jueves, 26 de febrero de 2015

Diseño de una estructura de unidades organizativas que admita una directiva de grupo

En un entorno de Active Directory, se vinculan los GPO a sitios, dominios o unidades organizativas para asignar valores de configuración de directiva de grupo. Normalmente, se asignan GPO en el nivel de unidad organizativa; por tanto, debe asegurarse de que la estructura de la unidad organizativa admite la estrategia de administración de clientes basada en una directiva de grupo. También puede aplicar algunos valores de configuración de directiva de grupo en el nivel de dominio, por ejemplo las directivas de contraseña. Muy pocos valores de configuración se aplican en el nivel de sitio. Una estructura de unidades organizativas bien diseñada que refleje la estructura administrativa de la organización y aproveche las ventajas de la herencia de GPO simplifica la aplicación de la directiva de grupo. Por ejemplo, una estructura de unidades organizativas bien diseñada puede evitar que se dupliquen determinados objetos GPO, de forma que puede aplicar estos GPO a diferentes partes de la organización. Si es posible, cree unidades organizativas para delegar la autoridad administrativa y facilitar la implementación de la directiva de grupo.
El diseño de unidades organizativas requiere equilibrar los requisitos de delegación de derechos administrativos independientes de las necesidades de directiva de grupo, así como la necesidad de determinar el ámbito de aplicación de la directiva de grupo. Las siguientes recomendaciones para el diseño de unidades organizativas solucionan problemas de delegación y determinación del ámbito:
  • Delegación de la autoridad administrativa: Puede crear unidades organizativas en un dominio y delegar el control administrativo de unidades organizativas específicas a usuarios o grupos concretos. La estructura de la unidad organizativa puede verse afectada por los requisitos de delegación de la autoridad administrativa.
  • Aplicación de la directiva de grupo: Piense principalmente en los objetos que desea administrar cuando se plantee el diseño de la estructura de una unidad organizativa. Quizá desee crear una estructura que tenga unidades organizativas organizadas por estaciones de trabajo, servidores y usuarios cerca del nivel superior. Dependiendo del modelo administrativo, puede considerar unidades organizativas basadas geográficamente como secundarias o primarias de otras unidades organizativas, y duplicar la estructura de cada ubicación para evitar la replicación entre diferentes sitios. Agregue unidades organizativas debajo de estas solo si ello hace más clara la aplicación de la directiva de grupo, o si necesita delegar administración por debajo de estos niveles.
El uso de una estructura en la que las unidades organizativas contengan objetos homogéneos, como objetos de usuario o de equipo pero no ambos, permite deshabilitar fácilmente esas secciones de un GPO que no sean aplicables a un tipo de objeto concreto. Esta estrategia de diseño de unidades organizativas, que se muestra en la figura 1, reduce la complejidad y agiliza la aplicación de la directiva de grupo. Tenga en cuenta que los GPO vinculados a niveles más altos de la estructura de la unidad organizativa se heredan de forma predeterminada, lo que reduce la necesidad de duplicar objetos GPO o de vincular un GPO a varios contenedores.
Cuando diseñe la estructura de Active Directory, las consideraciones más importantes son facilidad de administración y delegación.
451a6097-641f-4263-b7ae-063c952da0bb