانی که اکتیو دایرکتوری از سال ۲۰۰۰ طراحی و ایجاد شد ، همان ساختار سازمانی اش را داشته و تا به حال هم همین ساختار به صورت سازمانی اش است که اصطلاحا به آن Organizational Unit می گویند وجود داشته است و همین Organizational Unit ها هستند که به ادمین ها کمک می کنند تا سازمانشان را به نحو احسن طراحی کنند تا کنترل آن راحت تر باشد.
OU ها را درجه اول باید برای Object های زیر ایجاد کرد:
- User Account ها یا همان کاربران سازمان .
- Groupها یا همان گروه های ایجاد شده که قرار است هر کاربری بر حسب نوع مسئولیتش در سازمان در یکی از گروه ها قرار بگیرد.
- Computerها یا به عبارتی کلیه سیستم های سازمان که کاربران از آنها استفاده می کنند.
در ضمن این را هم باید گفت که از OU ها می توان برای سازماندهی فایل های Share شده و Printerها استفاده کرد.اما کنترل این Object ها با استفاده از OU ها کار غیر معمول و بدون سودی است.پس پیشنهاد ما این است که این کار را انجام ندهید.
پیش فرض های OU :
زمانی که Active Directory برای اولین بار روی سرور نصب بشود ، با وارد شدن به آن ، خواهید دید که فقط یک OU درون آن وجود دارد و نام آن هم Domain Controller است. که این OU برای سازمان دهی و مدیریت DC های ساخته شده دورن Domain می باشد. دوستان عزیز ، این را هم بگیم که مدیران Domain ها می توانند هر اندازه که بخواهند OU ایجاد کنند و هیچ محدودیتی برای تعداد OU های ساخته شده برای آنها وجود ندارد.اما همیشه به این نکته توجه کنید که تا آنجایی که می توانید شبکه تان را پیچیده طراحی نکنید و آن را شلوغ نکنید چراکه مدیریت آن مشکل می شود و زیر و بم آن را در آینده فراموش می کنید.
دلایل ایجاد OU
دلیل اول :
دلیل اصلی ایجاد OU ، مدیریت Object های شبکه است.معمولا مدیریت Userها و Groupها به راحتی امکان پذیر است و مدیریت کمی می توان به Object هایی مانند Computer ها یا Server ها کرد.
نمونه ای از مدیریت Object های گفته شده را برای User ها و Group ها در اینجا مثال می زنیم :
- Userها : ایجاد ، حذف و ویرایش کاربران ایجاد شده درون اکتیو دایرکتوری.
- Groupها : ایجاد ، حذف و ویرایش گروه های اکتیو دایرکتوری.
زمانی که یک ویژگی خاصی به یک OU داده می شود ، این ویژگی به Objectهای درون OU هم اعمال می شود و این حالت را اصطلاحا Delegate کرن می گویند ، یعنی در واقع یک وظیفه خاصی را به OU می دهند و با استفاده از ویزارد Delegation که تصویر آن در پایین آمده است ، می توان تقسیم وظیفه را انجام داد.پس بعضا پیش می آید که می توان حالت های مدیریتی را بین OU ها تقسیم کرد که به هر OU ، Permission خاصی را باید تقدیم کرد .
دلیل دوم :
دلیل دومی که برای ساختن OU ها وجود دارد ، گسترش GPOهایی است که قرار است اعمال کنیم.یعنی با این کار دستمان بازتر است.زیرا که بعد از تقسیم بندی کاربران و ایجاد OUهای متناظر با آنها ، حالا به راحتی با اعمال GPO به OU ها می توانیم محدودیت هایمان را به راحتی اعمال کنیم. که این کار علاوه بر اینکه باعث نظم اکتیو دایرکتوری می شود ، باعث می شود به راحتی GPOها را مدیریت ، رفع اشکال و گسترش داد.
اصول طراحی ساختار OU :
زمانی که حرف از طراحی ساختار OU می شود ، سوالات و بحث های زیادی به میان می آید. و این کار به مراتب بهتر از زمانی است که که ابتدا اکتیو دایرکتوری تان راه بیاندازید و سازمانتان را بچینید و آخر کار یادتان بیفتد که باید برای OU هایتان یک ساختار مناسب طراحی کنید. و متاسفانه این کار غیر معقول در اکثر شرکت ها و سازمان ها پیش می آید که مجبور می شوند تا اکتیو دایرکتوریشان را برای راحتی کارشان دوباره راه اندازی کنند.پس پیشنهاد می شود اصولی کار کنیم و قبل از هر چیزی ابتدا یک ساختار مناسب برای OU هایمان طراحی کنیم.
