Организационные подразделения (organizational units — OU) являются логическими контейнерами, обычно используемыми для определения департаментов или других отделений. Компания Microsoft советует использовать минимальное количество лесов и доменов при реализации инфраструктуры Active Directory.
Если необходимо определить административную структуру департамента или отдела компании, вместо доменов можно воспользоваться подразделениями. Единственным требованием для создания новых доменов является безопасность, например, использование параметров паролей, отличающихся в различных отделениях.
Кроме этого, создание нового домена оправдано, если администратор региона настаивает на полном контроле над локальными ресурсами.
Использование организационных подразделений позволяет быстро группировать пользователей и компьютеры для упрощения процесса администрирования. Некоторым пользователям даже можно предоставить возможность управления объектами, входящими в подразделение.
Например, в подразделении “Support Manager” можно предоставить право создания и удаления учетных записей и сброса паролей пользователей. Это делается с помощью Мастера делегирования управления (Delegation of Control Wizard). Предоставление пользователю необходимых прав администратора позволяет упростить администрирование в пределах предприятия, не снижая общий уровень безопасности.
Как и в случае доменов, подразделения могут иметь дочерние подразделения. Но подразделения отличаются от доменов отсутствием общего пространства имен. Например, можно создать подразделение “Реклама” и дочерние подразделения “Сервер” и “Восток”.
Кроме делегирования административных привилегий и логической организации объектов по департаментам и отделениям, настройка подразделений позволяет связать развертывание объектов групповых политик с определенными департаментами и группами пользователей.
Дана
Управление аккаунт доментом