Cómo armar una jerarquía de Unidades Organizativas en ambiente de dominio Active Directory, es una de las primeras dudas que tienen los diseñadores y planificadores de dominio.
Vamos a ver algunas consideraciones que son clave en lograr un adecuado diseño.
Aunque primero debemos hacer una aclaración fundamental, no todas las “carpetas” que vemos en el Dominio son Unidades Organizativas.
Cuando recién creamos un Dominio podemos observar en el panel izquierdo que algunas son “simplemente carpetas”, en cambio otras son “carpetas con un símbolo en ellas”, y ésta es una diferencia fundamental.
Las que se ven como carpetas, sin ningún símbolo, son en realidad contenedores especiales que sólo puede crear el sistema, y tienen limitaciones, por ejemplo, que dentro de ellas no podemos crear otras Unidades Organizativas, o no le podemos enlazar Directivas de Grupo (Group Policy Objects)
Entre ellas podemos nombrar: Builtin, Computers, ForeignSecurityPrincipals y Users
La única Unidad Organizativa creada por omisión es: Domain Controllers
Si observamos el contenido, podemos ver que en Builtin y Users están definidos todos los grupos que crea el sistema por omisión, y además la cuenta original de Administrador e Invitado
El contenedor Computers, contendrá todas las cuentas de máquina que creemos desde equipos cliente.
El contenedor Domain Controllers, contendrá todas las cuentas de máquina de los Controladores de Dominio.
La diferencia entre un simple contenedor la podemos inclusive observar en su nombre LDAP. Suponiendo que tengamos un dominio llamado “empresa.local” el nombre de Users es:
CN=Users, DC=empresa,DC=local
Mientras que para Domain Controllers es:
OU=Domain Controllers,DC=empresa,DC=local
Y el motivo de limitar estos contenedores no es otro que casi obligar al administrador a crear su propia estructura de Unidades Organizativas que se adapten a su organización y le FACILITEN LA ADMINISTRACIÓN, porque es el objetivo buscado.
¿Y cómo se facilita la administración? Bien entre otras cosas, delegando tareas y aplicando configuraciones por Directivas de Grupo.
Luego los objetivos principales cuando comenzamos a diseñar la estructura de Unidades Organizativas son:
- Cómo vamos a delegar tareas de administración en Active Directory
- Cómo vamos a aplicar Directivas de Grupo (GPOs)
La forma más sencilla de delegar tareas de administración es justamente sobre Unidades Organizativas, tanto sea con el asistente o manualmente.
El método más eficiente de aplicar diferentes configuraciones por Directivas de Grupo con las configuraciones específicas tanto para usuarios como para máquinas, es enlazando la directiva a una Unidad Organizativa.
En base a lo anterior podemos plantearnos algunos escenarios típicos
Escenario 1: empresa con diferentes locaciones físicas, por ejemplo países o ciudades, y en cada sitio hay un administrador o sub-administrador que da soporte a usuarios y/o máquinas.
En este caso es evidente que nos convendrá crear un primer nivel de Unidades Organizativas basados en la ubicación física.
Luego dentro de cada una de éstas, podemos crear diferentes Unidades Organizativas basadas por ejemplo, en la configuración que recibirán los usuarios y equipos de cada departamento o sector del mismo.
Escenario 2: empresa con diferentes locaciones física, como en el caso anterior, pero en este caso la administración se hace por departamento o sector. Los administradores de cada departamento soportan a los usuarios y máquinas aunque éstos estén en diferentes ubicaciones.
Es evidente que en este caso, conviene que el primer nivel de Unidades Organizativas sea el sector o departamente, y luego subdividamos teniendo en cuenta las ubicaciones, si eso ayuda, ya que podríamos subdividir usando otros criterios, como funciones o estructura propia.
Otras consideraciones a tener en cuenta, son por ejemplo, tratar de reflejar la estructura interna de la empresa, quizás no facilite directamente la administración, pero nos permite “verla como es”
Otro tema a tener en cuenta es cuán estructurado es el sistema propio, o el propio administrador. Hay quienes separan en diferentes Unidades Organizativas, por claridad, las cuentas de Grupo de las de usuarios y máquinas, otros no.
Esto depende mucho también del tamaño del directorio, no es lo mismo tener 50, que 500, que 5000 cuentas.
Quiero decir que es opinable y podemos hacer una analogía con los discos: hay quien prefiere tener pocas carpetas en el raíz del disco, aunque luego anide ocho o más niveles de carpetas, mientras que otros prefieren tener más carpetas, pero que no se aniden más de tres niveles. Es gusto personal en este caso.
Resumen
Es importante crear una buena estructura de Unidades Organizativas, adaptada a la propia necesidad.
Si cuando delegamos, tenemos que usar mucho corte de herencia de permisos, o hacer delegaciones a objetos individuales, es para pensar si no podemos hacer cambios para mejorar le jerarquía de Unidades Organizativas.
En forma similar, si cuando vamos a aplicar Directivas de Grupo, hay que usar mucho “Bloqueo”, “Forzar”, “Permisos”, etc.
El desafío más difícil es cuando implementamos ambos, delegación y directivas, y los diseños de estructuras de Unidades Organizativas, no son totalmente compatibles. En este caso es cuando prevalece el “buen criterio” y experiencia del diseñador de Active Directory.