organizational unit что это
organizational unit
подразделение организации
Та часть организации, которая оценивается.
Примечания
1. Подразделение организации задействует один или несколько процессов, имеющих согласованный контекст и действующих в рамках согласованных бизнес-целей.
2. Подразделение организации обычно является частью большей организации, хотя в малых организациях подразделение может быть всей организацией.
Подразделение организации может быть, например:
— конкретным проектом или набором взаимосвязанных проектов;
— подразделением в организации, сфокусированным на конкретной фазе или фазах жизненного цикла такой, как закупка, разработка, сопровождение или поддержка;
— частью организации, ответственной за все аспекты отдельного продукта или набора продуктов.
[ГОСТ Р ИСО/МЭК 15504-1-2009]
Тематики
3.25 подразделение организации (organizational unit): Та часть организации, которая оценивается.
1 Подразделение организации задействует один или несколько процессов, имеющих согласованный контекст и действующих в рамках согласованных бизнес-целей.
2 Подразделение организации обычно является частью большей организации, хотя в малых организациях подразделение может быть всей организацией. Подразделение организации может быть, например:
— конкретным проектом или набором взаимосвязанных проектов;
— подразделением в организации, сфокусированным на конкретной фазе или фазах жизненного цикла такой, как закупка, разработка, сопровождение или поддержка;
— частью организации, ответственной за все аспекты отдельного продукта или набора продуктов.
Полезное
Смотреть что такое «organizational unit» в других словарях:
Organizational Unit — In computing, an Organizational Unit (OU) provides a way of classifying objects located in directories, or names in a digital certificate hierarchy, typically used either to differentiate between objects with the same name (John Doe in OU… … Wikipedia
Organizational Unit — In Microsoft s Active Directory, an object that can contain other objects, such as other Organizational Units, users, groups, or Distributed File System (DFS) shares. See also Active Directory … Dictionary of networking
Organizational Unit object — In Novell Directory Services (NDS), a container object below the Organization object. The Organizational Unit object can contain other Organizational Unit objects or leaf objects. This container is not a required container, but its use allows… … Dictionary of networking
Organizational citizenship behavior — (hereafter, OCB) has been studied since the late 1970s. Over the past three decades, interest in these behaviors has increased substantially. Organizational behavior has been linked to overall organizational effectiveness, thus these types of… … Wikipedia
Organizational architecture — has two very different meanings. In one sense it literally refers to the organization in its built environment and in another sense it refers to architecture metaphorically, as a structure which fleshes out the organizations. Organizational… … Wikipedia
Organizational patterns — are recurring structures of relationship, usually in a professional organization, that help the organization achieve its goals. The patterns are usually inspired by analyzing multiple professional organizations and finding common structures in… … Wikipedia
Organizational conflict — is a state of discord caused by the actual or perceived opposition of needs, values and interests between people working together. Conflict takes many forms in organizations. There is the inevitable clash between formal authority and power and… … Wikipedia
Unit Trust of India — was created by the UTI Act passed by the Parliament in 1963.For more than two decades it remained the sole vehicle for investment in the capital market by the Indian citizens. In mid 80 s public sector banks were allowed to open mutual funds. The … Wikipedia
Organizational Excellence Award — Air Force Organizational Excellence Award Air Force Organizational Excellence Award Awarded by Department of the Air Force … Wikipedia
Organizational structure and hierarchy of the United States Air Force — The Organizational structure and hierarchy of the United States Air Force refers to the unit designators and organizational hierarchy of the United States Air Force, which starts at the most senior commands. Contents 1 Current levels 1.1… … Wikipedia
Organizational structure of the Central Intelligence Agency — A CIA Organizational Chart from May 2009 The Central Intelligence Agency (CIA) is a vast and complicated organization with many divisions and subdivisions, consisting mainly of an executive office, four major directorates, and a variety of… … Wikipedia
Управление организационными подразделениями (OU) в домене Active Directory
Организационное подразделение (Organizational Unit — OU) представляет собой контейнер в домене Active Directory, который может содержать различные объекты из того же самого домена AD: другие контейнеры, группы, аккаунты пользователей и компьютеров. OU представляет собой единицу административного управления внутри домена, на который администратор может назначить объекты групповых политик и назначить разрешения другим пользователем.
