آشنایی با گروه سازمانی یا (OU)Organizational Unit در اکتیودایرکتوری

آشنایی با OU در اکتیودایرکتوری
شبکه مایکروسافت مقالات

گروه سازمانی یا Organizational (OU) Unit در اکتیودایرکتوری چیست؟

گروه سازمانی یا (OU)Organizational Unit، برای دسته بندی و مدیریت اشیاء (Objects) موجود در اکتیودایرکتوری به کار می‌روند. اشیاء موجود در اکتیودایرکتوری شامل حساب‌های کاربری، حساب‌های رایانه‌ای و حساب های گروهی می‌باشند که می‌توانند در یک گروه سازمانی قرار گیرند.

گروه سازمانی یا OU با دو هدف اصلی ایجاد شده است.

  1. مرتب‌سازی و ایجاد یک ساختار منظم ظاهری برای مدیریت بهتر و آسان تر اشیاء.
  2. برای اعمال گروپ پالیسی‌ها بر روی حساب‌های کاربری، حساب‌های رایانه‌ای و حساب‌های گروهی.

 گروپ پالیسی‌ها به صورت مستقیم  بر روی اشیاء اعمال نمی‌شوند، بلکه بر روی گروه‌های سازمانی اعمال می‌شوند و از این طریق به تمامی اعضای موجود در آن گروه سازمانی به ارث می‌رسد. بنابراین اگر می‌خواهید گروپ‌پالیسی مشترکی را به مجموعه‌ای از حساب‌های کاربری یا رایانه‌ای یا گروهی اعمال کنید، باید این اشیاء در یک گروه سازمانی قرار بگیرند و قوانین بر روی این گروه سازمانی اعمال شود.

ساخت (OU)Organizational Unit

آشنایی کامل با OU ها و نحوه ساخت و حذف آن ها در دوره mcsa

مراحل ساخت یک OU:

  1. وارد سرور کنترلر دامین شوید و در قسمت Server Manager از سربرگ Tools گزینه‌ی Active Directory Computers Users and  را انتخاب کنید تا پنجره‌ی مربوط به این کنسول باز شود.
  2. بر روی نام شبکه دامین خود کلیک راست کنید (نام شبکه دامین در تصویر Cafeamuzesh.local) و گزینه New و سپس گزینه  Organizational Unit را انتخاب کنید تا صفحه ساخت شیء OU جدید باز شود.

    نحوه ایجاد OU در ویندوز سرور

  3. در پنجره باز شده یک نام برای OU خود انتخاب کنید (به طور مثال TEST1) و بر روی OK کلیک کنید. در صورتی که تیک گزینه protect container from accidental deletion فعال باشد، از حذف تصادفی OU جلوگیری می‌شود و زمانی که به اشتباه OU خود را delete کنید، این اجازه به شما داده نمی‌شود.

    ایجاد OU در ویندوز سرور

 بعد از اتمام مراحل قبل، OU شما ساخته می‌شود. همچنین می‌توانید یک OU را در دل OU دیگر بسازید. به طور مثال ما در تصویر زیر دو OU به نام TEST1 و TEST2 ساخته و در  TEST2 یک OU دیگر به نام testtttt ایجاد کرده‌ایم.

ساخت OU در ویندوز سرور

حذف (OU)Organizational Unit:

همانطور که در قسمت قبل ذکر شد در مراحل ساخت یک OU تیک گزینه protect container from accidental deletion به صورت پیش فرض فعال است تا از حذف تصادفی OU جلوگیری کند. زیرا OU شما می‌تواند شامل دسته‌ای از حساب‌های شبکه شما باشد که قوانینی را بر روی آنها اعمال کرده باشید که حذف آن بازتولید اطلاعات را برای مدیر شبکه سخت خواهد کرد. در این حالت با کلیک راست و انتخاب گزینه delete پیغام زیر نمایش داده می‌شود که ” این شیء از حذف تصادفی جلوگیری شده است”.

