Правильная структура домена
Некоторые администраторы пытаются создавать структуру домена AD DS на основе политических границ организации, рисуя сначала черновые чертежи, а затем довольно скоро привлекая к этому процессу менеджеров. Это все заканчивается созданием для каждого отдела отдельных поддоменов с множеством отдельных уровней. Дело в том, что структура AD DS позволяет добиться такой же степени административного дробления и без создания множества поддоменов. На самом деле при проектировании доменов рекомендуется поступать следующим образом: начинать с единственного доме.на и добавлять новые домены только в случае крайней необходимости. То есть во многих организациях необходимый уровень административного управления может достигаться простым разбиением групп на отдельные организационные единицы, а не отдельные домены.
Следовательно, организационные единицы можно структурировать таким образом, чтобы отдельные подразделения имели различные уровни административного контроля над своими пользователями. Например, секретарю технического отдела можно делегировать управление изменением паролей пользователей в рамках его собственной организационной единицы. Другое преимущество применения организационных единиц в таких ситуациях состоит в том, что пользователей можно легко перетаскивать мышью из одной OU в другую. Например, при переводе пользователя из одного подразделения в другое его перемещение в OU нового подразделения выполняется очень просто.
Очень важно иметь в виду, что структура OU может модифицироваться на ходу в любой момент, когда администратор сочтет нужным провести структурные изменения. Это предоставляет AD DS дополнительное преимущество, заключающееся в возможности легко исправлять ошибки, допущенные при проектирования OU, поскольку изменения допускается вносить в любой момент.