در این مقالـه قصد داریم که شما را با نکاتی درباره طراحی Organizational Unit یا همان OU های سازمان آشنا و اینکه چگونه بتوانیم OUهای سازمان را به بهترین حالت ممکن طراحی کنیم ، آشنا کنیم. اکتیو دایرکتوری چندین سال است که تغییرات اساسی چندانی نداشته است.یعنی از زمانی که اکتیو دایرکتوری از سال 2000 طراحی و ایجاد شد ، همان ساختار سازمانی اش را داشته و تا به حال هم همین ساختار به صورت سازمانی اش است که اصطلاحا به آن Organizational Unit می گویند وجود داشته است و همین Organizational Unit ها هستند که به ادمین ها کمک می کنند تا سازمانشان را به نحو احسن طراحی کنند تا کنترل آن راحت تر باشد.
یک OU در واقع یک Object یا همان شی است که درون اکتیو دایرکتوری تعریف میشود. که این OU ها خودشان باعث سازماندهی و نظم دادن به بقیه Object هایی که ساخته و یا از قبل درون اکتیو دایرکتوری هستند ، می شوند.همچنین کسانی که با اکتیو دایرکتوری کار کرده اند باید متوجه این مساله باشند که OU ها با Containerها فرق دارند.چرا که ما میتوانیم به OUها Group Policy اعمال کنیم و حتی می توانیم Group Oplicy مورد نظرمان را هم به OU مورد نظر Link کنیم.اما به Container این امکان وجود ندارد. و در ضمن این را هم باید گفت که OU ها را ادمین می سازد اما Container ها به صورت پیش فرض درون اکتیو دایرکتوری وجود دارند.مانند کانتینر Userها که به صورت پیش فرض وجود داشته و یوزرهای اساسی و کلیدی مانند Administrator و ... هم به طور پیش فرض در آن هستند.
در درجه اول باید برای Object های زیر ایجاد OU کرد:
در ضمن این را هم باید گفت که از OUها می توان برای سازماندهی فایل های Share شده و Printerها استفاده کرد. اما کنترل این Objectها با استفاده از OUها کار غیر معمول و بدون سودی است. پس پیشنهاد من این است که این کار را انجام ندهید.
زمانی که Active Directory برای اولین بار نصب بشود ، با وارد شدن به آن ، خواهید دید که فقط یک OU درون آن وجود دارد و نام آن هم Domain Controllers است. که این OU برای سازمان دهی و مدیریت Domain Controller(DC)های ساخته شده دورن Domain می باشد. ذکر این نکته ضروری است که مدیران Domainها می توانند هر اندازه که بخواهند OU ایجاد کنند و هیچ محدودیتی برای تعداد OU های ساخته شده برای آنها وجود ندارد. اما همیشه به این نکته توجه کنید که تا آنجایی که میتوانید شبکه تان را پیچیده طراحی نکنید و آن را شلوغ نکنید چونکه مدیریت آن مشکل میشود و زیر و بم آن را در آینده فراموش میکنید.
1) دلیل اصلی ایجاد OU ، مدیریت Object های شبکه است معمولا مدیریت Userها و Groupها به راحتی امکان پذیر است ولی مدیریت به Objectهایی مانند Computerها یا Serverها با دشواری بیشتری همراه است. زمانی که یک ویژگی خاصی به یک OU داده میشود ، این ویژگی به Objectهای درون OU هم اعمال می شود و این حالت را اصطلاحا Delegate کردن میگویند پس بعضا پیش میآید که می توان حالتهای مدیریتی را بین OU ها تقسیم کرد که به هر OU ، Permission خاصی را باید تخصیص داد .
2) دلیل دومی که برای ساختن OUها وجود دارد ، گسترش GPOها (یا Group User Policy) است که قرار است اعمال کنیم یعنی با این کار دستمان بازتر است زیرا که بعد از تقسیم بندی کاربران و ایجاد OUهای متناظر با آنها ، به راحتی با اعمال GPO به OUها می توانیم محدودیت هایمان را اعمال کنیم. این کار علاوه بر اینکه باعث منظم شدن اکتیو دایرکتوری میشود ؛ مدیریت، رفع مشکل و گسترش GPOها را نیز سادهتر مینماید.