مواردی که هنگام طراحی ساختار Active Directory ، باید به آنها توجه کرد عبارتند از :
- باید مشخص کنیم که چه کسی قرار است مدیریت کاربران ، گروه ها و کامپیوتر ها را داشته باشد؟
- هر کسی که مسئول مدیریت کاربران ، گروه ها و کامپیوترها است ، آیا مسئول کل این اجزا است یا قسمتی از مدیریت به او داده می شود؟
- چه افرادی باید محدودیت هایشان مانند هم باشند و چه افرادی باید محدودیت هایشان با یکدیگر فرق بکند؟
این تفاوت های بین کاربران ، بر اساس نوع کاری که در سازمان می کنند مشخص می شود.مثلا مدیر شبکه قاعدتا نباید هیچ محدودیتی داشته باشد و کاربران معمولی باید سطح دسترسی کمتری نسبت به مدیران داشته باشند که این محدودیت ها باید به مواردی مانند پرینتر ها ، ساختار امنیتی سازمان ، تنظیمات نرم افزار ها ، تنظیمات مرورگرها مانند Internet Explorer و ….
چه کامپیوتر هایی باید تنظیمات یکسانی داشته باشند و چه کامپیوترهایی باید تنظیماتشان با یکدیگر تفاوت داشته باشند؟
-
- شما باید قبل از رسیدگی به این امر ، کامپیوتر های معمولی و سرورهایتان را از هم جدا کنید.
- دسته کامپیوتر ها باید در اختیار این افراد قرار بگیرد : ITکاران ، هیات مدیره ، اشخاصی که مرتبا در حال گسترش شبکه هستند ، افرادی که امور مالی را در دست دارند ، افرادی که برای رفع ایرادات شبکه ای باید در محل حضور پیدا کنند که اصطلاحا به آنها Help Desk می گویند و ….
- دسته سرورها باید به این امور رسیدگی کنند : باید Domain Controller ها را درون خودشان نگه داری کنند ، از آنها به عنوان SQL سرور استفاده کرد ، از انها به عنوان WEB سرور استفاده کرد ، از آنها به عنوان DFS سرور استفاده کرد و ….
چه تعداد OU باید ایجاد کنیم ؟
این سوالی است که اغلب افراد ، هنگام طراحی اکتیو دایرکتوری ، از خودشان می پرسند. که این سوال هم جواب قطعی ای را ندارد. جواب این سوال درون خواسته تان از اکتیو دایرکتوری و چگونگی مدیریت آن و چگونگی اعمال GPO ها نهفته است. در اینجا ۳ قاعده کلی برای نحوه ایجاد OU های سازمانتان را می گوییم که امید است روزی روزگاری به کمکتان بیاید :
- تعداد کم – این یک طرحی است که مخارج بالایی را به دنبال دارد. اگر تعداد OU هایمان خیلی کم باشد ، آنگاه تقسیم وظایف بسیار مشکل و مدیریت کاربران ، گروه ها و کامپیوتر ها به سختی قابل کنترل است. و همچنین رفع گیر و عیب یابی نیز در این حالت بسیار مشکل می شود.
- تعداد زیاد – این طرح نتیجه یک برنامه ریزی بسیار بد و تعداد مدیران زیاد است ، مانند یک شرکتی که همه آنها مدیر هستند و هیـــــــچ کاربری در آن وجود ندارد.!!!که شما در صورتی که از این قاعده استفاده کنید آنگاه نتیجه کارتان دو حالت می شود . که یکی از آنها ماندن OU ها است و دیگری پاک کردن OU ها است.
- تعداد کافی – با این حالت شما می توانید به آرمانی ترین حالت برای سازمانتان برسید . یعنی باید سازمانتان را اگر در حالت ۱ است ، افزایش دهید و اگر در حالت ۲ است ، ان را کاهش دهید و سازمانتان را بسته به یک دید جدید و کلی و نوع تعریف اولیه ای که برای Objectهایتان کرده اید ایجاد کنید.
OU ها برای طراحی ساختار اکتیو دایرکتوری بسیار ضروری اند.اگر از OU ها برای ساختار اکتیو دایرکتوری استفاده نشود آنگاه مدیریت ، کارایی و عیب یابی اکتیو دایرکتوری ممکن است به طور باور نکردنی ای به مشکل بخورد. و در طرف مقابل این قضیه ، اگر تعداد زیادی OU ایجاد کنیم ، باز همان مسائل ایجاد می شود ، یعنی مدیریت ، کارایی و عیب یابی اکتیو دایرکتوری به مشکل می خورد.بنابراین سعی کنید تعداد OU هایتان را در حد متوسط نگه دارید. سعی کنید هنگام طراحی به این فکر باشید که ، چگونه می خواهید ، وظایف را بین کاربران تقسیم کنید و چه GPOهایی قرار است به آنها اعمال کنید ، تا فکرتان بازتر و دقیق تر به این مساله (طراحی OUها ) رسیدگی کند.