Таким образом, выделим две основные задачи использования OU кроме хранения объектов Active Directory
Как создать Organizational Unit с помощью консоли ADUC
Для создания Organizational Unit ваша учетная запись должна обладать правами Domain Admins, или ей должны быть делегированы полномочия на создание новый OU (во всем домене или конкретном контейнере).
По умолчанию все создаваемые Organizational Unit защищены от случайного удаления.
Если вы откроете свойства созданного OU, вы увидите что на вкладке Object включена опция «Protect object from accidental deletion». Чтобы вы могли удалить данный OU, нужно снять данный чекбокс. При удалении OU удаляются все другие объекты, которое содержатся в контейнере.
Структура OU в Active Directory
В небольших инфраструктурах AD (20-50 пользователей) необязательно создавать новые OU, можно все складывать в дефолтные контейнеры в корне (Users и Computer). В большой инфраструктуре желательно разделить все объекты на разные контейнеры. В основном используется иерархический дизайн Organizational Unit в AD, по географическому или функциональному принципу.
К примеру, у вашей организация имеются подразделения в разный странах и городах. Было бы логично на верхнем уровне домена создать отдельные контейнеры для каждой страны, а внутри страны отдельные контейнеры для города / региона / области. Внутри последних можно создать отдельные контейнеры для администраторов, групп, компьютеров, серверов и пользователей (см скриншот). При необходимости вы можете добавить дополнительные уровни иерархии (здания, отделы и т.д.). С такой иерархией вы сможете гибко делегировать полномочия в AD и назначать групповые политики.
Как создать OU с помощью PowerShell
Ранее для создания OU в AD можно было использовать консольную утилиту dsadd. Например, для создания OU в домене можно выполнить такую команду:
dsadd ou “ou=Kazahstan,dc=vmblog,dc=ru”
В Windows Server 2008 R2 появился отдельный модуль для работы с AD: Active Directory module для Windows PowerShell (входит в состав RSAT). Для создания Organizational Unit можно использовать командлет New-ADOrganizationalUnit. Например, создадим новый OU с именем Belarus в корне домена:
Чтобы создать новый OU в существующем контейнере, выполните команду:
Как делегировать полномочия на OU
При делегировании полномочия на OU другим пользователям желательно предоставлять права не непосредственно учетным записям пользователям, а административным группам. Таким образом, чтобы предоставить права на OU новому пользователю достаточно добавить его в предварительно созданную доменную группу.
Для делегирования щелкните ПКМ по OU и выберите пункт Delegate Control.
В мастере делегирования управления выберите группу пользователей, которым нужно предоставить доступ.
Затем выберите задачи администрирования, которые нужно делегировать.
В данном примере мы делегировали членам группы AccountOperators полномочия на смену паролей всех пользователей в контейнере Belarus.
Описание Active Directory
Active Directory содержит иерархическую структуру для администратора, позволяющую организовывать объекты в его домене. Должное планирование структуры этого каталога позволяет администратору упростить делегирование администрирования и облегчить управление настольными системами.
Структура Active Directory
Оснастка Active Directory Users and Computers
Организационные единицы
Администратор может также создавать организационные единицы (OU). Обычно OU создаются для упрощения административного управления доменом. Для создания OU выполните следующие шаги.
Вы можете создавать вложенные OU, помещая их внутри этой OU, но обычно при создании структуры OU не рекомендуется создавать более 5 уровней вложенности.
Контейнеры
Контейнеры создаются системой Windows Server 2003 по различным причинам. По умолчанию создаются следующие контейнеры.
Если выбрать View/Advanced Features (Вид/Дополнительно) в Active Directory Users and Computers, то вы увидите следующие дополнительные контейнеры.
Объекты Active Directory
Еще одним элементом, содержащимся в Active Directory, являются объекты. Объекты размещаются внутри организационных единиц и контейнеров Active Directory. Вы можете помещать объекты в определенной OU и определять групповую политику по этой OU, чтобы упрощать задачи администрирования или управлять компьютерной средой. К примерам объектов можно отнести принтеры, пользовательские учетные записи, компьютерные учетные записи и группы безопасности.
