Examen des concepts d’unité d’organisation

S’applique à : Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012

La structure d’unité d’organisation (UO) d’un domaine comprend les éléments suivants :

• Diagramme de la hiérarchie de l’unité d’organisation

• Liste d’unités d’organisation

• Pour chaque unité d’organisation :

  • Objectif de l’unité d’organisation

  • Liste d’utilisateurs ou de groupes qui ont le contrôle sur l’unité d’organisation ou les objets de l’unité d’organisation

  • Type de contrôle dont disposent les utilisateurs et les groupes sur les objets de l’unité d’organisation

La hiérarchie d’unité d’organisation n’a pas besoin de refléter la hiérarchie départementale de l’organisation ou du groupe. Les unités d’organisation sont créées à des fins spécifiques, notamment la délégation d’administration, l’application d’une stratégie de groupe ou pour limiter la visibilité des objets.

Vous pouvez concevoir votre structure d’unité d’organisation pour déléguer l’administration à des personnes ou des groupes au sein de votre organisation qui nécessitent l’autonomie nécessaire pour gérer leurs propres ressources et données. Les unités d’organisation représentent les limites administratives et vous permettent de contrôler l’étendue de l’autorité des administrateurs de données.

Par exemple, vous pouvez créer une unité d’organisation appelée ResourceOU et l’utiliser pour stocker tous les comptes d’ordinateur qui appartiennent aux serveurs de fichiers et d’impression gérés par un groupe. Vous pouvez ensuite configurer la sécurité sur l’unité d’organisation afin que seuls les administrateurs de données du groupe aient accès à l’unité d’organisation. Cela empêche les administrateurs de données d’autres groupes de falsifier les comptes de fichier et de serveur d’impression.

Vous pouvez affiner davantage la structure de votre unité d’organisation en créant des sous-arborescences d’unités d’organisation à des fins spécifiques, par exemple l’application de stratégie de groupe ou pour limiter la visibilité des objets protégés afin que seuls certains utilisateurs puissent les voir. Par exemple, si vous devez appliquer une stratégie de groupe à un groupe d’utilisateurs ou de ressources sélectionné, vous pouvez ajouter ces utilisateurs ou ressources à une unité d’organisation, puis appliquer une stratégie de groupe à cette unité d’organisation. Vous pouvez également utiliser la hiérarchie d’unité d’organisation pour permettre une délégation supplémentaire du contrôle administratif.

Même s’il n’y a aucune limite technique au nombre de niveaux dans votre structure d’UO, pour faciliter la gestion, nous vous recommandons de limiter votre structure d’UO à une profondeur inférieure ou égale à 10 niveaux. Il n’existe aucune limite technique au nombre d’unités d’organisation sur chaque niveau. Notez que les applications compatibles avec Active Directory Domain Services (AD DS) peuvent avoir des restrictions sur le nombre de caractères utilisés dans le nom unique, autrement dit, le chemin LDAP (Lightweight Directory Access Protocol) complet de l’objet dans le répertoire, ou sur la profondeur de l’unité d’organisation dans la hiérarchie.

La structure de l’unité d’organisation dans AD DS n’est pas destinée à être visible pour les utilisateurs finaux. La structure de l’unité d’organisation est un outil d’administration pour les administrateurs de service et pour les administrateurs de données, et peut être facilement modifiée. Passez en revue et mettez à jour la conception de votre structure d’unité d’organisation pour refléter les modifications apportées à votre structure administrative et prendre en charge l’administration basée sur des stratégies.