Выберите организационную единицу где имеются объекты компьютеры

Обновлено: 04.07.2024

Организационная единица или, как обозначено в русской версии Windows server, подразделение (Organizational Unit) — это субконтейнер в Active Directory, в который можно помещать пользователей, группы, компьютеры и другие объекты AD. Подразделения (OU) управляются администраторами домена. Вы также можете настроить делегирование управления над подразделением с помощью мастера делегирования управления. OU могут быть вложенными, и к ним можно применять групповые политики.

Создание подразделения (OU)

OU можно создать с помощью Active Directory Administrative Center (ADAC), Active Directory Users and Computers (ADUC), командной строки и PowerShell.

Создание подразделения с помощью Active Directory Administrative Center

Давайте создадим подразделение с помощью ADAC:

Запустите Active Directory Administrative Center (dsac.exe).

Переключитесь в режим просмотра дерева и разверните домен или подразделение, в котором вы хотите разместить новое.

Щелкните правой кнопкой мыши на OU или домен, выберите «New. », а затем выберите Organizational Unit.


Появится окно создания подразделения:


Введите имя OU и нажмите OK, чтобы его создать.

Создание подразделения с помощью командной строки

Чтобы создать OU с помощью cmd, запустите dsadd.exe со следующими параметрами:

dsadd.exe ou "OU=testorg,DC=office,DC=local" -desc "TestOU"

Эта строчка создаст TestOU в домене с описанием "TestOU".

Создание подразделения с помощью Windows PowerShell

Для создания нового подразделения с помощью PowerShell нам нужно использовать команду New-ADOrganizationalUnit. Запустите PowerShell от имени администратора и введите следующее:

Import-Module ActiveDirectory
New-ADOrganizationalUnit "TestOU" -Description "TestOU"

Эта строчка создаст TestOU в домене с описанием "TestOU".

Удаление подразделения AD

Подразделения по умолчанию защищены от случайного удаления. Чтобы удалить его, нам нужно снять флажок Protected from Accidental Deletion в свойствах.

Удаление подразделения с помощью Active Directory Administrative Center

Откройте Active Directory Administrative Center (dsac.exe).

Переключитесь в режим просмотра дерева, разверните свой домен и найдите OU, которое вы хотите удалить. Щелкните OU правой кнопкой мыши и выберите “Delete”.

Появится окно подтверждение удаления:


Нажмите Yes для подтверждения. Если OU содержит дочерние объекты, нажмите еще раз.

Удаление подразделения с помощью командной строки

Для удаления OU с помощью командной строки необходимо использовать инструмент dsrm.exe в cmd, запущенном от имени администратора, со следующим синтаксисом:

dsrm.exe "OU=TestOU,DC=office,DC=local" -subtree

Эта строчка полностью удалит OU с любыми объектами внутри.

Удаление подразделения с помощью Windows PowerShell

Для удаления подразделения нам нужно использовать команду New-ADOrganizationalUnit в PowerShell запущенном от имени администратора:

Import-Module ActiveDirectory
Remove-ADObject -Identity "OU=TestOU,DC=office,DC=local" -Recursive -Confirm:$False

Эта строчка полностью удалит OU TestOU со всеми существующими в ней объектами.

Изменение подразделения AD

Иногда вам нужно изменить OU. Вот как это сделать тремя различными способами.

Изменение подразделения с помощью Active Directory Administrative Center

Откройте Active Directory Administrative Center (dsac.exe). Переключитесь в режим просмотра дерева и найдите OU, которую вам нужно изменить.

Щелкните на нем правой кнопкой мыши и выберите "Properties:". Измените свойства, которые вам нужны. Например, вы можете изменить описание или добавить менеджера.

Снимите флажок с параметра "Защищен от случайного удаления" и нажмите OK.


Изменение подразделения с помощью командной строки

Для того чтобы изменить OU, необходимо использовать dsmod.exe в cmd от имени администратора. Но в этом случае вы можете изменить только описание.

dsmod.exe ou "OU=TestOU,DC=office,DC=local" -desc "New Description"

Здесь мы назначаем " New Description " для TestOU.