LDAP и Active Directory
Отличительные имена
Ниже приводится пример того, как выглядит DN для организационной единицы Domain Controllers в Active Directory для вымышленного домена company.com:
Так что же описывает это DN? Глядя на него, вы можете сказать, что организационная единица Domain Controllers находится в домене company.com.
В качестве еще одно примера предположим, что у вас имеется структура OU Sales в домене company.com. Внутри OU Sales находится еще одна OU с именем West. Внутри OU West у вас имеется учетная запись с именем Mary Smith. Для доступа к этой учетной записи используется следующее DN:
Как видно из этих примеров, описание DN дается снизу вверх по пути в Active Directory, начиная с объекта и вплоть до корня домена.
Относительные отличительные имена
Относительное отличительное имя (relative distinguished name) в пути LDAP содержит информацию об объекте Active Directory в контексте текущего рассматриваемого пути. Если взять предыдущий пример получения объекта с помощью отличительного имени (DN) для пользовательской учетной записи Mary Smith, то DN описывалось как
Относительное отличительное имя для этого объекта
Как управлять OU в Active Directory
Организационная единица или, как обозначено в русской версии Windows server, подразделение (Organizational Unit) — это субконтейнер в Active Directory, в который можно помещать пользователей, группы, компьютеры и другие объекты AD. Подразделения (OU) управляются администраторами домена. Вы также можете настроить делегирование управления над подразделением с помощью мастера делегирования управления. OU могут быть вложенными, и к ним можно применять групповые политики.
Создание подразделения (OU)
OU можно создать с помощью Active Directory Administrative Center (ADAC), Active Directory Users and Computers (ADUC), командной строки и PowerShell.
Создание подразделения с помощью Active Directory Administrative Center
Давайте создадим подразделение с помощью ADAC:
Запустите Active Directory Administrative Center (dsac.exe).
Переключитесь в режим просмотра дерева и разверните домен или подразделение, в котором вы хотите разместить новое.
Щелкните правой кнопкой мыши на OU или домен, выберите «New. », а затем выберите Organizational Unit.
Появится окно создания подразделения:
Введите имя OU и нажмите OK, чтобы его создать.
Создание подразделения с помощью командной строки
Чтобы создать OU с помощью cmd, запустите dsadd.exe со следующими параметрами:
Эта строчка создаст TestOU в домене с описанием «TestOU».
Создание подразделения с помощью Windows PowerShell
Для создания нового подразделения с помощью PowerShell нам нужно использовать команду New-ADOrganizationalUnit. Запустите PowerShell от имени администратора и введите следующее:
Эта строчка создаст TestOU в домене с описанием «TestOU».
Удаление подразделения AD
Подразделения по умолчанию защищены от случайного удаления. Чтобы удалить его, нам нужно снять флажок Protected from Accidental Deletion в свойствах.
Удаление подразделения с помощью Active Directory Administrative Center
Откройте Active Directory Administrative Center (dsac.exe).
Переключитесь в режим просмотра дерева, разверните свой домен и найдите OU, которое вы хотите удалить. Щелкните OU правой кнопкой мыши и выберите “Delete”.
Появится окно подтверждение удаления:
Нажмите Yes для подтверждения. Если OU содержит дочерние объекты, нажмите еще раз.
Удаление подразделения с помощью командной строки
Для удаления OU с помощью командной строки необходимо использовать инструмент dsrm.exe в cmd, запущенном от имени администратора, со следующим синтаксисом:
Эта строчка полностью удалит OU с любыми объектами внутри.
Удаление подразделения с помощью Windows PowerShell
Для удаления подразделения нам нужно использовать команду New-ADOrganizationalUnit в PowerShell запущенном от имени администратора:
Эта строчка полностью удалит OU TestOU со всеми существующими в ней объектами.
Изменение подразделения AD
Иногда вам нужно изменить OU. Вот как это сделать тремя различными способами.
Изменение подразделения с помощью Active Directory Administrative Center
Откройте Active Directory Administrative Center (dsac.exe). Переключитесь в режим просмотра дерева и найдите OU, которую вам нужно изменить.
