Active Directory consente agli amministratori di creare una gerarchia all’interno di un dominio che soddisfi le esigenze della propria organizzazione. La classe di oggetti scelta per la creazione di queste gerarchie è la classe OrganisationUnit , un contenitore per uso generico che può essere utilizzato per raggruppare la maggior parte delle altre classi di oggetti per scopi amministrativi. Un’unità organizzativa in Active Directory è analoga a una directory nel file system; è un contenitore che può contenere altri oggetti.
Gerarchia amministrativa
Le unità organizzative possono essere nidificate per creare una gerarchia all’interno di un dominio e formare unità amministrative logiche per utenti, gruppi e oggetti risorsa, come stampanti, computer, applicazioni e condivisioni file. La gerarchia delle unità organizzative all’interno di un dominio è indipendente dalla struttura di altri domini; ogni dominio può implementare la propria gerarchia. Allo stesso modo, i domini gestiti da un’autorità centrale possono implementare gerarchie di unità organizzative simili. La struttura è completamente flessibile, il che consente alle organizzazioni di creare un ambiente che rispecchi il modello amministrativo, sia centralizzato che decentralizzato.
Per informazioni sulla pianificazione e l’implementazione di una gerarchia di unità organizzative, vedere “Progettazione della struttura di Active Directory” nella Guida alla pianificazione della distribuzione .
Politica di gruppo
Criteri di gruppo possono essere applicati alle unità organizzative per definire le capacità di gruppi di computer e utenti contenuti all’interno delle unità organizzative. I livelli di controllo vanno dal blocco completo del desktop a un’esperienza utente relativamente autonoma. I criteri di gruppo possono influire sulle funzionalità, ad esempio quali applicazioni sono disponibili per un gruppo di utenti, quali funzionalità all’interno di un’applicazione sono accessibili su un determinato computer, dove vengono salvati i documenti e autorizzazioni di accesso e utente. Criteri di gruppo influisce anche su dove, quando e come vengono applicati gli aggiornamenti delle applicazioni e del sistema operativo o gli script speciali.
Le impostazioni di Criteri di gruppo vengono archiviate come oggetti Criteri di gruppo in Active Directory. Un oggetto Criteri di gruppo può essere associato a uno o più contenitori di Active Directory, ad esempio un sito, un dominio o un’unità organizzativa.
Delega di controllo
Il modello di protezione basato sugli oggetti di Windows 2000 implementa il controllo di accesso predefinito che viene propagato in una sottostruttura particolare di oggetti contenitore. Questa tecnologia viene utilizzata per determinare la sicurezza per un intero gruppo di oggetti in base alla sicurezza impostata nell’unità organizzativa che contiene gli oggetti, che delega effettivamente il controllo amministrativo alle persone nell’organizzazione. Il modo migliore per sfruttare appieno la delega e il controllo ereditato sugli oggetti directory consiste nell’organizzare la gerarchia in modo che corrisponda al modo in cui viene amministrata la directory.
Nota
Poiché Active Directory è indicizzato, non è necessario organizzare la struttura ad albero per facilitare l’esplorazione, il che è probabile che vada contro gli obiettivi amministrativi.
Il controllo amministrativo sugli oggetti di directory può essere applicato o delegato alle unità organizzative tramite il controllo degli accessi.