Изменение подразделения с помощью Windows PowerShell

Команда Set-ADOrganizationalUnit используется для изменения OU. Она очень мощная, в отличие от dsmod.exe. Вы можете легко изменить множество параметров OU, таких как DistinguishedName, LinkedGroupPolicyObjects или ManagedBy. Вот пример того, как изменить параметр ManagedBy в OU:

Import-Module ActiveDirectory
Set-ADOrganizationalUnit -Identity "OU=TestOU,DC=office,DC=local" -ManagedBy "CN=User,CN=Users,DC=office,DC=local"

Active Directory ( AD ) - это база данных платформы Windows Server 2003. Active Directory содержит информацию о таких объектах, как сетевые учетные записи, группы, серверы и принтеры, а также другую информацию о домене. Active Directory поддерживается в Windows Server 2003 Enterprise Edition и Datacenter Edition . Active Directory нельзя установить на серверах Windows 2003 Web Edition .

Active Directory содержит иерархическую структуру для администратора, позволяющую организовывать объекты в его домене. Должное планирование структуры этого каталога позволяет администратору упростить делегирование администрирования и облегчить управление настольными системами.

Поскольку AD - это база данных LDAP ( Lightweight Directory Access Protocol ), вы можете реализовать запросы по объектам, содержащимся в этом каталоге. Имеются средства, с помощью которых вы можете применять фильтры к своим запросам, позволяющие сузить область поиска нужной вам информации.

В этой лекции рассматривается структура Active Directory , а также дается описание некоторых стратегий по структуризации вашей собственной базы данных Active Directory . Описывается также, как создавать запросы и использовать средства оснастки Active Directory Users and Computers для поиска информации.

Структура Active Directory

Active Directory позволяет вам использовать иерархическую структуру для организации объектов, содержащихся в вашем домене. Объектами могут быть, например, пользователи, принтеры и группы. В "Контроллеры доменов" описывается, как использовать DCPROMO для повышения статуса вашего рядового сервера Windows Server 2003 до уровня контроллера домена. После выполнения DCPROMO ваш сервер будет содержать установку по умолчанию Active Directory .

Оснастка Active Directory Users and Computers

Active Directory Users and Computers - это ваш интерфейс для управления объектами Active Directory, такими как пользователи, компьютеры и группы. Для просмотра вашей установки Active Directory выберите Start/Programs/Administrative Tools/ Active Directory Users and Computers (см. рис. 10.1).

Оснастка Active Directory Users and Computers выглядит аналогично Windows Explorer (Проводник). Она содержит значки папок и объектов, содержащихся в этих папках. Эти папки называются организационными единицами (OU) и контейнерами. Организационные единицы - это папки со значком книги в середине. AD поставляется с OU по умолчанию Domain Controllers (Контроллеры домена). Контейнеры - это папки, не содержащие какого-либо значка.


Рис. 10.1. Средство управления Active Directory Users and Computers

Организационные единицы

OU - это объекты в Active Directory , которые могут определяться пользователем и к которым может применяться групповая политика . По умолчанию AD содержит OU Domain Controllers, куда включаются все контроллеры данного домена. Каждый раз, как вы запускаете DCPROMO на рядовом сервере домена, компьютерная учетная запись этого компьютера перемещается в OU Domain Controllers.

Администратор может также создавать организационные единицы (OU). Обычно OU создаются для упрощения административного управления доменом. Для создания OU выполните следующие шаги.

  1. Щелкните правой кнопкой на узле, для которого хотите создать OU (например, на узле домена) и выберите New/Organizational Unit (Создать/Организационная единица).
  2. В диалоговом окне New Object - Organizational Unit введите имя вашей OU. В данном примере используется OU Sales.
  3. Щелкните на кнопке OK.
  4. Диалоговое окно закроется, и вы увидите новую созданную OU под узлом домена.

Вы можете создавать вложенные OU, помещая их внутри этой OU, но обычно при создании структуры OU не рекомендуется создавать более 5 уровней вложенности.

Контейнеры

Контейнеры создаются системой Windows Server 2003 по различным причинам. По умолчанию создаются следующие контейнеры.

  • Builtin.Содержит несколько локальных в домене групп по умолчанию (подробнее см. в "Управление группами и организационными единицами" ).
  • Computers.По умолчанию при добавлении какого-либо компьютера в ваш домен учетная запись этого компьютера помещается в контейнер Computers. Вы можете в дальнейшем перемещать эти компьютерные учетные записи в созданную вами OU.
  • ForeignSecurityPrincipals.Содержит прокси-объекты для вашего домена, чтобы взаимодействовать с доменом NT 4 и нижележащими доменами как со сторонними доменами вне вашего леса.
  • Users.Контейнер по умолчанию для учетных записей Windows; в случае миграции из домена NT 4 здесь будут находиться ваши пользовательские учетные записи. При желании вы можете перемещать эти пользовательские учетные записи в другие OU.

