Определение организационных единиц в AD DS
Организационной единицей (Organizational Unit — OU) называется контейнер административного уровня, подобный показанному на рис. 6.1, который используется для логической организации объектов в AD DS. Концепция организационной единицы происходит от стандарта облегченного протокола доступа к каталогам (Lightweight Directory Access Protocol — LDAP), на основании которого создавалась AD DS, хотя между самим LDAP и AD DS существуют концептуальные различия.
Объекты в Active Directory могут логически помещаться в организационные единицы в соответствии с указаниями администратора. Хотя объекты всех пользователей по умолчанию помещаются в контейнер Users (Пользователи), а объекты всех компьютеров — в контейнер Computers (Компьютеры), они могут перемещаться оттуда в любой момент.
Используемые по умолчанию папки Users (Пользователи) и Computers (Компьютеры) в AD DS с технической точки зрения являются не организационными единицами, а скорее объектами класса Container. Это очень важно понимать, поскольку объекты класса Container ведут себя не так, как организационные единицы. Чтобы получить возможность должным образом использовать службы вроде групповых политик (Group Policies), работа которых зависит от функциональности организационных единиц, объекты пользователей и компьютеров рекомендуется перемещать из стандартных контейнеров в структуру OU.
На каждый объект в структуре AD DS можно ссылаться в запросах LDAP за счет указания конкретного места, в котором он находится в структуре OU. Подобные ссылки будут довольно часто встречаться при написании сценариев для модификации или создания пользователей в AD DS либо просто при выполнении LDAP-запросов к AD DS.
Организационные единицы в основном удовлетворяют потребность в делегировании прав на администрирование различным группам администраторов. Хотя существуют и другие возможные способы применения организационных единиц, делегирование прав на администрирование все-таки является главной причиной для создания OU в среде AD DS.