Membuat Desain Unit Organisasi
Pemilik forest bertanggung jawab untuk membuat desain unit organisasi (OU) untuk domain mereka. Membuat desain unit organisasi melibatkan desain struktur unit organisasi, menetapkan peran pemilik OU, dan membuat OU akun dan sumber daya.
Awalnya, rancang struktur OU Anda untuk mengaktifkan delegasi administrasi. Ketika desain OU selesai, Anda dapat membuat struktur unit organisasi tambahan untuk penerapan Kebijakan Grup kepada pengguna dan komputer dan untuk membatasi visibilitas objek. Untuk informasi selengkapnya, lihat Merancang Infrastruktur Kebijakan Grup.
Peran pemilik OU
Pemilik forest menunjuk pemilik unit organisasi untuk setiap unit organisasi yang Anda desain untuk domain tersebut. Pemilik unit organisasi adalah manajer data yang mengontrol subtree objek di Active Directory Domain Services (AD DS). Pemilik unit organisasi dapat mengontrol bagaimana administrasi didelegasikan dan bagaimana kebijakan diterapkan ke objek dalam unit organisasi mereka. Mereka juga dapat membuat subtree baru dan mendelegasikan administrasi OU dalam subtree tersebut.
Karena pemilik unit organisasi tidak memiliki atau mengontrol pengoperasian layanan direktori, Anda dapat memisahkan kepemilikan dan administrasi layanan direktori dari kepemilikan dan administrasi objek, mengurangi jumlah administrator layanan yang memiliki tingkat akses tinggi.
OU menyediakan otonomi administratif dan sarana untuk mengontrol visibilitas objek dalam direktori. OU menyediakan isolasi dari administrator data lain, tetapi mereka tidak menyediakan isolasi dari administrator layanan. Meskipun pemilik unit organisasi memiliki kontrol atas subtree objek, pemilik forest mempertahankan kontrol penuh atas semua subtree. Ini memungkinkan pemilik forest untuk memperbaiki kesalahan, seperti kesalahan dalam daftar kontrol akses (ACL), dan untuk mengklaim kembali subtrees yang didelegasikan saat administrator data dihentikan.
OU Akun dan OU sumber daya
OU akun berisi objek pengguna, grup, dan komputer. Pemilik forest harus membuat struktur OU untuk mengelola objek ini lalu mendelegasikan kontrol struktur kepada pemilik unit organisasi. Jika Anda menyebarkan domain AD DS baru, buat OU akun untuk domain sehingga Anda dapat mendelegasikan kontrol akun di domain.
OU sumber daya berisi sumber daya dan akun yang bertanggung jawab untuk mengelola sumber daya tersebut. Pemilik forest juga bertanggung jawab untuk membuat struktur OU untuk mengelola sumber daya ini dan untuk mendelegasikan kontrol struktur tersebut kepada pemilik OU. Buat OU sumber daya sesuai kebutuhan berdasarkan persyaratan setiap grup dalam organisasi Anda untuk otonomi dalam pengelolaan data dan peralatan.
Mendokumen desain unit organisasi untuk setiap domain
Kumpulkan tim untuk merancang struktur unit organisasi yang Anda gunakan untuk mendelegasikan kontrol atas sumber daya di dalam forest. Pemilik forest mungkin terlibat dalam proses desain dan harus menyetujui desain OU. Anda mungkin juga melibatkan setidaknya satu administrator layanan untuk memastikan bahwa desain tersebut valid. Peserta tim desain lainnya mungkin menyertakan administrator data yang akan mengerjakan OU dan pemilik OU yang akan bertanggung jawab untuk mengelolanya.
Penting untuk mendokumen desain unit organisasi Anda. Cantumkan nama OU yang anda rencanakan untuk dibuat. Dan, untuk setiap unit organisasi, dokumentasikan jenis OU, pemilik OU, OU induk (jika berlaku), dan asal unit organisasi tersebut.
Agar lembar kerja membantu Anda mendokumentasikan desain OU Anda, unduh Job_Aids_Designing_and_Deploying_Directory_and_Security_Services.zip dari Bantuan Pekerjaan untuk Kit Penyebaran Windows Server 2003 dan buka "Mengidentifikasi OU untuk Setiap Domain" (DSSLOGI_9.doc).