Если выбрать View/Advanced Features (Вид/Дополнительно) в Active Directory Users and Computers, то вы увидите следующие дополнительные контейнеры.

  • LostAndFound.Содержит объекты, которые были удалены в данном домене, если объект был перемещен в OU или контейнер, удаленный до того, как была выполнена репликация каталога.
  • NTDS Quotas.В Windows Server 2003 добавлено несколько новых технологий, позволяющих задавать квоты на объекты Active Directory. В этом контейнере хранится информация о квотах служб каталога.
  • Program Data.Новый контейнер, введенный в Windows Server 2003, чтобы хранить политики управления авторизацией для приложений.
  • System.Содержит несколько дочерних контейнеров.
  • AdminSDHolder.Используется для управления полномочиями пользовательских учетных записей, которые являются членами встроенных групп Administrators или Domain Admins.
  • ComPartitionSets.Используется в разработке приложений; содержит информацию для наборов разделов COM+, что позволяет пользователям в этом домене выполнять доступ к службам приложения, которые предоставляются приложением COM+.
  • Default Domain Policy.Содержит группы безопасности и полномочия по умолчанию для вашего домена.
  • Dfs-Configuration.Содержит информацию по отказоустойчивой файловой системе Distributed File System ( DFS ). Сведения по DFS см. в "Управление файлами и дисками" .
  • DomainUpdates.Здесь создаются контейнеры, если у вас выполнена модернизация из Windows NT или Windows 2000 в Windows Server 2003.
  • File Replication Service.Содержит информацию по планированию репликации System Volume (SYSVOL) для вашего домена.
  • FileLinks.Используется службой Distributed Link Tracking для отслеживания информации по файлам, которые были перемещены на другие тома NTFS.
  • IP Security.Содержит политики IPSec для вашего домена, которые обеспечивают защищенный сетевой обмен информацией между компьютерами.
  • Meetings.Используется для хранения информации, относящейся к собраниям Microsoft NetMeeting.
  • MicrosoftDNS.В этом контейнере хранятся интегрированные с Active Directory зоны DNS. Здесь сохраняются записи всех зон, которые затем реплицируются на другие серверы DNS для той же зоны DNS в данном домене. Подробнее об интегрированных с Active Directory зонах DNS см. в "Ознакомление с DNS" .
  • Policies.Содержит объекты Group Policy ( GPO ) для вашего домена. Подробнее об объектах GPO см. в "Использование Group Policy для управления клиентскими и серверными машинами" .
  • RAS and IAS Servers Access Check.Содержит информацию по службам Remote Access Services ( RAS ) и Internet Authentication Services (IAS) для вашего домена.
  • RpcServices.Служба Remote Procedure Call Name Service для поиска в доменах для систем, предшествовавших Windows 2000.
  • Winsock Services.В этом контейнере публикуются основанные на применении сокетов службы, которые используют протокол Registration and Resolution Protocol.
  • WMIPolicy.Содержит объекты GPO Windows Management Instrumentation ( WMI ) для вашего домена. Фильтры WMI применяются только к Windows XP и последующим версиям.

Объекты Active Directory

Еще одним элементом, содержащимся в Active Directory, являются объекты. Объекты размещаются внутри организационных единиц и контейнеров Active Directory. Вы можете помещать объекты в определенной OU и определять групповую политику по этой OU, чтобы упрощать задачи администрирования или управлять компьютерной средой. К примерам объектов можно отнести принтеры, пользовательские учетные записи, компьютерные учетные записи и группы безопасности.

LDAP и Active Directory

Active Directory можно запрашивать с помощью протокола LDAP ( Lightweight Directory Access Protocol ), который поддерживается несколькими платформами. LDAP указывает путь именования, определяющий любой объект Active Directory , OU или контейнер . В этом разделе описываются пути именования, используемые для доступа к Active Directory .

Отличительные имена

Каждый объект в Active Directory имеет свое отличительное имя (DN - distinguished name). DN определяет полный путь LDAP для доступа к определенному объекту Active Directory. Любое DN содержит следующие атрибуты пути.

  • Доменный компонент (DC - Domain Component).Используется для определения компонента DNS-имени объекта Active Directory.
  • Организационная единица (OU).Организационная единица.
  • Общее имя (CN - Common Name).Объект, отличный от DC или OU; например, CN можно использовать для определения компьютерной или пользовательской учетной записи.

