quarta-feira, 21 de abril de 2010

70-640: 1.1 Factos acerca das OUs

Uma Organizational Unit (OU), é tipo um sistema de ficheiros ou árvore de ficheiros, que organiza e subdivide os recursos da rede dentro de um domain.

Uma OU pode conter outras OUs, ou qualquer tipo de object type, tal como users, Computers, e Printers.
OUs podem ser alinhadas de forma a organizar logicamente os recursos da rede:

- Parent OUs, que contêm outras OUs.
- Child OUs, são OUs dentro de outras OUs.

Tipicamente as OUs são organizadas pelas seguintes formas:
- Localização física.
- Estrutura organizacional, tal como HR, Sales, e departamentos de IT.
- Object type, tal como user accounts ou computers.
- Hybrid of location, estrutura organizacional, e object type.


Atenção às seguintes considerações para gerir OUs:

Group Policy

Uma das maiores razões para se utilizarem as OUs, é a possibilidade de aplicação de Group Policy.
Criar OUs para cada group of objects que precisem de ter diferentes definições Group Policy.

Group Policy Objects (GPOs) podem ser ligados às OUs. Policy settings aplicam-se a todos os objects dentro da OU.

Através de inheritance, as definições aplicadas ao domain ou OUs parent, passam também para todas as child OUs e objects dentro dessas OUS.

Nota: Um Generic Container não é uma OU e não pode ter group policy objects assignados a si. Uma boa práctica é retirar objects dos generic containers e passa-los para as OUs. Por exemplo, mover os computadores dos Computers containers e passar para uma OU, onde as group olicy possam ser aplicadas.

Preventing accidental deletion

Os objects na Active Direcory podem ser acidenlmete eliminados através de Users e Computers e outras ferrametas de gestão. São mais frequentes os seguintes tipos de eliminadção:

- Leaf-node deletion é quando um user elimina um leaf object.

- Organizational Unit (OU) deletion, é quando um user selecciona e elimina uma OU que tem objects suburdindos. Eliminar a OU, elimina todos os objects dentro da OU (inluindo qualque child OU e os seus ojects).

Para proteger objects de eliminação acidental:

- Na Active Directory Users and Computers, ou Active Directory Sites and Services, editar as propriendades e escolher uma das seguintes:

- No separador object, seleccionar na check box “Protect object from accidental deletion”. (Esta opção só estará disponível se tivermos activado previamente as “Advanced Features” no menu “view”.)

- No separador “security”, seleccionar “Deny delete all child objects”.

Quando se cria uma OU, deixar seleccionada a opção na checkbox “Protect continer from accidental deletion”. Esta é a opção por defeito. Outro tipo de objects não têm esta opção activada por defeito, tendo de ser configurada anualmente.

Para eliminar um oject protegido, primeiro retirar a opção “Protect continer from accidental deletion”, e depois elimina-se o object.

Delegating authority

Delegating authority é a atribuição de tarefas administrtivas, tais como, reset a passwords ou a criação de novos users, a users ou groups apropriados ao efeito. Deveremos estar cintes dos seguintes factos sobre a delegating control:

- Pode-se delegar o controlo de qualque parte de uma OU ou object em qualquer nível, através do Delegation of control wizard, ou através do Authorization Manager console.

- Um object-based design, permite delegar o controlo baseado nos types of objects em cada OU. Por exemplo, pode-se delegr o controlo sobre específicos object types, tais como user objects.

- Uma task-based design, permite delegar o controlo baseado em tipos de administrtive taks que necessitem de ser efectuadas. Alguns exemplos de administraive tasks são:

- User account managenten, tl como a criação e eliminação.
- Password management, tl como o reset e forçar alterações nas passwords.
- Group membership e permissions management.

Sem comentários:

Enviar um comentário