Definición de unidades organizativas en un servidor
Las unidades organizativas permiten crear la jerarquía de nuestra organización. Su fin es crear una estructura de "carpetas" que administrativamente organice nuestra empresa. Por ejemplo, crearemos una unidad organizativa para cada sección o departamento de mi empresa. Además, todos los usuarios y cuentas de equipo las crearé o moveré a este nuevo sitio. De esta forma, cuando abramos la administración del directorio activo veremos una estructura mucho más organizada que la predeterminada.
Utilizaremos las unidades organizativas para agrupar y organizar objetos para delegar derechos administrativos y asignar directivas a una colección de objetos como una unidad única. Es decir, podemos delegar la administración de una unidad organizativa "Finanzas" a una persona de ese departamento para que administre y gestione los recursos de su departamento. Utilizaremos unidades organizativas para
Organizar objetos en un dominio. Las unidades organizativas contienen objetos de dominio, como grupos y cuentas de usuario y de equipo. Los archivos e impresoras compartidos que están publicados también se encuentran en unidades organizativas.
Delegar el control administrativo. Podemos asignar control administrativo completo de todos los objetos de una unidad organizativa. Por ejemplo, para establecer control total o control administrativo limitado de los objetos de usuario en la unidad organizativa (modificar la información del correo electrónico). Para delegar el control administrativo, podemos asignar permisos específicos a uno o más usuarios y grupos en una unidad organizativa y a los objetos que esta unidad contenga.
Simplificar la administración de los recursos agrupados más utilizados. Podemos delegar la autoridad administrativa de atributos determinados en objetos específicos, pero normalmente utilizaremos las unidades organizativas para delegar la autoridad administrativa. Un usuario puede tener autoridad administrativa para todas las unidades organizativas de un dominio o para una única unidad.
Diseño de las unidades organizativas
¿Cómo debemos crear estas unidades organizativas? Hemos llegado al momento en el que debemos diseñar cómo queremos organizar nuestros recursos. Lo bueno es que, si nos equivocamos, es muy fácil rectificar o mover objetos dentro del directorio. Lo ideal es partir de una idea global de organización y mantenerla. En este caso no sucede como con otros objetos, donde una vez creados, luego es muy problemático su eliminación o movimiento. En este caso podemos crearlas, borrar, cambiar de nombre, moverlas sin ningún tipo de coste de tiempo ni de cambio de configuración.
Veamos en este gráfico:
Los gráficos muestran distintos criterios para crear las unidades organizativas. Por ejemplo, podemos crear una por cada departamento (Administración, Personal, Calidad...) y luego como tenemos dos pequeñas fábricas conectadas creamos una unidad organizativa para cada una de ellas (Barcelona, Logroño...) Que es una combinación de los modelos de función y de ubicación que aparece en el gráfico
Jerarquía basada en función
La jerarquía basada en la función se basa solamente en las funciones empresariales de la empresa sin tener en cuenta la situación geográfica ni la distinción entre divisiones y departamentos. Si decidimos organizarlo así, debemos tener en cuenta las características de este tipo de diseños que se enumeran a continuación:
- No le afectan las reorganizaciones. Una jerarquía basada en la función no se ve afectada por las reorganizaciones empresariales ni corporativas.
- Podría necesitar capas adicionales. Al utilizar esta estructura, puede ser necesaria la creación de capas adicionales en la jerarquía de la unidad organizativa para adaptar la administración de usuarios, impresoras, servidores y recursos de red compartidos.
- Podría afectarle la duplicación. Las estructuras utilizadas para crear dominios no proporcionan un uso eficaz de la red, porque el contexto de nombres de dominio podría duplicarse en una o más zonas de ancho de banda bajo.
Esta estructura solo es adecuada para empresas pequeñas puesto que los departamentos funcionales de las pequeñas y medianas empresas suelen estar bastante diversificados, y no pueden agruparse de forma efectiva en categorías más amplias.
Jerarquía basada en organización
La jerarquía basada en la organización se centra en los departamentos o divisiones de una empresa. Si la estructura se organiza de forma que refleje la estructura organizativa, sería difícil delegar la autoridad administrativa, puesto que los objetos, como las impresoras y archivos compartidos, no se agruparían de forma que facilite esta delegación. Ya que los usuarios nunca ven la estructura y el diseño debe adaptarse al administrador y no al usuario.