Как видно из этих примеров, описание DN дается снизу вверх по пути в Active Directory, начиная с объекта и вплоть до корня домена.

Относительные отличительные имена

Относительное отличительное имя (relative distinguished name) в пути LDAP содержит информацию об объекте Active Directory в контексте текущего рассматриваемого пути. Если взять предыдущий пример получения объекта с помощью отличительного имени (DN) для пользовательской учетной записи Mary Smith, то DN описывалось как

Организационной единицей (Organizational Unit — OU) называется контейнер админи­стративного уровня, подобный показанному на рис. 6.1, который используется для логиче­ской организации объектов в AD DS. Концепция организационной единицы происходит от стандарта облегченного протокола доступа к каталогам (Lightweight Directory Access Protocol — LDAP), на основании которого создавалась AD DS, хотя между самим LDAP и AD DS существуют концептуальные различия.

Объекты в Active Directory могут логически помещаться в организационные единицы в соответствии с указаниями администратора. Хотя объекты всех пользователей по умол­чанию помещаются в контейнер Users (Пользователи), а объекты всех компьютеров — в контейнер Computers (Компьютеры), они могут перемещаться оттуда в любой момент.

Используемые по умолчанию папки Users (Пользователи) и Computers (Компьютеры) в AD DS с технической точки зрения являются не организационными единицами, а скорее объектами класса Container. Это очень важно понимать, поскольку объекты класса Container ведут себя не так, как организационные единицы. Чтобы получить возможность должным образом использовать службы вроде групповых политик (Group Policies), работа которых зависит от функциональности организационных единиц, объ­екты пользователей и компьютеров рекомендуется перемещать из стандартных контей­неров в структуру OU.

На каждый объект в структуре AD DS можно ссылаться в запросах LDAP за счет ука­зания конкретного места, в котором он находится в структуре OU. Подобные ссылки бу­дут довольно часто встречаться при написании сценариев для модификации или создания пользователей в AD DS либо просто при выполнении LDAP-запросов к AD DS.

Организационные единицы в основном удовлетворяют потребность в делегировании прав на администрирование различным группам администраторов. Хотя существуют и другие возможные способы применения организационных единиц, делегирование прав на администрирование все-таки является главной причиной для создания OU в среде AD DS.

OU. OU — это минимальная "единица" администрирования, права управления которой можно делегировать некоторому пользователю или группе. С помощью OU можно обеспечить локальное администрирование пользователей (создание, модификация и удаление учетных записей) или ресурсов.

Примечание: Организационные единицы и подразделения — это термины-синонимы; мы будет чаще использовать понятие организационная единица, говоря о структуре каталога Active Directory и его дереве, и подразделение — когда речь идет об администрировании Active Directory, делегировании управления и т. п.

В каталоге Active Directory организационные единицы представляют собой объекты типа "контейнер" и отображаются в окне оснастки Active Directory — пользователи и компьютеры (Active Directory Users and Computers) как папки. Их основное назначение — группирование объектов каталога с целью передачи административных функций отдельным пользователям.

Дерево OU может отображать реальную структуру организации — административную, функциональную и т. п. При этом учитываются иерархия полномочий ответственных работников и необходимые функции управления. Каждый доменов дереве или лесе может иметь свою, совершенно независящую от других структуру организационных единиц.

Организационная единица — минимальная структурная единица, которой можно назначить собственную групповую политику, т. е. определить разрешения на доступ к ней (и подчиненным OU), конфигурационные настройки и т. п. Однако OU не является структурным элементом безопасности (т. е. нельзя, скажем, назначить подразделению некоторые права доступа к определенному объекту), а служит только для группирования объектов каталога. Для назначения полномочий и разрешений доступа к ресурсам следует применять группы безопасности (security groups).

Примечание: Параметры безопасности групповой политики, назначенной некоторому подразделению, позволяют "сужать" область действия этой политики. Предположим, например, что в подразделении имеется несколько групп безопасности. По умолчанию групповая политика распространяется на всех членов подразделения. Однако можно сделать так, что эта политика будет действовать только на определенную группу (группы) и игнорироваться остальными группами подразделения. Подробнее об этом рассказано в главе 27.

