OU چیست؟ بررسی مفهوم Organizational Unit و نکات طراحی OU

در این مقالـه قصد داریم که شما را با نکاتی درباره طراحی Organizational Unit یا همان OU های سازمان آشنا و اینکه چگونه بتوانیم OUهای سازمان را به بهترین حالت ممکن طراحی کنیم ، آشنا کنیم. اکتیو دایرکتوری چندین سال است که تغییرات اساسی چندانی نداشته است.یعنی از زمانی که اکتیو دایرکتوری از سال 2000 طراحی و ایجاد شد ، همان ساختار سازمانی اش را داشته و تا به حال هم همین ساختار به صورت سازمانی اش است که اصطلاحا به آن Organizational Unit می گویند وجود داشته است و همین Organizational Unit ها هستند که به ادمین ها کمک می کنند تا سازمانشان را به نحو احسن طراحی کنند تا کنترل آن راحت تر باشد.

دوره های شبکه، برنامه نویسی، مجازی سازی، امنیت، نفوذ و ... با برترین های ایران

OU یا Organizational Unit چیست ؟

یک OU در واقع یک Object یا همان شی است که درون اکتیو دایرکتوری تعریف می شود.که این OU ها خودشان باعث سازماندهی و نظم دادن به بقیه Object هایی که ساخته و یا از قبل درون اکتیو دایرکتوری هستند ، می شوند.همچنین کسانی که با اکتیو دایرکتوری کار کرده اند باید متوجه این مساله باشند که OU ها با Containerها فرق دارند.

چرا که ما می توانیم به OUها Group Policy اعمال کنیم و حتی می توانیم Group Oplicy مورد نظرمان را هم به OU مورد نظر Link کنیم.اما به Container این امکان وجود ندارد.و در ضمن این را هم باید گفت که OU ها را ادمین می سازد اما Container ها به صورت پیش فرض درون اکتیو دایرکتوری وجود دارند.مانند کانتینر Userها که به صورت پیش فرض وجود داشته و یوزرهای اساسی و کلیدی مانند Administrator و ... هم به طور پیش فرض در آن هستند.

OUها را درجه اول باید برای Object های زیر ایجاد کرد:

  • User Accountها یا همان کاربران سازمان .
  • Groupها یا همان گروه های ایجاد شده که قرار است هر کاربری بر حسب نوع مسئولیتش در سازمان در یکی از گروه ها قرار بگیرد.
  • Computerها یا بع عبارتی کلیه سیستم های سازمان که کاربران از آنها استفاده می کنند.

در ضمن این را هم باید گفت که از OUها می توان برای سازماندهی فایل های Share شده و Printerها استفاده کرد.اما کنترل این Objectها با استفاده از OUها کار غیر معمول و بدون سودی است.پس پیشنهاد ما این است که این کار را انجام ندهید.

پیش فرض های OU

زمانی که Active Directory برای اولین بار نصب بشود ، با وارد شدن به آن ، خواهید دید که فقط یک OU درون آن وجود دارد و نام آن هم Domain Controllers است. که این OU برای سازمان دهی و مدیریت Domain Controller)DC)های ساخته شده دورن Domain می باشد. دوستان عزیز ، این را هم بگیم که مدیران Domainها می توانند هر اندازه که بخواهند OU ایجاد کنند و هیچ محدودیتی برای تعداد OU های ساخته شده برای آنها وجود ندارد.اما همیشه به این نکته توجه کنید که تا آنجایی که می توانید شبکه تان را پیچیده طراحی نکنید و آن را شلوغ نکنید چونکه مدیریت آن مشکل می شود و زیر و بم آن را در آینده فراموش می کنید.

دلایل ایجاد OU

دلیل اول :

دلیل اصلی ایجاد OU ، مدیریت Object های شبکه است.معمولا مدیریت Userها و Groupها به راحتی امکان پذیر است و مدیریت کمی می توان به Objectهایی مانند Computerها یا Serverها کرد.

نمونه ای از مدیریت Objectهای گفته شده را برای Userها و Groupها در اینجا مثال می زنیم :

  • Userها : ایجاد ، حذف و ویرایش کاربران ایجاد شده درون اکتیو دایرکتوری.
  • Groupها : ایجاد ، حذف و ویرایش گروه های اکتیو دایرکتوری.

زمانی که یک ویژگی خاصی به یک OU داده می شود ، این ویژگی به Objectهای درون OU هم اعمال می شود و این حالت را اصطلاحا Delegate کرن می گویند ، یعنی در واقع یک وظیفه خاصی را به OU می دهند و با استفاده از ویزارد Delegation که تصویر آن در پایین آمده است ، می توان تقسیم وظیفه را انجام داد.پس بعضا پیش می آید که می توان حالت های مدیریتی را بین OU ها تقسیم کرد که به هر OU ، Permission خاصی را باید تقدیم کرد .

وب سایت توسینسو

دلیل دوم :

دلیل دومی که برای ساختن OUها وجود دارد ، گسترش GPOهایی است که قرار است اعمال کنیم.یعنی با این کار دستمان بازتر است.زیرا که بعد از تقسیم بندی کاربران و ایجاد OUهای متناظر با آنها ، حالا به راحتی با اعمال GPO به OUها می توانیم محدودیت هایمان را به راحتی اعمال کنیم. که این کار علاوه بر اینکه باعث نظم اکتیو دایرکتوری می شود ، باعث می شود به راحتی GPOها را مدیریت ، رفع اشکال و گسترش داد.

