مهدی شریفی
مهدی شریفی
خواندن ۹ دقیقه·۵ سال پیش

مفهوم Organizational Unit در اکتیودایرکتوری و چند مثال از ساختار آن در سازمان‌ها

مقدمه

در این مقالـه قصد داریم که شما را با نکاتی درباره طراحی Organizational Unit یا همان OU های سازمان آشنا و اینکه چگونه بتوانیم OUهای سازمان را به بهترین حالت ممکن طراحی کنیم ، آشنا کنیم. اکتیو دایرکتوری چندین سال است که تغییرات اساسی چندانی نداشته است.یعنی از زمانی که اکتیو دایرکتوری از سال 2000 طراحی و ایجاد شد ، همان ساختار سازمانی اش را داشته و تا به حال هم همین ساختار به صورت سازمانی اش است که اصطلاحا به آن Organizational Unit می گویند وجود داشته است و همین Organizational Unit ها هستند که به ادمین ها کمک می کنند تا سازمانشان را به نحو احسن طراحی کنند تا کنترل آن راحت تر باشد.


مفهوم ORGANIZATIONAL UNIT یا OU چیست ؟

یک OU در واقع یک Object یا همان شی است که درون اکتیو دایرکتوری تعریف میشود. که این OU ها خودشان باعث سازماندهی و نظم دادن به بقیه Object هایی که ساخته و یا از قبل درون اکتیو دایرکتوری هستند ، می شوند.همچنین کسانی که با اکتیو دایرکتوری کار کرده اند باید متوجه این مساله باشند که OU ها با Containerها فرق دارند.چرا که ما میتوانیم به OUها Group Policy اعمال کنیم و حتی می توانیم Group Oplicy مورد نظرمان را هم به OU مورد نظر Link کنیم.اما به Container این امکان وجود ندارد. و در ضمن این را هم باید گفت که OU ها را ادمین می سازد اما Container ها به صورت پیش فرض درون اکتیو دایرکتوری وجود دارند.مانند کانتینر Userها که به صورت پیش فرض وجود داشته و یوزرهای اساسی و کلیدی مانند Administrator و ... هم به طور پیش فرض در آن هستند.

در درجه اول باید برای Object های زیر ایجاد OU کرد:

  • براساس User Accountها یا همان کاربران سازمان .
  • براساس Groupها یا همان گروه های ایجاد شده که قرار است هر کاربری بر حسب نوع مسئولیتش در سازمان در یکی از گروه ها قرار بگیرد.
  • براساس Computerها یا به عبارتی کلیه سیستم های سازمان که کاربران از آنها استفاده می کنند.

در ضمن این را هم باید گفت که از OUها می توان برای سازماندهی فایل های Share شده و Printerها استفاده کرد. اما کنترل این Objectها با استفاده از OUها کار غیر معمول و بدون سودی است. پس پیشنهاد من این است که این کار را انجام ندهید.

پیش فرض های OU:

زمانی که Active Directory برای اولین بار نصب بشود ، با وارد شدن به آن ، خواهید دید که فقط یک OU درون آن وجود دارد و نام آن هم Domain Controllers است. که این OU برای سازمان دهی و مدیریت Domain Controller(DC)های ساخته شده دورن Domain می باشد. ذکر این نکته ضروری است که مدیران Domainها می توانند هر اندازه که بخواهند OU ایجاد کنند و هیچ محدودیتی برای تعداد OU های ساخته شده برای آنها وجود ندارد. اما همیشه به این نکته توجه کنید که تا آنجایی که می‌توانید شبکه تان را پیچیده طراحی نکنید و آن را شلوغ نکنید چونکه مدیریت آن مشکل می‌شود و زیر و بم آن را در آینده فراموش می‌کنید.

