Revisione dei concetti di progettazione di unità organizzative

Si applica a: Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012

La struttura dell'unità organizzativa (OU) per un dominio include quanto segue:

  • Diagramma della gerarchia di unità organizzative

  • Elenco di unità organizzative

  • Per ogni unità organizzativa:

    • Scopo dell'unità organizzativa

    • Elenco di utenti o gruppi che hanno il controllo sull'unità organizzativa o sugli oggetti nell'unità organizzativa

    • Tipo di controllo che utenti e gruppi hanno sugli oggetti nell'unità organizzativa

Non è necessario che la gerarchia dell'unità organizzativa rifletta la gerarchia di reparto dell'organizzazione o del gruppo. Le unità organizzative vengono create per uno scopo specifico, ad esempio la delega dell'amministrazione, l'applicazione di Criteri di gruppo o per limitare la visibilità degli oggetti.

È possibile progettare la struttura di unità organizzative per delegare l'amministrazione a singoli utenti o gruppi all'interno dell'organizzazione che richiedono l'autonomia di gestire le proprie risorse e i propri dati. Le unità organizzative rappresentano limiti amministrativi e consentono di controllare l'ambito di autorità degli amministratori dei dati.

Ad esempio, è possibile creare un'unità organizzativa denominata ResourceOU e usarla per archiviare tutti gli account computer che appartengono ai server di file e di stampa gestiti da un gruppo. È quindi possibile configurare la sicurezza nell'unità organizzativa in modo che solo gli amministratori dei dati del gruppo possano accedere all'unità organizzativa. In questo modo si impedisce agli amministratori dei dati di altri gruppi di manomettere gli account del file e del server di stampa.

È possibile perfezionare ulteriormente la struttura delle unità organizzative creando sottoalberi di unità organizzative per scopi specifici, ad esempio l'applicazione di Criteri di gruppo o per limitare la visibilità degli oggetti protetti in modo che solo determinati utenti possano vederli. Ad esempio, se è necessario applicare Criteri di gruppo a un gruppo selezionato di utenti o risorse, è possibile aggiungere tali utenti o risorse a un'unità organizzativa e quindi applicare Criteri di gruppo a tale unità organizzativa. È anche possibile usare la gerarchia di unità organizzative per abilitare un'ulteriore delega del controllo amministrativo.

Anche se non esiste alcun limite tecnico al numero di livelli nella struttura dell'unità organizzativa, per gestibilità è consigliabile limitare la struttura dell'unità organizzativa a una profondità non superiore a 10 livelli. Non esiste alcun limite tecnico al numero di unità organizzative in ogni livello. Si noti che le applicazioni abilitate per Active Directory Domain Services (AD DS) potrebbero avere restrizioni sul numero di caratteri usati nel nome distinto (ovvero, il percorso LIGHTWEIGHT DIRECTORY ACCESS PROTOCOL completo (LDAP) per l'oggetto nella directory) o sulla profondità dell'unità organizzativa all'interno della gerarchia.

La struttura dell'unità organizzativa in Servizi di dominio Active Directory non deve essere visibile agli utenti finali. La struttura dell'unità organizzativa è uno strumento amministrativo per gli amministratori del servizio e per gli amministratori dei dati ed è facile da modificare. Continuare a esaminare e aggiornare la struttura dell'unità organizzativa in modo da riflettere le modifiche apportate alla struttura amministrativa e supportare l'amministrazione basata su criteri.