در این مقالـه قصد داریم که شما را با نکاتی درباره طراحی Organizational Unit یا همان OU های سازمان آشنا و اینکه چگونه بتوانیم OUهای سازمان را به بهترین حالت ممکن طراحی کنیم ، آشنا کنیم. اکتیو دایرکتوری چندین سال است که تغییرات اساسی چندانی نداشته است.یعنی از زمانی که اکتیو دایرکتوری از سال 2000 طراحی و ایجاد شد ، همان ساختار سازمانی اش را داشته و تا به حال هم همین ساختار به صورت سازمانی اش است که اصطلاحا به آن Organizational Unit می گویند وجود داشته است و همین Organizational Unit ها هستند که به ادمین ها کمک می کنند تا سازمانشان را به نحو احسن طراحی کنند تا کنترل آن راحت تر باشد.
یک OU در واقع یک Object یا همان شی است که درون اکتیو دایرکتوری تعریف می شود.که این OU ها خودشان باعث سازماندهی و نظم دادن به بقیه Object هایی که ساخته و یا از قبل درون اکتیو دایرکتوری هستند ، می شوند.همچنین کسانی که با اکتیو دایرکتوری کار کرده اند باید متوجه این مساله باشند که OU ها با Containerها فرق دارند.
چرا که ما می توانیم به OUها Group Policy اعمال کنیم و حتی می توانیم Group Oplicy مورد نظرمان را هم به OU مورد نظر Link کنیم.اما به Container این امکان وجود ندارد.و در ضمن این را هم باید گفت که OU ها را ادمین می سازد اما Container ها به صورت پیش فرض درون اکتیو دایرکتوری وجود دارند.مانند کانتینر Userها که به صورت پیش فرض وجود داشته و یوزرهای اساسی و کلیدی مانند Administrator و ... هم به طور پیش فرض در آن هستند.
در ضمن این را هم باید گفت که از OUها می توان برای سازماندهی فایل های Share شده و Printerها استفاده کرد.اما کنترل این Objectها با استفاده از OUها کار غیر معمول و بدون سودی است.پس پیشنهاد ما این است که این کار را انجام ندهید.
زمانی که Active Directory برای اولین بار نصب بشود ، با وارد شدن به آن ، خواهید دید که فقط یک OU درون آن وجود دارد و نام آن هم Domain Controllers است. که این OU برای سازمان دهی و مدیریت Domain Controller)DC)های ساخته شده دورن Domain می باشد. دوستان عزیز ، این را هم بگیم که مدیران Domainها می توانند هر اندازه که بخواهند OU ایجاد کنند و هیچ محدودیتی برای تعداد OU های ساخته شده برای آنها وجود ندارد.اما همیشه به این نکته توجه کنید که تا آنجایی که می توانید شبکه تان را پیچیده طراحی نکنید و آن را شلوغ نکنید چونکه مدیریت آن مشکل می شود و زیر و بم آن را در آینده فراموش می کنید.
دلیل اصلی ایجاد OU ، مدیریت Object های شبکه است.معمولا مدیریت Userها و Groupها به راحتی امکان پذیر است و مدیریت کمی می توان به Objectهایی مانند Computerها یا Serverها کرد.
زمانی که یک ویژگی خاصی به یک OU داده می شود ، این ویژگی به Objectهای درون OU هم اعمال می شود و این حالت را اصطلاحا Delegate کرن می گویند ، یعنی در واقع یک وظیفه خاصی را به OU می دهند و با استفاده از ویزارد Delegation که تصویر آن در پایین آمده است ، می توان تقسیم وظیفه را انجام داد.پس بعضا پیش می آید که می توان حالت های مدیریتی را بین OU ها تقسیم کرد که به هر OU ، Permission خاصی را باید تقدیم کرد .
دلیل دومی که برای ساختن OUها وجود دارد ، گسترش GPOهایی است که قرار است اعمال کنیم.یعنی با این کار دستمان بازتر است.زیرا که بعد از تقسیم بندی کاربران و ایجاد OUهای متناظر با آنها ، حالا به راحتی با اعمال GPO به OUها می توانیم محدودیت هایمان را به راحتی اعمال کنیم. که این کار علاوه بر اینکه باعث نظم اکتیو دایرکتوری می شود ، باعث می شود به راحتی GPOها را مدیریت ، رفع اشکال و گسترش داد.
زمانی که حرف از طراحی ساختار OU می شود ، سوالات و بحث های زیادی به میان می آید. و این کار به مراتب بهتر از زمانی است که که ابتدا اکتیو دایرکتوری تان راه بیاندازید و سازمانتان را بچینید و آخر کااار یادتان بیفتد که باید برای OUهایتان یک ساختار مناسب طراحی کنید. و متاسفانه این کار غیر معقول در اکثر شرکت ها و سازمان ها پیش می آید که مجبور می شوند تا اکتیو دایرکتوریشان را برای راحتی کارشان دوباره راه اندازی کنند.پس پیشنهاد می شود اصولی کار کنیم و قبل از هر چیزی ابتدا یک ساختار مناسب برای OUهایمان طراحی کنیم.
این تفاوت های بین کاربران ، بر اساس نوع کاری که در سازمان می کنند مشخص می شود.مثلا مدیر شبکه قاعدتا نباید هیچ محدودیتی داشته باشد و کاربران معمولی باید سطح دسترسی کمتری نسبت به مدیران داشته باشند که این محدودیت ها باید به مواردی مانند پرینتر ها ، ساختار امنیتی سازمان ، تنظیمات نرم افزار ها ، تنظیمات مرورگرها مانند Internet Explorer و ....
این سوالی است که اغلب افراد ، هنگام طراحی اکتیو دایرکتوری ، از خودشان می پرسند. که این سوال هم جواب قطعی ای را ندارد. جواب این سوال درون خواسته تان از اکتیو دایرکتوری و چگونگی مدیریت آن و چگونگی اعمال GPO ها نهفته است. در اینجا 3 قاعده کلی برای نحوه ایجاد OUهای سازمانتان را می گوییم که امید است روزی روزگاری به کمکتان بیاید :
OUها برای طراحی ساختار اکتیو دایرکتوری بسیار ضروری اند.اگر از OUها برای ساختار اکتیو دایرکتوری استفاده نشود آنگاه مدیریت ، کارایی و عیب یابی اکتیو دایرکتوری ممکن است به طور باور نکردنی ای به مشکل بخورد. و در طرف مقابل این قضیه ، اگر تعداد زیادی OU ایجاد کنیم ، باز همان مسائل ایجاد می شود ، یعنی مدیریت ، کارایی و عیب یابی اکتیو دایرکتوری به مشکل می خورد.بنابراین سعی کنید تعداد OUهایتان را در حد متوسط نگه دارید. سعی کنید هنگام طراحی به این فکر باشید که ، چگونه می خواهید ، وظایف را بین کاربران تقسیم کنید و چه GPOهایی قرار است به آنها اعمال کنید ، تا فکرتان بازتر و دقیق تر به این مساله (طراحی OUها ) رسیدگی کند.