Poiché le unità organizzative svolgono un ruolo fondamentale nell'implementazione di criteri e impostazioni a livello di organizzazione, richiedono un'attenta pianificazione e progettazione per garantirne l'amministrazione flessibile. Di seguito sono riportate cinque best practice per le unità organizzative di Active Directory che è necessario seguire per semplificare e proteggere l'amministrazione di Active Directory.
Una struttura di unità organizzative mal pianificata può creare confusione su dove posizionare gli oggetti appena creati nell'albero delle directory. Microsoft suggerisce di garantire semplicità e adattabilità durante la pianificazione della progettazione delle unità organizzative. Prepara quindi un layout della struttura delle unità organizzative di Active Directory tenendo presente il collegamento e la delega degli oggetti Criteri di gruppo per evitare di creare unità organizzative a piacimento a lungo termine.
L'amministrazione degli oggetti AD diventa più semplice quando le unità organizzative rispecchiano la struttura dell'organizzazione. Diversi modelli di unità organizzative hanno diverse finalità. Ad esempio:
Scegli il modello di unità organizzativa che meglio si adatta alle tue esigenze amministrative.
In Active Directory, quando vengono creati oggetti utente e computer, per impostazione predefinita vengono aggiunti ai rispettivi contenitori. Tuttavia, gli oggetti Criteri di gruppo non possono essere collegati ai contenitori. Crea invece unità organizzative separate per utenti e computer che richiedono un'applicazione oggetti Criteri di gruppo. Questa procedura può essere seguita indipendentemente dal modello di unità organizzativa scelto per l'organizzazione.
Con l'annidamento delle unità organizzative è possibile utilizzare l'ereditarietà e delegare i diritti amministrativi in modo flessibile. Ad esempio, se desideri delegare più autorizzazioni a un utente di alto livello, ma non vuoi che tali autorizzazioni influiscano su alcuni utenti di tale unità organizzativa, puoi creare un'unità organizzativa nidificata che contenga tali utenti e applicare l'autorizzazione Nega. In questo modo si impedirà la creazione di unità organizzative parallele nella directory. L'annidamento consente inoltre di separare diversi oggetti AD, ad esempio utenti, computer e gruppi all'interno di un'unità organizzativa principale.
La struttura dell'unità organizzativa è sempre dinamica, poiché vengono creati regolarmente nuovi oggetti. Quindi documenta la struttura e la progettazione dell'unità organizzativa registrando dettagli come il nome dell'unità organizzativa, la descrizione, chi ha creato l'unità organizzativa e quando è stata creata. Queste informazioni saranno estremamente preziose in futuro per evitare l'eliminazione accidentale di importanti unità organizzative da parte degli amministratori.
L'utilizzo di strumenti nativi per monitorare e documentare le modifiche apportate alle unità organizzative tenendo traccia delle autorizzazioni delegate può richiedere molto tempo. ADAudit Plus, una soluzione di controllo AD basata su UBA di ManageEngine, fornisce report di audit delle modifiche personalizzabili che ti tengono al corrente su tutte le modifiche apportate alle tue unità organizzative, oggetti Criteri di gruppo e autorizzazioni.
Scarica la versione di prova gratuita di 30 giorni.