[ Teoría a estudiar para desarrollar la práctica de UOs ]
¿Qué es una Unidad
Organizativa (Organizational Unit OU)?
Una OU es, al fin y al cabo, un tipo particular y útil
objeto de Active Directory contenido en un dominio. Las OUs son útiles porque
pueden usarse para organizar cientos de objetos en el directorio dentro de
unidades administrables. Usaremos las OUs para agrupar y organizar objetos con
propósitos administrativos, como delegar derechos administrativos y asignar
políticas para una colección de objetos como una unidad simple.
En un primer resumen:
-Permiten organizar objetos en un dominio
- Nos permiten delegar control administrativo
- Simplifican la administración de los recursos comúnmente
agrupados.
Organiza objetos en
un dominio:
- Las OUs contienen los objetos del dominio, como cuentas de
usuario, equipo y grupos. Archivos e impresoras compartidas publicados en AD
también pueden estar dentro de una OU.
Delegar control administrativo:
- Podemos asignar control administrativo, como el control
total de permisos sobre objetos de la OU, o de forma limitada a modificar la
información de correo electrónico de los usuariosde la OU. Para delegar control
administrativo podemos especificar permisos en la propia OU y los objetos que
contiene para uno o varios usuarios y grupos.
Simplifican la
administración de recursos comúnmente agrupados:
- Podemos delegar privilegios administrativos sobre
atributos individuales en objetos individuales de AD, pero normalmente usaremos
las OU para delegar esa autoridad administrativa. Un usuario puede tener
privilegios administrativos sobre una OU o toas las OUs de un dominio.
Utilizándolas podemos crear contenedores que dentro del dominio representen la
jerarquía o las estructuras lógicas de la empresa. Podemos entonces administrar
la configuración y uso de las cuentas y recursos basándonos en nuestro modelo
de organización.
Nombres asociados a
las OU:
Distinguimos tres
tipos de nombres, nombre completo relativo, nombre completo y nombre canónico,
es importante entender la sintaxis de LDAP para cuando usemos scripts para
cosulta y administración de AD.
El nombre completo relativo de LDAP identifica unívocamente
al objeto dentro su contenedor principal. Por ejemplo, el nombre completo
relativo de LDAP correspondiente a una unidad organizativa llamada miOU sería
OU=miOU.
El nombre completo de LDAP es globalmente único. Por
ejemplo, el nombre completo de una unidad organizativa llamada
MiUnidadOrganizativa del dominio microsoft.com sería OU=MiUnidadOrganizativa,
DC=microsoft, DC=com.
El nombre canónico se crea de la misma manera que el nombre
completo, pero se representa con una notación diferente. El nombre canónico de
la OU del ejemplo anterior sería Microsoft.com/MiUnidadOrganizativa.
¿Cómo creamos las OUs?
Abriremos el snap-in
de Equipos y usuarios de Active Directory (Active Directory Users and
Computers), desde herramientas administrativas o, si la hemos creado, desde una
consola MMC en la que tengamos dicho snap-in. Expandimos el nodo del dominio,
clic derecho (también podemos hacerlo dentro de la carpeta donde queremos
añadir la OU) sobre el nodo del dominio, pulsamos en nuevo y seleccionamos
Unidad Organizativa, en el cuadro de diálogo siguiente le damos un nombre a la
OU y pulsamos en Aceptar.
Podemos hacerlo también desde la línea de comandos con
'dsadd' si instalamos las windows tools desde el cd de w2k3, directorio support
y, podemos ver su uso y parámetros tecleando dsadd /? en una ventana de
comandos. En este caso utilizaríamos dsadd ou nombreou <resto
parámetros>.
NOTA: Para este
procedimiento debemos ser miembros del grupo de Administradores del Dominio o
tener delegada correctamente la autoridad apropiada. (Una buena práctica segura
es utilizar el comando Run As para hacerlo)
