2. ¿QUÉ ES UNA UNIDAD ORGANIZATIVA
(ORGANIZATIONAL UNIT OU)?
Una OU es, al fin y al cabo, un tipo particular y útil
objeto de Active Directory contenido en un dominio. Las
OUs son útiles porque pueden usarse para organizar
cientos de objetos en el directorio dentro de unidades
administrables. Usaremos las OUs para agrupar y
organizar objetos con propósitos administrativos, como
delegar derechos administrativos y asignar políticas
para una colección de objetos como una unidad simple.
En un primer resumen:
- Permiten organizar objetos en un dominio
- Nos permiten delegar control administrativo
- Simplifican la administración de los recursos
comúnmente agrupados.
3. ORGANIZA OBJETOS EN UN DOMINIO:
- Las OUs contienen los objetos del dominio, como
cuentas de usuario, equipo y grupos. Archivos e
impresoras compartidas publicados en AD también
pueden estar dentro de una OU.
Delegar control administrativo:
- Podemos asignar control administrativo, como el
control total de permisos sobre objetos de la OU, o
de forma limitada a modificar la información de correo
electrónico de los usuarios de la OU. Para delegar
control administrativo podemos especificar permisos
en la propia OU y los objetos que contiene para uno
o varios usuarios y grupos.
4. SIMPLIFICAN LA ADMINISTRACIÓN DE
RECURSOS COMÚNMENTE AGRUPADOS:
- Podemos delegar privilegios administrativos
sobre atributos individuales en objetos individuales
de AD, pero normalmente usaremos las OU para
delegar esa autoridad administrativa. Un usuario
puede tener privilegios administrativos sobre una OU
o toas las OUs de un dominio. Utilizándolas podemos
crear contenedores que dentro del dominio
representen la jerarquía o las estructuras lógicas de
la empresa. Podemos entonces administrar la
configuración y uso de las cuentas y recursos
basándonos en nuestro modelo de organización.
5. NOMBRES ASOCIADOS A LAS OU:
Distinguimos tres tipos de nombres, nombre completo relativo,
nombre completo y nombre canónico, es importante entender la
sintaxis de LDAP para cuando usemos scripts para cosulta y
administración de AD.
El nombre completo relativo de LDAP identifica unívocamente al
objeto dentro su contenedor principal. Por ejemplo, el nombre
completo relativo de LDAP correspondiente a una unidad
organizativa llamada miOU sería OU=miOU.
El nombre completo de LDAP es globalmente único. Por
ejemplo, el nombre completo de una unidad organizativa
llamada MiUnidadOrganizativa del dominio microsoft.com
sería OU=MiUnidadOrganizativa, DC=microsoft, DC=com.
El nombre canónico se crea de la misma manera que el nombre
completo, pero se representa con una notación diferente. El
nombre canónico de la OU del ejemplo anterior sería
Microsoft.com/MiUnidadOrganizativa.
6. ¿CÓMO CREAMOS LAS OUS?
Abriremos el snap-in de Equipos y usuarios de Active
Directory (Active Directory Users and Computers),
desde herramientas administrativas o, si la hemos
creado, desde una consola MMC en la que tengamos
dicho snap-in. Expandimos el nodo del dominio, clic
derecho (también podemos hacerlo dentro de la carpeta
donde queremos añadir la OU) sobre el nodo del
dominio, pulsamos en nuevo y seleccionamos Unidad
Organizativa, en el cuadro de diálogo siguiente le
damos un nombre a la OU y pulsamos en Aceptar.
Podemos hacerlo también desde la línea de comandos
con 'dsadd' si instalamos las windows tools desde el cd
de w2k3, directorio support y, podemos ver su uso y
parámetros tecleando dsadd /? en una ventana de
comandos. En este caso utilizaríamos dsadd ou
nombreou <resto parámetros>.
7. NOMBRES ASOCIADOS A LAS OU:
Distinguimos tres tipos de nombres, nombre completo relativo,
nombre completo y nombre canónico, es importante entender la
sintaxis de LDAP para cuando usemos scripts para cosulta y
administración de AD.
El nombre completo relativo de LDAP identifica unívocamente al
objeto dentro su contenedor principal. Por ejemplo, el nombre
completo relativo de LDAP correspondiente a una unidad
organizativa llamada miOU sería OU=miOU.
El nombre completo de LDAP es globalmente único. Por
ejemplo, el nombre completo de una unidad organizativa
llamada MiUnidadOrganizativa del dominio microsoft.com
sería OU=MiUnidadOrganizativa, DC=microsoft, DC=com.
El nombre canónico se crea de la misma manera que el nombre
completo, pero se representa con una notación diferente. El
nombre canónico de la OU del ejemplo anterior sería
Microsoft.com/MiUnidadOrganizativa.