Jerarquía basada en ubicación
Si la empresa está centralizada y la administración de la red tiene una distribución geográfica, se recomienda una jerarquía basada en la ubicación. Por ejemplo, podemos crear unidades organizativas para Logroño, Barcelona y Madrid en el mismo dominio, como partes de miempresa.com. Las unidades organizativas basadas en la ubicación y los dominios jerárquicos tienen las mismas características:
- No le afectan las reorganizaciones. Aunque las divisiones y los departamentos pueden cambiar frecuentemente, la ubicación no suele cambiar en la mayoría de las empresas.
- Se adapta a fusiones y expansiones. Si una empresa se fusiona o compra otra, es muy sencillo integrar una estructura jerárquica de dominio y las nuevas ubicaciones en las unidades organizativas existentes.
- Obtiene ventajas de la mayor solidez de la red. Generalmente, la topología de una red física de una empresa se asemeja a la jerarquía basada en la ubicación. Si creamos dominios con este tipo de jerarquía, disfrutaremos de las áreas donde la red tiene un ancho de banda alto, limitando la cantidad de datos duplicados en zonas de ancho de banda bajo.
- Podría poner en peligro la seguridad. Si una ubicación incluye varias divisiones o departamentos, una persona o más con autoridad administrativa sobre ese dominio o unidad organizativa pueden tener también autoridad sobre dominios y unidades organizativas secundarias.
Jerarquía híbrida
Se llama jerarquía híbrida a aquella que está basada en la ubicación y, además, por empresa o cualquier otro tipo de estructura combinada. Esta jerarquía combina las ventajas de diferentes zonas para cubrir las necesidades de la empresa. Además, cuenta con las siguientes características:
- Se adapta al crecimiento geográfico de departamentos o divisiones.
- Crea distintos límites de administración según el departamento o división.
- Necesita de la cooperación entre administradores para garantizar la realización de las tareas administrativas si se encuentran en la misma ubicación, pero en departamentos o divisiones diferentes.
En la realidad no hace falta seguir un esquema, elegiremos lo que no sea más cómodo de administrar. Con la suficiente previsión de que, si nuestra empresa crece tanto en departamentos como en sitios, tengamos posibilidad de hacerlo de una forma fácil y coherente con el formato definido inicialmente.
Nomenclatura de las unidades organizativas
Podemos referirnos a cada objeto del directorio activo con varios tipos diferentes de nombres que describen la ubicación del objeto. Active Directory crea un nombre completo para cada objeto, un nombre canónico y un nombre completo relativo basado en la información proporcionada cuando se crea o se modifica el objeto.
Nombre completo relativo LDAP | OU=miunidadorganizativa |
Nombre completo del LDAP | OU=miunidadorganizativa, DC= miempresa, DC=com |
Nombre canónico | miempresa.com/miunidadorganizativa |
Nombre completo relativo
El nombre completo relativo del" Protocolo ligero de acceso a directorios" (LDAP) identifica únicamente el objeto en su contenedor primario. Por ejemplo, el nombre completo relativo del LDAP de una unidad organizativa llamada MiUnidadOrganizativa es OU=MiUnidadOrganizativa.
Nombre completo LDAP
Al contrario que el nombre completo relativo del LDAP, el nombre completo es único globalmente. Un ejemplo de nombre completo del LDAP de una unidad organizativa llamada MiUnidadOrganizativa es OU=MiUnidadOrganizativa, DC=miempresa, CD=com. Utilizaremos los nombres completos relativos del LDAP y los nombres completos solo cuando escriben secuencias de comandos administrativas o durante la administración en una línea de comandos.
Nombre canónico
La sintaxis del nombre canónico es similar a la del nombre completo del LDAP, aunque se representa con otra notación. El nombre canónico de la unidad organizativa llamada MiUnidadOrganizativa del dominio miempresa.com es "Miempresa.com/MiUnidadOrganizativa". Utilizaremos nombres canónicos incluso con algunas herramientas administrativas. Se emplean para representar una jerarquía en las herramientas administrativas.