زمانی که حرف از طراحی ساختار OU میشود ، سوالات و بحث های زیادی به میان میآید. و این کار به مراتب بهتر از زمانی است که که ابتدا اکتیو دایرکتوری تان راه بیاندازید و سازمانتان را بچینید و آخر کار یادتان بیفتد که باید برای OUهایتان یک ساختار مناسب طراحی کنید. و متاسفانه این کار غیر معقول در اکثر شرکت ها و سازمان ها پیش میآید که مجبور میشوند تا اکتیو دایرکتوریشان را برای راحتی کارشان دوباره راه اندازی کنند. پس پیشنهاد میشود اصولی کار کنیم و قبل از هر چیزی ابتدا یک ساختار مناسب برای OUهایمان طراحی کنیم.
مواردی که هنگام طراحی ساختار Active Directory ، باید به آنها توجه کرد عبارتند از :
1) باید مشخص کنیم که چه کسی قرار است مدیریت کاربران ، گروه ها و کامپیوتر ها را داشته باشد؟
2) هر کسی که مسئول مدیریت کاربران ، گروه ها و کامپیوترها است ، آیا مسئول کل این اجزا است یا قسمتی از مدیریت به او داده می شود؟
3) چه افرادی باید محدودیتهایشان مانند هم باشند و چه افرادی باید محدودیت هایشان با یکدیگر فرق بکند؟
این تفاوتهای بین کاربران ، بر اساس نوع کاری که در سازمان میکنند مشخص میشود. مثلا مدیر شبکه قاعدتا نباید هیچ محدودیتی داشته باشد و کاربران معمولی باید سطح دسترسی کمتری نسبت به مدیران داشته باشند که این محدودیتها به مواردی مانند پرینترها ، ساختار امنیتی سازمان ، تنظیمات نرمافزارها ، تنظیمات مرورگرها مانند Internet Explorer و ... اعمال میگردد.
چه کامپیوتر هایی باید تنظیمات یکسانی داشته باشند و چه کامپیوترهایی باید تنظیماتشان با یکدیگر تفاوت داشته باشند؟
بهمین منظور شما باید قبل از رسیدگی به این امر ، کامپیوترهای معمولی و سرورهایتان را از هم جدا کنید.
این سوالی است که اغلب افراد ، هنگام طراحی اکتیو دایرکتوری ، از خودشان می پرسند. که این سوال هم جواب قطعی ای را ندارد. جواب این سوال درون خواسته تان از اکتیو دایرکتوری و چگونگی مدیریت آن و چگونگی اعمال GPO ها نهفته است.
برای ایجاد OU مناسب دو نوع مدل میتوان ارائه کرد.
مدل اول: براساس کارمندان هر دفتر:
اگر ساختار شرکت شما به گونهای است که دارای بیش از یک دفتر مرکزی با شعبات مختلف میباشد ، با این فرض که تمامی این دفاتر بصورت اینترانت بهم متصل هستند ، مدل عنوان شده میتواند تا حد زیادی از پیچیدگی کار شما کم کند. براساس این مدل تقسیم کاربران برمبنای محل کار و دفتر مستقر در آن امکان پذیر خواهد بود.
برهمین اساس OU مورد نظر بصورت زیر قابل پیادهسازی میباشد:
همچنین برای سهولت و دسترسی به جزئیات بیشتر امکان ساخت OU بصورت زیر نیز وجود دارد.
مدل دوم: براساس پروژهها و یا تیمهای کاری:
براساس این مدل ساخت OU برمبنای پروژهها و یا تیمهای کاری امکان پذیر خواهد بود.
برهمین اساس OU مورد نظر بصورت زیر قابل پیاده سازی میباشد:
مدل سوم: براساس پروژهها ، تیمهای کاری و شعب:
براساس این مدل ساخت OU برمبنای پروژهها ، تیمهای کاری بهمراه در نظر گرفتن دفترکاری هر تیم امکان پذیر خواهد بود.
برهمین اساس OU مورد نظر بصورت زیر قابل پیاده سازی میباشد.
اگر ازOUها برای ساختار اکتیو دایرکتوری استفاده نشود آنگاه مدیریت ، کارایی و عیبیابی اکتیو دایرکتوری ممکن است به طور باور نکردنیای به مشکل بخورد و در طرف مقابل این قضیه ، اگر تعداد زیادی OU ایجاد کنیم ، باز همان مسائل ایجاد می شود ، یعنی مدیریت ، کارایی و عیب یابی اکتیو دایرکتوری به مشکل میخورد بنابراین OU ها باید با توجه به شباهت و محدوده دسترسیا ایجاد شود.