Вот рекомендации по выбору решения (организовать ли в сети несколько доменов или делить её на организационные единицы):

  • Создавайте несколько доменов, если в организации действует децентрализованное управление, при котором пользователями и ресурсами управляют совершенно независимые администраторы.
  • Создавайте несколько доменов, если части сети связаны медленным каналом и совершенно нежелательна полная репликация по этому каналу (если репликация возможна хотя бы иногда, то лучше создавать один домен с несколькими сайтами).
  • Разбивайте домен на организационные единицы, чтобы отразить в них структуру организации.
  • Разбивайте домен на организационные единицы, если нужно делегировать управление над ограниченными, небольшими группами пользователей и ресурсов; при этом можно делегировать все права администрирования или только некоторые.
  • Разбивайте домен на организационные единицы, если их структура соответствует будущим изменениям в организации (компании). Домены же, по возможности, нужно конфигурировать так, чтобы перемещать или делить их приходилось как можно реже.

Двухуровневая иерархия — доменов в дереве доменов и организационных единиц в домене — обеспечивает гибкость администрирования, которое может быть и централизованным, и децентрализованным, и смешанным.

date

15.11.2021

directory

Active Directory, PowerShell, Windows Server 2019

comments

Комментариев пока нет

Довольно часто администратору Active Directory при создании новых организационных единиц (OU — Organizational Units) нужно сразу создать определенную структуру вложенных контейнеров внутри новой OU. Например, при открытии нового филиала вам нужно создать в новом OU контейнеры для пользователей, групп, серверов и сервисных аккаунтов. Чтобы не создавать OU и не раздавать на них права вручную из консоли ADUC (dsa.msc), вы можете использовать PowerShell скрипт из этой статьи. Скрипт не только создает новые контейнеры, но и создает административные группы и предоставляет им права на новые OU.

Для создания нового OU в Active Directory используется командлет New-ADOrganizationalUnit из модуля RSAT-AD-PowerShell. Чтобы создать OU в указанном контейнере можно использовать такую команду:

New-ADOrganizationalUnit -Name "Users" -Path “OU=KZN,OU=RU,DC=resource,DC=loc” –Description “Контейнер для пользователей Казани” -PassThru

Если не указывать параметр Path, новый OU будет создан в корне AD.

По умолчанию при создании контейнеров AD для них включена опция защиты от удаления (ProtectedFromAccidentalDeletion). Вы можете отключить эту опцию, или изменить любой другой атрибут Organizational Unit в Active Directory с помощью Set-ADOrganizationalUnit:

Get-ADOrganizationalUnit -Identity “OU=Users,OU=KZN,OU=RU,DC=resource,DC=loc”| Set-ADOrganizationalUnit -ProtectedFromAccidentalDeletion $false

Для удаления OU со всеми вложенными объектами используется такая команда:

Remove-ADObject -Identity "OU=Users,OU=KZN,OU=RU,DC=resource,DC=loc” -Recursive

Рассмотрим небольшой PowerShell скрипт, который позволяет автоматизирвать создание типовой структуры OU для новых подразделений в Active Directory.

Допустим, в вашей компании принято создать для каждого филиала отдельный OU со следующей структурой вложенных контейнеров:

После создания структуры OU вам нужно создать группы администраторов в AD и делегировать для них права на OU:

  • Город_admins – администраторы филиала (максимальные права на все OU)
  • Город_account_managers – пользователи с правами управления учетными записями (создание новых пользователей, сброс паролей в AD и т.д.). Права только на OU Users и Service Accounts
  • Город_wks_admins – служба технической поддержки с правами администратора на компьютерах филиала (права на контейнер Computers, также добавляется в локальные администраторы компьютеров через GPO)

типовая структура OU филиала компании в Active Directory

Ниже приведена базовая версия такого PowerShell скрипта с комментариями. Код скрипт CreateOUStructure.ps1 доступен в нашем GitHub:

Заполните переменные в начале скрипт и запустите его (не забудьте про политику выполнения скриптов PowerShell). Скрипт должен создать нужную структуру OU, группы и делегировать права на сброс паролей в контейнер Users.

powershell скрипт: создать структуру OU и делегировать права на новые контейнеры

Можно дополнить скрипт, добавив типовые операции, которые вы выполняете при создании OU для нового филиала.

$wksGPO=New-GPO -Name ($City + “_WKS_Policy”) -Comment "$City Workstations Policy"
Get-GPO $wksGPO | New-GPLink -Target ("OU=Computers,OU="+$City+","+$DomainDN") -LinkEnabled Yes

Читайте также: