Иерархическая структура Active Directory
Как и все современные справочные службы, Active Directory является иерархически организованной системой. Иерархия логически упорядочивает информацию о многочисленных объектах, дает возможность «увидеть» всю систему в целом, упрощает процесс именования объектов и делает более эффективным выполнение индивидуальных и групповых действий над ними, таких как поиск, удаление, изменение свойств и т. д.
В зависимости от размеров сети администратор создает более или менее сложную иерархическую структуру в Active Directory. Основными строительными блоками иерархической структуры Active Directory являются домены и организационные единицы.
Иерархия организационных единиц
В пределах каждого домена может существовать иерархия организационных единиц.
Организационная единица (OU) — это специфический объект Active Directory, который представляет группу объектов, объединенных в соответствии с теми или иными их свойствами.
Если таким свойством является, например, тип объектов, то организационные единицы могут представлять собой группы пользователей, компьютеров или принтеров. Территориальная общность или принадлежность к одному и тому же подразделению также может быть использована для группирования объектов в организационные единицы, например: OU филиала предприятия в Москве и OU филиала в Перми, OU рекламного отдела, OU отдела перспективных разработок.
Как следует из определения, организационные единицы являются объектами. Такого рода объекты, используемые исключительно с целью группирования других объектов, называются также контейнерами (container). В этом случае оказывается полезной аналогия с файловой системой, в которой каталоги могут рассматриваться как контейнеры, содержащие внутри себя логически сгруппированные файлы. Контейнер, как и любой объект, имеет атрибуты и относится к определенному классу объектов.
OU не только являются логической группой объектов, но и сами могут быть включены в другие организационные единицы. Группируя таким образом OU, можно образовывать древовидные структуры (OU-деревья), подобные древовидным структурам файловой системы. В Active Directory для каждого из доменов строится отдельное OU-дерево. В качестве корня в OU-дереве выступает не организационная единица, а объект, соответствующий домену, для которого построено это дерево. OU-дерево, показанное на рис. 11.14, включает два уровня организационных едениц. На верхнем уровне расположены OU офиса филиала предприятия в Москве и OU офиса центрального отделения предприятия в Барнауле. В каждую из этих организационных единиц входит еще по две организационные единицы: computers и users для московского офиса, user и hardware для офиса в Барнауле.
Рис. 11.14. OU-дерево
Иерархическое структурирование объектов позволяет эффективно выполнять групповые операции (переименование, уничтожение, определение правил доступа и т. п.) сразу для нескольких объектов, представленных как отдельной организационной единицей, так и ветвью OU-дерева, а также делегировать администрирование отдельными объектами и ветвями OU-дерева другим администраторам. В примере на рисунке для каждого из двух подразделений предприятия администратором была создана отдельная ветвь OU-дерева, что дает возможность назначить для этих двух подразделений, находящихся в разных часовых поясах, двух разных администраторов, которые смогут более эффективно управлять пользователями и ресурсами, относящимися к этим структурным единицам. В частности, локальным администраторам может быть передано право создавать пользовательские учетные записи, переустанавливать пароли и выполнять другие действия, которые проще выполнять в непосредственной близости к пользователям.