Revisione dei concetti di progettazione di unità organizzative

Si applica a: Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012

La struttura dell'unità organizzativa (OU) per un dominio include quanto segue:

• Diagramma della gerarchia dell'unità organizzativa

• Elenco delle unità organizzative

• Per ogni unità organizzativa:

  • Scopo dell'unità organizzativa

  • Elenco di utenti o gruppi che detengono il controllo dell'unità organizzativa o degli oggetti presenti all’interno dell'unità organizzativa

  • Tipo di controllo che gli utenti e i gruppi esercitano sugli oggetti presenti all’interno dell'unità organizzativa

La gerarchia dell'unità organizzativa non deve riflettere la gerarchia di reparto dell'organizzazione o del gruppo. Le unità organizzative vengono create per uno scopo specifico, ad esempio la delega dell'amministrazione, l'applicazione di criteri di gruppo o per limitare la visibilità degli oggetti.

È possibile progettare la struttura dell'unità organizzativa per delegare l'amministrazione a singoli utenti o gruppi all'interno dell'organizzazione che richiedono l'autonomia di gestire le proprie risorse e i propri dati. Le unità organizzative rappresentano i limiti amministrativi e consentono di controllare l'ambito dell'autorità degli amministratori dei dati.

Ad esempio, è possibile creare un'unità organizzativa denominata ResourceOU e usarla per archiviare tutti gli account computer appartenenti al file e ai server di stampa gestiti da un gruppo. È quindi possibile configurare la sicurezza nell'unità organizzativa in modo che solo gli amministratori dei dati nel gruppo abbiano accesso all'unità organizzativa. Ciò impedisce agli amministratori dei dati in altri gruppi di manomettere gli account del file e del server di stampa.

È possibile perfezionare ulteriormente la struttura dell'unità organizzativa creando sottoalberi di unità organizzative per scopi specifici, ad esempio l'applicazione di criteri di gruppo oppure per limitare la visibilità degli oggetti protetti, in modo che solo determinati utenti possano visualizzarli. Ad esempio, se è necessario applicare criteri di gruppo a un gruppo selezionato di utenti o risorse, è possibile aggiungere tali utenti o risorse a un'unità organizzativa e quindi applicare i criteri di gruppo a tale unità organizzativa. È anche possibile usare la gerarchia dell'unità organizzativa per abilitare un'ulteriore delega del controllo amministrativo.

Anche se non esiste alcun limite tecnico al numero di livelli nella struttura dell'unità organizzativa, per una buona gestibilità è consigliabile limitare la struttura dell'unità organizzativa a non più di 10 livelli. Non esiste alcun limite tecnico al numero di unità organizzative in ogni livello. Si noti che le applicazioni abilitate per Active Directory Domain Services (AD DS) potrebbero avere restrizioni sul numero di caratteri usati nel nome distinto (ovvero il percorso LDAP (Lightweight Directory Access Protocol) completo per l'oggetto nella directory) o sulla profondità dell'unità organizzativa all'interno della gerarchia.

La struttura dell'unità organizzativa in Active Directory Domain Services non deve essere visibile agli utenti finali. La struttura dell'unità organizzativa è uno strumento amministrativo riservato agli amministratori del servizio e agli amministratori dei dati, ed è facile da modificare. Continuare a esaminare e aggiornare la struttura dell'unità organizzativa per riflettere le modifiche apportate alla struttura amministrativa e per supportare l'amministrazione basata su criteri.