Crear unidades organizativas
1
Para crear una unidad organizativa haremos lo siguiente dentro de la consola de administración de usuarios y equipos:
2
Hacemos clic en el nombre de nuestro dominio "miempresa.com" y con el botón derecho seleccionamos "Nuevo" y luego "Unidad Organizativa":
3
Aparecerá esta pantalla:
Introducimos el nombre de "Informática" (por ejemplo) y pulsamos "Aceptar".
4
Repetimos la operación creando varias unidades organizativas más: Compras, Persona, Administración y Calidad. Para que quede de esta forma...
Como hemos comprobado, se trata de un procedimiento muy sencillo. Por supuesto podemos crear nuevas unidades organizativas dentro de la que hemos creado.
5
Por ejemplo y según la organización híbrida vista antes podemos crear una basada en la ubicación y departamento:
Pero nos quedamos con la estructura anterior. Es sencilla y así veremos los ejemplos más claros.
Mover objetos dentro del dominio
Podemos mover objetos entre unidades organizativas cuando haya cambios en las funciones administrativas o empresariales. Por ejemplo, cuando un empleado se traslada a otro departamento. Como administrador de sistemas, nuestra tarea es la de mantener la estructura a medida que cambien las necesidades u organización de nuestra empresa.
Los elementos que podemos mover dentro de la estructura del Directorio Activo son:
- Cuentas de usuario
- Cuentas de contacto
- Grupos
- Carpetas compartidas
- Impresoras
- Equipos
- Controladores de dominio
- Unidades organizativas
En nuestro ejemplo simplemente vamos a organizar los equipos registrados. Ahora que ya tenemos nuestras unidades organizativas creadas, debemos mover los equipos que hemos ido registrando para ir organizando nuestros recursos.
Primero vamos a la carpeta en la que se van introduciendo los equipos que se registran ("Computers").
1
En esa carpeta tenemos uno o varios equipos que queremos mover. Lo marcamos, pulsamos el botón derecho y seleccionamos la opción "Mover":
2
Indicamos el destino, por ejemplo, la unidad organizativa "Calidad":
3
Pulsamos "Aceptar" y vamos a comprobarlo:
El proceso es el mismo para los otros equipos. Los moveremos a otras dos unidades organizativas de pruebas.
Eliminar o mover unidades organizativas
Si necesitamos mover o eliminar unidades organizativas, solo tendremos que seleccionarla y pulsar el botón de suprimir. También podemos utilizar la opción "suprimir/mover" con el botón derecho del ratón:
Vamos a mover esta unidad organizativa de sitio. Por ejemplo, dentro de la de Informática, para probar este proceso:
Vaya, no podemos moverla ni tampoco eliminarla. Esto es por seguridad. Si eliminamos de forma accidental una unidad organizativa que tenga dentro las cuentas de 20 equipos de nuestra red, sería una catástrofe para los usuarios. Sin sus cuentas de equipo, no tendrían acceso a los recursos de red y estarían incomunicados. Puesto que es una operación grave, desde Windows 2003 Server, al crear la unidad organizativa, se activa por defecto una protección ante borrados o movimientos accidentales.
Recordemos la pantalla cuando hemos creado las unidades organizativas:
Por defecto tenemos la opción de protección activada. Así que antes de mover o eliminar una unidad organizativa debemos quitar esta protección.
Para esto, mostramos las propiedades de la unidad organizativa con el botón derecho:
Vaya, ¡por mucho que buscamos no aparece esta opción! Esto es porque se encuentra dentro de las propiedades avanzadas, que por defecto no se muestran.
Vamos a activarlas desde el menú:
El árbol del directorio activo estará ahora más poblado porque aparecen objetos ocultos que forman parte de su configuración y que deben permanecer así por seguridad.
Ahora sí que encontramos la opción.
Si desmarcamos esta casilla, ya podremos eliminar y mover las unidades organizativas.
Una vez que hemos hecho las operaciones necesarias, volveremos a dejar la vista sencilla de esta consola desmarcando la opción de ver las características avanzadas.