Щелкните на нем правой кнопкой мыши и выберите «Properties:«. Измените свойства, которые вам нужны. Например, вы можете изменить описание или добавить менеджера.
Снимите флажок с параметра «Защищен от случайного удаления» и нажмите OK.
Изменение подразделения с помощью командной строки
Для того чтобы изменить OU, необходимо использовать dsmod.exe в cmd от имени администратора. Но в этом случае вы можете изменить только описание.
Здесь мы назначаем » New Description » для TestOU.
Изменение подразделения с помощью Windows PowerShell
Команда Set-ADOrganizationalUnit используется для изменения OU. Она очень мощная, в отличие от dsmod.exe. Вы можете легко изменить множество параметров OU, таких как DistinguishedName, LinkedGroupPolicyObjects или ManagedBy. Вот пример того, как изменить параметр ManagedBy в OU:
Создание подразделения в управляемом домене доменных служб Azure Active Directory
Подразделения (OU) в управляемом домене доменных служб Active Directory (AD DS) позволяют логически группировать такие объекты, как учетные записи пользователей, служб или компьютеров. Затем можно назначить администраторов определенным подразделениям и применить групповую политику, чтобы использовать необходимые параметры конфигурации.
Управляемые домены Azure AD DS включают следующие два подразделения:
При создании и запуске рабочих нагрузок, использующих Azure AD DS, может потребоваться создать учетные записи служб для приложений, чтобы они могли самостоятельно проходить проверку подлинности. Для организации этих учетных записей служб часто создается пользовательское подразделение в управляемом домене, а затем создаются учетные записи служб в этом подразделении.
В гибридной среде подразделения, созданные в локальной среде AD DS, не синхронизируются с управляемым доменом. Управляемые домены используют плоскую структуру подразделений. Все учетные записи пользователей и группы хранятся в контейнере Пользователей AADDC, хотя их синхронизация выполняется из разных локальных доменов или лесов, даже когда иерархическая структура подразделений настроена локально.
В этой статье демонстрируется создание подразделения в управляемом домене.
Перед началом
Для работы с этой статьей требуются следующие ресурсы и разрешения:
Рекомендации и ограничения для пользовательских подразделений
Создание пользовательских подразделений в управляемом домене обеспечивает дополнительную гибкость управления пользователями и применением групповых политик. По сравнению с локальной средой AD DS, существуют некоторые ограничения и рекомендации при создании и управлении пользовательской структурой подразделений в управляемом домене.
Создайте пользовательское подразделение
Для создания пользовательского подразделения используйте средства администрирования Active Directory на виртуальной машине, подключенной к домену. Центр администрирования Active Directory позволяет просматривать, изменять и создавать ресурсы в управляемом домене, включая подразделения.
Чтобы создать пользовательское подразделение в управляемом домене, необходимо войти в учетную запись пользователя, принадлежащую к группе Администраторы контроллера домена AAD.
Войдите на виртуальную машину управления. Инструкции по подключению с помощью портала Microsoft Azure см. в статье Подключение к виртуальной машине Windows Server.
На начальном экране выберите Администрирование. Отобразится список доступных средств управления, установка которых описана в руководстве по созданию виртуальной машины управления.
Чтобы создать и настроить подразделение, выберите Центр администрирования Active Directory в списке средств администрирования.
Выберите нужный управляемый домен, например aaddscontoso.com. Отобразится список существующих подразделений и ресурсов.
Область Задачи отображается в правой части Центра администрирования Active Directory. В разделе домена, например aaddscontoso.com, выберите Создать Подразделение.
В диалоговом окне Создание подразделения укажите Имя нового подразделения, например, MyCustomOu. Укажите краткое описание подразделения, например Пользовательское подразделение для учетных записей служб. При необходимости можно также заполнить поле Управляется для подразделения. Нажмите кнопку ОК, чтобы создать пользовательское подразделение.
Теперь в Центре администрирования Active Directory пользовательское подразделение отображается и доступно для использования:
Дальнейшие действия
Дополнительные сведения об использовании средств администрирования или создании и использовании учетных записей служб см. в следующих статьях: