Skip to content

Организационная единица AD (OU)

Организационная единица Active Directory (Organizational Unit, OU)

1. Определение

Организационная единица (Organizational Unit, OU) — это логический контейнер в Active Directory, используемый для группировки объектов, таких как:

  • Пользователи
  • Компьютеры
  • Группы
  • Принтеры
  • Другие OU

OU позволяет делегировать управление, применять политики групп (GPO) и упрощает администрирование домена, предоставляя гибкую структуру для управления ресурсами.

2. Роль организационной единицы в AD

Функция Описание
Группировка объектов Удобная организация пользователей, компьютеров и других элементов по отделам, проектам, функциям
Применение политик групп (GPO) GPO можно связать с конкретной OU, чтобы настроить параметры безопасности и конфигурации
Делегирование управления Администратор может передать права на управление OU определённым пользователям или группам без предоставления полных прав на весь домен
Упрощение администрирования Логическая структура помогает быстрее находить и управлять объектами
Фильтрация доступа Можно задавать разрешения на уровне OU, ограничивая действия определённых пользователей

3. Структура OU в Active Directory

Типичная иерархия:

example.com (домен)
├── Users
├── Computers
├── Groups
├── Departments
│   ├── HR
│   ├── IT
│   ├── Finance
│   └── Marketing
├── Locations
│   ├── Moscow
│   │   ├── Users
│   │   └── Computers
│   └── StPetersburg
│       ├── Users
│       └── Computers
└── Special
    ├── Contractors
    └── Guests

Такая структура может быть адаптирована под любые бизнес-нужды: по функционалу, по географии, по проектам и т. д.

4. Создание и настройка OU

Этапы создания:

  1. Открытие "Active Directory Users and Computers" (ADUC)

  2. Запустите оснастку dsa.msc

  3. Создание новой OU

  4. Щелкните правой кнопкой нужный домен или родительскую OU → New → Organizational Unit

  5. Введите имя OU (например, IT_Department)

  6. Добавление объектов в OU

  7. Перетащите пользователей, компьютеров или групп из другой OU или создайте новые

  8. Настройка разрешений (необязательно)

  9. Откройте свойства OU → вкладка Security

  10. Назначьте права: чтение, запись, управление пользователями и т. д.

  11. Связывание GPO

  12. Щелкните правой кнопкой OU → "Link an Existing GPO"
  13. Выберите нужную политику или создайте новую

5. Политики групп (GPO) и OU

Политика групп (Group Policy Object, GPO) — это набор настроек, которые применяются к пользователям и компьютерам в рамках OU.

Возможности применения GPO через OU:

Возможность Описание
Настройка безопасности Парольные политики, запрет USB-устройств, шифрование
Конфигурация рабочего стола Настройки рабочего стола, запуск скриптов при входе/выходе
Развертывание программного обеспечения Распределение MSI-приложений через политики
Управление обновлениями Windows Настройка автоматического обновления через WSUS
Ограничения доступа Блокировка сайтов, ограничение запуска программ

6. Делегирование управления OU

Как делегировать:

  1. В ADUC щелкните правой кнопкой нужную OU → Delegate Control
  2. Запустится мастер делегирования:
  3. Выберите группу или пользователя, которому будут предоставлены права
  4. Выберите задачи, например:
    • Reset user passwords and force password change at next logon
    • Manage Group Policy links
    • Create, delete, and manage user accounts
  5. Завершите работу мастера

Преимущества делегирования:

  • Разделение обязанностей между администраторами
  • Уменьшение нагрузки на центральный IT-отдел
  • Повышение безопасности за счёт минимальных привилегий

7. Атрибуты OU

Атрибут Описание
Name Имя OU (например, Sales_Department)
Distinguished Name (DN) Полный путь в формате OU=Sales,OU=Departments,DC=example,DC=com
Description Описание OU (необязательное)
Managed By Кто отвечает за OU (можно указать пользователя или группу)
Security Settings Права доступа на уровне OU

8. Рекомендации по проектированию OU

Рекомендация Обоснование
Используйте логическую структуру По отделам, местоположению, типу устройств
Не делайте слишком глубокую вложенность Это усложняет управление и поиск объектов
Используйте понятные имена Например, OU=IT,OU=Users,DC=example,DC=com
Избегайте хранения объектов в корне домена Все объекты должны быть в OU
Регулярно проверяйте права доступа Предотвращайте несанкционированный доступ
Тестируйте изменения перед внедрением Особенно при применении новых GPO
Используйте контейнеры "Disabled" или "Archive" Для отключенных пользователей или вышедших сотрудников

9. Пример использования OU

Сценарий:
Компания имеет два отдела: IT и HR. Необходимо:

  • Применить разные политики безопасности
  • Дать возможность управлять своими пользователями руководителям отделов

Как решается через OU:

  1. Созданы две OU: OU=IT,DC=example,DC=com и OU=HR,DC=example,DC=com
  2. В каждую OU добавлены соответствующие пользователи и компьютеры
  3. Связаны разные GPO:
  4. В IT: разрешены технические инструменты
  5. В HR: блокировка командной строки и PowerShell
  6. Через делегирование назначены ответственные:
  7. Руководитель IT получает права на управление своей OU
  8. Руководитель HR получает право сброса паролей в своей OU

10. Диагностика и мониторинг OU

Инструмент Назначение
Active Directory Users and Computers (ADUC) Основной инструмент для просмотра и изменения OU
PowerShell (Get-ADOrganizationalUnit, Get-ADUser -SearchBase) Автоматизация и анализ структуры OU
Group Policy Management Console (GPMC) Просмотр и управление GPO, связанными с OU
Event Viewer → Security Logs Анализ изменений в OU и действиях пользователей
DSACLs (dscals.exe) Проверка и изменение ACL на уровне OU
LDIFDE / CSVDE Импорт/экспорт данных OU в файлы

11. Лучшие практики работы с OU

Практика Описание
Стандартизируйте структуру OU Это упрощает управление и документацию
Регулярно чистите OU Удаляйте или перемещаете неактивных пользователей и уволенных сотрудников
Используйте GPO только там, где это необходимо Не перегружайте систему лишними политиками
Используйте поддержку версий GPO Это позволяет восстанавливать предыдущие версии политик
Избегайте дублирования политик Централизуйте общие настройки на уровне верхних OU
Резервируйте структуру OU Используйте бэкапы GPO и объектов AD
Обучайте администраторов работе с OU и GPO Это снижает количество ошибок при управлении