Windows - Active Directory - Szervezeti egységek

1. rész


Cikkünkben bemutatjuk az Active Directory szervezeti egységeit és létrehozásukat. A következő részben pedig azt nézzük meg, miként lehet a felügyeletüket szétosztani a rendszergazdák között. Mik a szervezeti egységek?

Az Active Directory (AD) objektumainak logikailag hierarchikus elrendezése. Az objektumok néhány előre elkészített mappában tárolódnak. Nyissuk meg a Felügyeleti eszközök > Active Directory - felhasználók és számítógépek konzolt, bontsuk ki a címtár szerkezetet a nevek előtti + jelre kattintva. Találunk néhány mappát (szám szerint ötöt), amely az objektumokat tartalmazza. Ha rákattintunk a Nézet > Speciális lehetőségek menüpontra, megjelenik még egy. Ezekben funkciójuknak megfelelően ömlesztve vannak a felhasználók, felhasználói csoportok, számítógépek, stb. Minél több objektumot (felhasználót, számítógépet) hozunk létre, annál áttekinthetetlenebb lesz az egész. Ezt a problémát hivatott kiküszöbölni a szervezeti egység (organization unit, rövidítve: OU). A szervezeti egység tulajdonképpen új mappák és almappák létrehozását jelenti, amelyikben objektumokat tárolhatunk, csoportházirendet rendelhetünk hozzá és további funkciókat látnak el. Egy objektum csak egy szervezeti egységben lehet, nem lehet másolni őket. Egy szervezeti egység pedig egy tartományhoz tartozhat, nem lehetnek átfedések.

Honnan tudjuk, hogy szervezeti egységgel és nem egy egyszerű mappával van dolgunk?

Ezt ránézésre meg lehet mondani, ugyanis ikonja különbözik a hagyományos mappáétól. Az AD egy szervezeti egységet telepítés után már tartalmaz: ez a tartományvezérlő számítógépeket tároló "Domain Controllers". Itt jól látszik az ikon különbözőség. Ezen kívül más menüpontok érhetők el egy szervezeti egységben, mint egy tároló mappában.

Mire használható?

Az AD objektumokat csoportokba szervezzük, felépítünk egy hierarchikus alá-, fölé-, mellérendeltségi viszonyt, hozzárendeljük a csoportokat szervezeti egységekhez és együtt adminisztráljuk őket. Ezzel rengeteg időt lehet megtakarítani és a változtatásokat könnyen végre lehet hajtani. Ugyanakkor egy áttekinthető szerkezetet kapunk és a szervezeti egységeket akár külön - külön rendszergazda felügyeletére bízhatjuk.

Mi a különbség a szervezeti egység és felhasználói csoportok között?

Egy felhasználó több csoportnak is a tagja lehet, míg a szervezeti egységben csak egy egységhez tartozhat.
A szervezeti egységhez rendelhető csoportházirend a felhasználói csoportokhoz nem.
A szervezeti egységhez hozzárendelhető kezelő személyzet (rendszergazda), a csoportokhoz nem.

Szervezeti egységek létrehozása:

Képzeljünk el egy vállalatot, ahol a következő gyáregységek vannak: gyártás, csomagolás, informatika, raktár. Minden egységben vannak számítógépek, ezek mindegyike az AD-hoz kapcsolódik, de minden felhasználó csak az adott munkahelyének megfelelő hozzáférést kaphat.
Szervezeti egység nélkül egyenként kellene meghatározni a jogokat és egy változás alkalmával az összes felhasználó adatát külön módosítani. A helyzeten a csoportba rendezés valamelyest javítana, de keletkezhetnének átfedések és csak azt látnánk, hogy valami nem működik, áttekinteni például 300 dolgozó csoportokban elfoglalt helyét pedig nem könnyű feladat.
Nézzük, hogy néz ez ki a szervezeti egységekkel:

Kattintsunk a Felhasználók és számítógépek konzolon a tartomány nevére, utána a Művelet > Új > Szervezeti egység menüpontra.
Adjuk neki nevet: "Vállalat". Létrejön a "Vállalat" nevű szervezeti egység a tartományon belül. Most kattintsunk rá és ismét a Művelet > Új > Szervezeti egység menüpontra. Hozzuk létre sorban a gyártás, csomagolás, informatika és raktár szervezeti egységeket. Ezek már a "Vállalat" egységen belül jönnek létre.

Felhasználó hozzáadása a szervezeti egységhez:

Kattintsunk rá arra a szervezeti egységre, amelyen belül létre akarjuk hozni a felhasználói fiókot. A Művelet > Új > Felhasználó menüponttal létrehozott felhasználók már ezen belül lesznek megtalálhatók.

Ha a "Users" mappában már létrejöttek a felhasználók, nem kell a szervezeti egységben is létrehozni, elég ha átmozgatjuk őket. A szokásos Windows-os egérrel áthúzás ebben az esetben nem működik. Kattintsunk az átmozgatandó felhasználóra a jobb oldali egérgombbal és a megjelenő menüben válasszuk az "Áthelyezés" pontot. Megjelenik a címtár mappaszerkezet a szervezeti egységekkel együtt, válasszuk ki a célmappát és kattintsunk az "OK" gombra.

Az alegységek feltöltése után máris egy áttekinthetőbb szerkezethez jutottunk. Minden szervezeti egységen belül továbbiakat lehet létrehozni, tetszőleges mélységig egymásba ágyazva őket. Ha másért nem, már az áttekinthetőségért megéri kialakítani a hierarchiát, de ez csak az egyik előny....



Active Directory - Szervezeti egységek cikksorozat

Active Directory - Szervezeti egységek - 1. rész

Active Directory - Szervezeti egységek - 2. rész