Cómo armar una jerarquía de Unidades Organizativas en un dominio Active Directory, es una de las primeras dudas que tienen los diseñadores y planificadores de dominio.
Vamos a ver algunas consideraciones que son clave en lograr un adecuado diseño.
Aunque primero debemos hacer una aclaración fundamental, no todas las “carpetas” que vemos en el Dominio son Unidades Organizativas.
Cuando creamos un Dominio podemos observar en el panel izquierdo que algunas son “simplemente carpetas”, en cambio otras son “carpetas con un símbolo en ellas”, y ésta es una diferencia fundamental.
Las que se ven como carpetas, sin ningún símbolo, son en realidad contenedores especiales que sólo puede crear el sistema, y tienen limitaciones, por ejemplo, que dentro de ellas no podemos crear otras Unidades Organizativas, o no le podemos enlazar Directivas de Grupo (Group Policy Objects)
Entre ellas podemos nombrar: Builtin, Computers, ForeignSecurityPrincipals y Users
La única Unidad Organizativa creada por omisión es: Domain Controllers
Si observamos el contenido, podemos ver que en Builtin y Users están definidos todos los grupos que crea el sistema por omisión, y además la cuenta original de Administrador e Invitado
El contenedor Computers, contendrá todas las cuentas de máquina que creemos desde equipos cliente.
El contenedor Domain Controllers, contendrá todas las cuentas de máquina de los Controladores de Dominio.
La diferencia entre un simple contenedor la podemos inclusive observar en su nombre LDAP( son las siglas de Lightweight Directory Access Protocol).Suponiendo que tengamos un dominio llamado “empresa.local” el nombre de Users es:
CN=Users, DC=empresa,DC=local
Mientras que para Domain Controllers es:
OU=Domain Controllers,DC=empresa,DC=local
Y el motivo de limitar estos contenedores no es otro que casi obligar al administrador a crear su propia estructura de Unidades Organizativas que se adapten a su organización y le FACILITEN LA ADMINISTRACIÓN, porque es el objetivo buscado.
¿Y cómo se facilita la administración? Bien entre otras cosas, delegando tareas y aplicando configuraciones por Directivas de Grupo.
Luego los objetivos principales cuando comenzamos a diseñar la estructura de Unidades Organizativas son:
- Cómo vamos a delegar tareas de administración en Active Directory
- Cómo vamos a aplicar Directivas de Grupo (GPOs)
La forma más sencilla de delegar tareas de administración es justamente sobre Unidades Organizativas, tanto sea con el asistente o manualmente.
El método más eficiente de aplicar diferentes configuraciones por Directivas de Grupo con las configuraciones específicas tanto para usuarios como para máquinas, es enlazando la directiva a una Unidad Organizativa.
Resumen
Es importante crear una buena estructura de Unidades Organizativas, adaptada a la propia necesidad.
Si cuando delegamos, tenemos que usar mucho corte de herencia de permisos, o hacer delegaciones a objetos individuales, es para pensar si no podemos hacer cambios para mejorar le jerarquía de Unidades Organizativas.
En forma similar, si cuando vamos a aplicar Directivas de Grupo, hay que usar mucho “Bloqueo”, “Forzar”, “Permisos”, etc.
El desafío más difícil es cuando implementamos ambos, delegación y directivas, y los diseños de estructuras de Unidades Organizativas, no son totalmente compatibles. En este caso es cuando prevalece el “buen criterio” y experiencia del diseñador de Active Directory.