دلایل ایجاد OU:

1) دلیل اصلی ایجاد OU ، مدیریت Object های شبکه است معمولا مدیریت Userها و Groupها به راحتی امکان پذیر است ولی مدیریت به Objectهایی مانند Computerها یا Serverها با دشواری بیشتری همراه است. زمانی که یک ویژگی خاصی به یک OU داده می‌شود ، این ویژگی به Objectهای درون OU هم اعمال می شود و این حالت را اصطلاحا Delegate کردن می‌گویند پس بعضا پیش می‌آید که می توان حالت‌های مدیریتی را بین OU ها تقسیم کرد که به هر OU ، Permission خاصی را باید تخصیص داد .

2) دلیل دومی که برای ساختن OUها وجود دارد ، گسترش GPOها (یا Group User Policy) است که قرار است اعمال کنیم یعنی با این کار دستمان بازتر است زیرا که بعد از تقسیم بندی کاربران و ایجاد OUهای متناظر با آنها ، به راحتی با اعمال GPO به OUها می توانیم محدودیت هایمان را اعمال کنیم. این کار علاوه بر اینکه باعث منظم شدن اکتیو دایرکتوری می‌شود ؛ مدیریت، رفع مشکل و گسترش GPOها را نیز ساده‌تر می‌نماید.


اصول طراحی ساختار در OU:

زمانی که حرف از طراحی ساختار OU می‌شود ، سوالات و بحث های زیادی به میان می‌آید. و این کار به مراتب بهتر از زمانی است که که ابتدا اکتیو دایرکتوری تان راه بیاندازید و سازمانتان را بچینید و آخر کار یادتان بیفتد که باید برای OUهایتان یک ساختار مناسب طراحی کنید. و متاسفانه این کار غیر معقول در اکثر شرکت ها و سازمان ها پیش می‌آید که مجبور می‌شوند تا اکتیو دایرکتوریشان را برای راحتی کارشان دوباره راه اندازی کنند. پس پیشنهاد می‌شود اصولی کار کنیم و قبل از هر چیزی ابتدا یک ساختار مناسب برای OUهایمان طراحی کنیم.

مواردی که هنگام طراحی ساختار Active Directory ، باید به آنها توجه کرد عبارتند از :

1) باید مشخص کنیم که چه کسی قرار است مدیریت کاربران ، گروه ها و کامپیوتر ها را داشته باشد؟

2) هر کسی که مسئول مدیریت کاربران ، گروه ها و کامپیوترها است ، آیا مسئول کل این اجزا است یا قسمتی از مدیریت به او داده می شود؟

3) چه افرادی باید محدودیت‌هایشان مانند هم باشند و چه افرادی باید محدودیت هایشان با یکدیگر فرق بکند؟

این تفاوت‌های بین کاربران ، بر اساس نوع کاری که در سازمان می‌کنند مشخص می‌شود. مثلا مدیر شبکه قاعدتا نباید هیچ محدودیتی داشته باشد و کاربران معمولی باید سطح دسترسی کمتری نسبت به مدیران داشته باشند که این محدودیت‌ها به مواردی مانند پرینترها ، ساختار امنیتی سازمان ، تنظیمات نرم‌افزارها ، تنظیمات مرورگرها مانند Internet Explorer و ... اعمال می‌گردد.

چه کامپیوتر هایی باید تنظیمات یکسانی داشته باشند و چه کامپیوترهایی باید تنظیماتشان با یکدیگر تفاوت داشته باشند؟

بهمین منظور شما باید قبل از رسیدگی به این امر ، کامپیوترهای معمولی و سرورهایتان را از هم جدا کنید.


چه تعداد OU باید ایجاد کنیم ؟

این سوالی است که اغلب افراد ، هنگام طراحی اکتیو دایرکتوری ، از خودشان می پرسند. که این سوال هم جواب قطعی ای را ندارد. جواب این سوال درون خواسته تان از اکتیو دایرکتوری و چگونگی مدیریت آن و چگونگی اعمال GPO ها نهفته است.

  • تعداد کم – این نوع طراحی هزینه های جانبی بالایی را به دنبال دارد. اگر تعداد OUهایمان خیلی کم باشد ، آنگاه تقسیم وظایف بسیار مشکل و مدیریت کاربران ، گروه ها و کامپیوتر ها به سختی قابل کنترل است. و همچنین عیب یابی نیز در این حالت بسیار مشکل می شود.
  • تعداد زیاد – این طرح نتیجه یک برنامه ریزی بسیار بد و تعداد مدیران زیاد است ، که شما در صورتی که از این قاعده استفاده کنید آنگاه نتیجه کارتان دو حالت می شود . که یکی از آنها ماندن OU ها است و دیگری پاک کردن OU ها است.
  • تعداد کافی – با این حالت شما می توانید به آرمانی ترین حالت برای سازمانتان برسید . یعنی باید سازمانتان را اگر در حالت 1 است ، افزایش دهید و اگر در حالت 2 است ، ان را کاهش دهید و سازمانتان را بسته به یک دید جدید و کلی و نوع تعریف اولیه ای که برای Objectهایتان کرده اید ایجاد کنید.


برای ایجاد OU مناسب دو نوع مدل می‌توان ارائه کرد.

  • براساس کارمندان هر شعبه (دفتر مرکزی ، شعبه یکم ، شعبه دوم و ...)
  • براساس تیم‌های کاری و پروژه‌ها


مدل اول: براساس کارمندان هر دفتر:

اگر ساختار شرکت شما به گونه‌ای است که دارای بیش از یک دفتر مرکزی با شعبات مختلف می‌باشد ، با این فرض که تمامی این دفاتر بصورت اینترانت بهم متصل هستند ، مدل عنوان شده می‌تواند تا حد زیادی از پیچیدگی کار شما کم کند. براساس این مدل تقسیم کاربران برمبنای محل کار و دفتر مستقر در آن امکان پذیر خواهد بود.

برهمین اساس OU مورد نظر بصورت زیر قابل پیاده‌سازی می‌باشد:

مدل اول: براساس کارمندان هر دفتر
مدل اول: براساس کارمندان هر دفتر


همچنین برای سهولت و دسترسی به جزئیات بیشتر امکان ساخت OU بصورت زیر نیز وجود دارد.

مدل اول: براساس کارمندان هر دفتر - اضافه نمودن جزئیات بیشتر برای ساده‌سازی ساختار Domain
مدل اول: براساس کارمندان هر دفتر - اضافه نمودن جزئیات بیشتر برای ساده‌سازی ساختار Domain


مدل دوم: براساس پروژه‌ها و یا تیم‌های کاری:

براساس این مدل ساخت OU برمبنای پروژه‌ها و یا تیم‌های کاری امکان پذیر خواهد بود.

برهمین اساس OU مورد نظر بصورت زیر قابل پیاده سازی می‌باشد:

مدل دوم: براساس پروژه‌ها و یا تیم‌های کاری
مدل دوم: براساس پروژه‌ها و یا تیم‌های کاری

مدل سوم: براساس پروژه‌ها ، تیم‌های کاری و شعب:

براساس این مدل ساخت OU برمبنای پروژه‌ها ، تیم‌های کاری بهمراه در نظر گرفتن دفترکاری هر تیم امکان پذیر خواهد بود.

برهمین اساس OU مورد نظر بصورت زیر قابل پیاده سازی می‌باشد.

مدل سوم: براساس پروژه‌ها ، تیم‌های کاری و شعب
مدل سوم: براساس پروژه‌ها ، تیم‌های کاری و شعب


کلام آخر:

اگر ازOUها برای ساختار اکتیو دایرکتوری استفاده نشود آنگاه مدیریت ، کارایی و عیب‌یابی اکتیو دایرکتوری ممکن است به طور باور نکردنی‌ای به مشکل بخورد و در طرف مقابل این قضیه ، اگر تعداد زیادی OU ایجاد کنیم ، باز همان مسائل ایجاد می شود ، یعنی مدیریت ، کارایی و عیب یابی اکتیو دایرکتوری به مشکل می‌خورد بنابراین OU ها باید با توجه به شباهت و محدوده دسترسی‌ا ایجاد شود.



اکتیو دایرکتوری
شاید از این پست‌ها خوشتان بیاید