    نحوه حذف OU در ویندوز سرور

حذف OU در ویندوز سرور

 اما در صورتی که بخواهید یک OU را حذف کنید باید مراحل زیر را طی کنید:

در کنسول Active Directory Users and Computers وارد سربرگ view شده و بر روی گزینه Advanced Features را کلیک کنید تا تیک کنار این گزینه فعال شود.

مراحل حذف OU در اکتیودایرکتوری

حال بر روی OU که می‌خواهید آن را حذف کنید، کلیک راست کنید و گزینه Properties را بزنید و در پنجره باز شده وارد سربرگ Object شوید و تیک گزینه که با کادر قرمز مشخص شده است، را بردارید.

مراحل پاک کردن OU در اکتیودایرکتوری

اکنون می‌توانید OU مورد نظر را با کلیک راست و انتخاب گزینه delete، حذف کنید. بهتر است بعد از اتمام کار دوباره تیک گزینه  Advanced Features بردارید تا به حالت قبل برگردید.

برای ساخت OU و دسته بندی اشیاء موجود در اکتیودایرکتوری استاندارد خاص و مشخصی وجود ندارد و می‌توانید طبق ساختار سازمان OU های مختلف و دسته بندی های دلخواهی بسازید. اما پیشنهاد می‌شود برای دسته‌بندی انواع اشیاء در سازمان طبق دستور زیر عمل کنید:

ساخت OU1 برای حساب‌های‌ کاربری

ساخت OU2  برای حساب‌های رایانه ای

ساخت OU3 برای سرور‌ها

و در نهایت ساخت OU4 برای حساب‌های کاربری و رایانه‌ای واحد فناوری اطلاعات سازمان (IT).

 از آنجایی که نیاز نیست تمام سیاست‌ها و محدودیت‌هایی که روی سایر حساب‌ها اعمال می‌شود بر روی  مدیران شبکه نیزاعمال شود، پس بهتر است سیستم‌ها و کاربران IT در یک OU جداگانه قرار بگیرند. از طرفی سیاست‌هایی که بر روی سرورها اعمال می‌شود با سایر سیستم‌های سرویس گیرنده متفاوت است، بنابراین بهتر است آنها نیز در یک OU جدا از سایر حساب‌های رایانه‌ای قرار ‌گیرند. در نهایت می‌توانید برای اعمال گروپ پالیسی‌ها بر روی گروه خاصی از سیستم‌ها یا کاربران، زیرشاخه‌هایی را در هر OU اصلی ایجاد کنید. مثلا می‌خواهید پالیسی خاصی را بر روی سیستم‌های اداری سازمان اعمال کنید می‌توانید یک 5 OU زیرشاخه برای این سیستم‌ها در 2OU ایجاد کنید و پالیسی خود را به این OU اعمال کنید.

Delegate Control چیست؟

دادن اختیار یا وکالت دادن به یک یا چند کاربر بر روی یک OU خاص. فرض کنید می‌خواهید به هر یک از کاربران IT سازمان وظیفه‌ای را محول کنید. مثلا کاربر شماره 1 با نام کاربری Admin ، وظیفه رسیدگی به حساب‌های کاربری موجود در OU1 و تمام زیرشاخه های این  OU را برعهده بگیرد. برای اینکار می‌توانید از Delegate Control استفاده کنید.

طبق شکل بر روی OU که می‌خواهید وظیفه رسیدگی به آن را به کاربر Admin اعطا کنید کلیک راست کنید. ما از قبل OU ای را برای  حساب‌های‌ کاربری  با نام User Account ایجاد کرده ایم. بر روی این OU کلیک راست کنید و گزینه Delegate Control را انتخاب کنید تا صفحه جدید باز شود.

در صفحه بعد باید کاربر یا کاربرانی که می‌خواهید اختیاراتی را روی  OU User Accounts به او بدهید انتخاب کنید، برای این‌کار بر روی Add کلیک کنید.

