Создание организационных единиц

Администраторы годами слышат отзывы о проблемах с использованием организацион­ных единиц в AD DS. Книги, руководства и собственные догадки вызывают у многих адми­нистраторов сомнения и недоразумения по поводу того, какой подход лучше применять для проектирования структуры OU.

Тем не менее, правда об организационных единицах состоит в том, что скорее всего их нужно гораздо меньше, чем может показаться на первый взгляд. В целом добавлять в домен организационную единицу стоит только в том случае, если какой-то совершенно отдельной группе требуются специальные административные права на доступ к сегменту пользовате­лей. Если такого условия не существует, и за администрирование всей среды отвечает одна группа людей, чаще всего создавать более одной организационной единицы нет никакой необходимости.

Разумеется, для создания организационных единиц могут существовать и другие при­чины. Например, одной из таких причин может быть необходимость в применении груп-'повой политики (Group Policy). Однако даже такая функциональная возможность лучше обеспечивается с помощью других средств. Об этом мало кто знает, но групповые полити­ки могут применяться и к группам пользователей, что, соответственно, устраняет необхо­димость в создании для этой цели отдельных организационных единиц.

Гибкость организационных единиц

Концепция организационных единиц впервые появилась в виде части Active Directory еще в Windows 2000 Server и продолжала поддерживаться в последующих выпусках Active Directory. С технической точки зрения между функциональными возможностями организа­ционных единиц, которыми они обладали в Windows 2000/2003, и теми, которыми они име­ют в Windows Server 2008 R2, никаких особо существенных отличий нет, но зато есть одно важное обновление. По умолчанию в Windows Server 2008 и Windows Server 2008 R2 органи­зационные единицы можно создавать с включенной функцией защиты от удаления (Delete Protection) и тем самым значительно снизить вероятность их случайного удаления.