Active Directory Organisationseinheit (AD OU)
Was ist eine Active Directory Organisationseinheit?
Eine Active Directory Organisationseinheit (Organizational Unit, AD OU) ist eine logische Gruppe innerhalb der hierarchischen Struktur von Active Directory. In ihr werden beispielsweise Benutzer, Computer, Gruppen oder andere Organisationseinheiten aufbewahrt, für die Administratoren eigene Adminrechte und Richtlinien definieren können.
Die Organisationseinheit ist die kleinste, mögliche Einheit innerhalb einer Active-Directory-Domäne und die darin vorhandenen Objekte müssen in dieser Domäne bleiben. Die OU darf auch keine Objekte aus anderen Domänen beinhalten.
Mithilfe von Active Directory Organisationseinheiten ist es Unternehmen möglich, die IT-Infrastruktur beispielsweise nach Standorten oder Abteilungen innerhalb des Unternehmens zu sortieren und so die Verwaltung der Infrastruktur zu vereinfachen.
Wie man eine Organisationseinheit einrichtet
Es gibt mehrere Möglichkeiten, wie Sie eine neue Organisationseinheit in Active Directory erstellen können. Entweder nutzen Sie direkt das Verwaltungscenter von Active Directory oder das Snap-In Active Directory Users & Computers (ADUC) in Windows Server Manager oder die Remoteserver-Verwaltungstools (RSAT). Mithilfe des Cmdlets New-ADOrganizationalUnit verwenden Sie PowerShell zur Erstellung. Ebenso möglich ist auch die Einrichtung einer OU über eine GUI (grafische Benutzeroberfläche).
Best Practices zur Erstellung von Organisationseinheiten
Damit die Nutzung von Organisationseinheiten auch wirklich die Verwaltung Ihrer IT-Infrastruktur erleichtert, gibt es einige Best Practices, die Sie bei der Erstellung beachten sollten.
1. Erstellen Sie eine Struktur
Wenn Sie die Organisationseinheiten einrichten, orientieren Sie sich nach einer Struktur, beispielsweise Standorte, Funktionen oder Abteilungen innerhalb Ihres Unternehmens. So erleichtern Sie sich die zukünftige Verwaltung Ihrer Organisationseinheiten und finden Objekte leichter. Achten Sie darauf, dass Ihre Struktur nicht zu kompliziert wird.
2. Trennung von Computer- und Benutzerkonten
Die Berechtigungen von Computer- und Benutzerkonten unterscheiden sich meist, das Erstellen von getrennten Organisationseinheiten für diese Bereiche ist also sinnvoll. Die beiden OUs werden so einfach mit unterschiedlichen Richtlinien erstellt.
3. Klare Benennung
Geben Sie den Organisationseinheiten klare Namen, damit Sie auf einen Blick erkennen, was sich darin befindet. Mögliche Benennungen sind der Zweck oder Anwendungsbereich. Achten Sie darauf, dass innerhalb Ihres Unternehmens das gleiche System zur Namensgebung verwendet wird.
4. Verwendung von übergeordneten Gruppenrichtlinien
Wenn Sie für eine Organisationseinheit Richtlinien festlegen, gelten diese Richtlinien für alle Objekte, die sich in der OU befinden. Auch, wenn dieses Objekt eine weitere Organisationseinheit mit Objekten ist. Wenn Sie also Policies haben, die beispielsweise für viele Benutzer gelten, können Sie sich übergeordnete OUs so zu nutzen machen. Spätere Änderungen an übergreifenden Richtlinien sind so einfacher.
Durch das System der übergeordneten Organisationseinheiten können Sie auch Ausnahmen definieren. In der untergeordneten OU wird die Ausnahme festgelegt für die extra darin abgelegten Benutzerkonten oder Objekte.