Delegate Control کردن OU در اکتیودایرکتوری

مراحل Delegate Control کردن OU در ویندوز سرور

در صفحه زیر در بخش Enter The Object Name می‌توانید نام کاربران مورد نظر را وارد کنید یا می‌توانید با زدن گزینه Advanced کاربران را در صفحه‌ی بعد پیدا کنید، بر روی گزینه Find Now کلیک کنید تا حساب‌های کاربری موجود در دیتابیس سرور کنترلر برای شما نمایش داده شود.

اضافه کردن object در OU های اکتیودایرکتوری

اضافه کردن یوزر به OU در ویندوز سرور

 

ما در لیست حساب‌هایی کاربری،  کاربر Admin را (که از قبل در گروه سازمانی IT ساخته‌ایم) ، انتخاب می‌کنیم.  حال صفحه زیر OK کرده و صفحه بعد را next می‌کنیم.

نحوه اضافه کردن object به OU در اکتیودایرکتوری

در صفحه Task to delegate با انتخاب گزینه Delegate the following common tasks می‌توانید در لیست زیر، اختیاراتی که می‌خواهید به کاربر Admin  بدهید را تیک بزنید.

مثلا با فعال کردن اولین مورد در لیست (Create Delete and Manage User Accounts) کاربر Admin  با ورود به سرور کنترلر می‌تواند حساب‌های کاربری جدید در OUی User Accounts بسازد یا حساب‌های موجود در این OU را حذف یا مدیریت کند (اختیارات کاربر Admin فقط بر روی همین OU است). همچنین با فعال کردن گزینه‌های بیشتر در لیست زیر می‌توانید اختیارات بیشتری به کاربر Admin روی این OU بدهید. مثلا ریست کردن رمز کاربران، خواندن اطلاعات کاربران، ساخت گروه و مدیریت اعضای آن، مدیریت پالیسی‌های لینک شده به این OU، گزارش گیری از گروپ پالیسی ها و …

اضافه کردن اختیارات Delegate Control در اکتیودایرکتوری

با انتخاب گزینه دوم create a custom task to delegate می‌توانید دسترسی‌ها را شخصی سازی کنید. با انتخاب این گزینه صفحه زیر باز خواهد شد . با انتخاب کادر اول دسترسی‌هایی که برای Admin فعال می‌کنید، بر روی کل OU وتمام اشیا که در این OU قرار دارد اعطا می‌شود. یعنی کاربر Admin بر روی تمام اشیاء موجود در OUکنترل دارد. اما با فعال کردن تیک کادر دوم می‌توانید تعیین کنید که کاربر Admin بر روی چه مواردی دسترسی دارد. مثلا با فعال کردن تیک Computer objects کنترل کاربر فقط بر روی حساب‌های رایانه ای موجود در OU می‌باشد و روی سایر آبجکت‌ها کنترلی ندارد.

ساخت اختیارات سفارشی در Delegate Control در OU های اکتیودایرکتوری

در صفحه بعد می‌توانید لیست دسترسی‌ها را بر روی حساب‌های رایانه ای( که از بخش قبل انتخاب کردید) تعیین کنید. در این قسمت ما از قسمت permission دسترسی‌های خواندن، نوشتن و پاک کردن آبجکت های درون OU را انتخاب کرده‌ایم.

دادن سطح دسترسی به Delegate Control در OU های اکتیودایرکتوری

گزینه های مورد نظر را تیک زده و در صفحه نهایی گزینه finish را انتخاب کنید تا دسترسی‌های تیک خورده به کاربر Admin اعطا شود تا بتواند این دسترسی‌ها را بر روی OU مورد نظر اعمال کند.

دیدگاه خود را اینجا قرار دهید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

×
واتساپ
تلگرام
اینستاگرام
پیامک
پشتیبانی آنلاین