اصول طراحی ساختار OU :

زمانی که حرف از طراحی ساختار OU می شود ، سوالات و بحث های زیادی به میان می آید. و این کار به مراتب بهتر از زمانی است که که ابتدا اکتیو دایرکتوری تان راه بیاندازید و سازمانتان را بچینید و آخر کااار یادتان بیفتد که باید برای OUهایتان یک ساختار مناسب طراحی کنید. و متاسفانه این کار غیر معقول در اکثر شرکت ها و سازمان ها پیش می آید که مجبور می شوند تا اکتیو دایرکتوریشان را برای راحتی کارشان دوباره راه اندازی کنند.پس پیشنهاد می شود اصولی کار کنیم و قبل از هر چیزی ابتدا یک ساختار مناسب برای OUهایمان طراحی کنیم.

مواردی که هنگام طراحی ساختار Active Directory ، باید به آنها توجه کرد عبارتند از :

  • باید مشخص کنیم که چه کسی قرار است مدیریت کاربران ، گروه ها و کامپیوتر ها را داشته باشد؟
  • هر کسی که مسئول مدیریت کاربران ، گروه ها و کامپیوترها است ، آیا مسئول کل این اجزا است یا قسمتی از مدیریت به او داده می شود؟
  • چه افرادی باید محدودیت هایشان مانند هم باشند و چه افرادی باید محدودیت هایشان با یکدیگر فرق بکند؟

این تفاوت های بین کاربران ، بر اساس نوع کاری که در سازمان می کنند مشخص می شود.مثلا مدیر شبکه قاعدتا نباید هیچ محدودیتی داشته باشد و کاربران معمولی باید سطح دسترسی کمتری نسبت به مدیران داشته باشند که این محدودیت ها باید به مواردی مانند پرینتر ها ، ساختار امنیتی سازمان ، تنظیمات نرم افزار ها ، تنظیمات مرورگرها مانند Internet Explorer و ....

چه کامپیوتر هایی باید تنظیمات یکسانی داشته باشند و چه کامپیوترهایی باید تنظیماتشان با یکدیگر تفاوت داشته باشند؟

    1. شما باید قبل از رسیدگی به این امر ، کامپیوتر های معمولی و سرورهایتان را از هم جدا کنید.
    2. دسته کامپیوتر ها باید در اختیار این افراد قرار بگیرد : ITکاران ، هیات مدیره ، اشخاصی که مرتبا در حال گسترش شبکه هستند ، افرادی که امور مالی را در دست دارند ، افرادی که برای رفع ایرادات شبکه ای باید در محل حضور پیدا کنند که اصطلاحا به آنها Help Desk می گویند و ....
    3. دسته سرورها باید به این امور رسیدگی کنند : باید Domain Controllerها را درون خودشان نگه داری کنند ، از آنها به عنوان SQL سرور استفاده کرد ، از انها به عنوان WEB سرور استفاده کرد ، از آنها به عنوان DFSسرور استفاده کرد و ....

چه تعداد OU باید ایجاد کنیم ؟

این سوالی است که اغلب افراد ، هنگام طراحی اکتیو دایرکتوری ، از خودشان می پرسند. که این سوال هم جواب قطعی ای را ندارد. جواب این سوال درون خواسته تان از اکتیو دایرکتوری و چگونگی مدیریت آن و چگونگی اعمال GPO ها نهفته است. در اینجا 3 قاعده کلی برای نحوه ایجاد OUهای سازمانتان را می گوییم که امید است روزی روزگاری به کمکتان بیاید :

  1. تعداد کم – این یک طرحی است که مخارج بالایی را به دنبال دارد. اگر تعداد OUهایمان خیلی کم باشد ، آنگاه تقسیم وظایف بسیار مشکل و مدیریت کاربران ، گروه ها و کامپیوتر ها به سختی قابل کنترل است. و همچنین رفع گیر و عیب یابی نیز در این حالت بسیار مشکل می شود.
  2. تعداد زیاد – این طرح نتیجه یک برنامه ریزی بسیار بد و تعداد مدیران زیاد است ، مانند یک شرکتی که همه آنها مدیر هستند و هیـــــــچ کاربری در آن وجود ندارد.!!!که شما در صورتی که از این قاعده استفاده کنید آنگاه نتیجه کارتان دو حالت می شود . که یکی از آنها ماندن OU ها است و دیگری پاک کردن OU ها است.
  3. تعداد کافی – با این حالت شما می توانید به آرمانی ترین حالت برای سازمانتان برسید . یعنی باید سازمانتان را اگر در حالت 1 است ، افزایش دهید و اگر در حالت 2 است ، ان را کاهش دهید و سازمانتان را بسته به یک دید جدید و کلی و نوع تعریف اولیه ای که برای Objectهایتان کرده اید ایجاد کنید.

کلام آخر :

OUها برای طراحی ساختار اکتیو دایرکتوری بسیار ضروری اند.اگر از OUها برای ساختار اکتیو دایرکتوری استفاده نشود آنگاه مدیریت ، کارایی و عیب یابی اکتیو دایرکتوری ممکن است به طور باور نکردنی ای به مشکل بخورد. و در طرف مقابل این قضیه ، اگر تعداد زیادی OU ایجاد کنیم ، باز همان مسائل ایجاد می شود ، یعنی مدیریت ، کارایی و عیب یابی اکتیو دایرکتوری به مشکل می خورد.بنابراین سعی کنید تعداد OUهایتان را در حد متوسط نگه دارید. سعی کنید هنگام طراحی به این فکر باشید که ، چگونه می خواهید ، وظایف را بین کاربران تقسیم کنید و چه GPOهایی قرار است به آنها اعمال کنید ، تا فکرتان بازتر و دقیق تر به این مساله (طراحی OUها ) رسیدگی کند.


نظرات