[AD DS] Conception de la structure logique (partie 2)

Les Unités d'organisations (OU)

Une unité d'organisation notée « OU pour Organizational Units » est un objet d'un domaine Active Directory pouvant contenir des utilisateurs, des ordinateurs et d'autres unités d'organisation. Le rôle de l'unité d'organisation est de faciliter la gestion d'Active Directory en tenant en compte de l'application des stratégies de groupe et de la délégation de l'administration. En résumé il s'agit d'un dossier pour classer les éléments (objets AD).

L'image ci-dessous représente une organisation simple pour le classement des objets du domaine (ce n'est pas forcément celle qui vous conviendra le mieux) :

Les objets « Groupes », « utilisateurs », « Ordinateurs », « Windows 7 », « Windows 8 » sont des unités d'organisations qui peuvent contenir des utilisateurs (« Pierre Dupond »), des groupes (« Compta »), des ordinateurs (« PC001 »).

Dans cet exemple nous constatons qu'il est facile de cibler avec des paramètres spécifiques les postes en Windows 7 de ceux en Windows 8 avec les stratégies de groupes. Il est également possible de déléguer le droit de modifier des comptes utilisateurs aux ressources humaines sur une unité d'organisation spécifique, sans pour autant donner à ces personnes des droits sur les autres objets.

 

Les noms LDAP

 

Le compte de l'utilisateur « Pierre Dupond » qui est stocké dans l'unité d'organisation « utilisateurs » du domaine « charlie.groupe-alpha.fr » peut être identifié de manière unique dans la forêt Active Directory avec son nom LDAP. Le nom LDAP retrace l'ensemble du chemin pour accéder à un objet. Si l'on admet que le nom d'ouverture de session est « pdupond » alors notre utilisateur aura comme nom LDAP : « CN=pdupond,OU=Utilisateurs,DC=charlie,DC=groupe-alpha,DC=fr » ou « CN » représente le nom de l'objet. « OU » le nom du conteneur (unité d'organisation), « DC » représente une partie du nom de domaine situé entre deux points.

Pour l'ordinateur PC001, son nom LDAP est :

« CN=PC001, OU=Windows7, OU=Ordinateurs, DC=charlie, DC=groupe-alpha, DC=fr ».

 

 

Quelques recommandations

Il est préférable de :

  • Privilégier les forêts avec un domaine unique ;
  • Si vous créer une forêt multi-domaine, il est recommandé de créer un domaine racine qui n'est ni un domaine de ressources, ni un domaine d'utilisateur afin de protéger les comptes et mots de passe disposant de droits sur l'ensemble de la forêt, surtout si l'administration des domaines est déléguée à différentes entités ;
  • Organiser les unités d'organisations en fonction de la délégation des droits d'administrations en fonction des stratégies de groupe. Il n'est pas utile d'essayer de représenter l'organigramme de l'entreprise.
  • Utiliser un nom de domaine interne qui ne rentre pas en conflit avec une zone hébergé sur d'autres serveurs DNS, comme un sous-domaine de votre domaine public ;
  • Ne pas utiliser pas de caractères spécifiques dans les noms DNS des domaines ;
  • Utiliser un nom de domaine au minimum en 2 parties séparés par un «. » ;
  • Utiliser une convention de nom d'ordinateur ne dépassant pas 15 caractères pour faciliter la résolution de nom.

Theme: 

Systeme: 

Annee: 

Type: