Definición de unidades organizativas en un servidor

Las unidades organizativas permiten crear la jerarquía de nuestra organización. Su fin es crear una estructura de "carpetas" que administrativamente organice nuestra empresa. Por ejemplo, crearemos una unidad organizativa para cada sección o departamento de mi empresa. Además, todos los usuarios y cuentas de equipo las crearé o moveré a este nuevo sitio. De esta forma, cuando abramos la administración del directorio activo veremos una estructura mucho más organizada que la predeterminada.

Utilizaremos las unidades organizativas para agrupar y organizar objetos para delegar derechos administrativos y asignar directivas a una colección de objetos como una unidad única. Es decir, podemos delegar la administración de una unidad organizativa "Finanzas" a una persona de ese departamento para que administre y gestione los recursos de su departamento. Utilizaremos unidades organizativas para

 

Organizar objetos en un dominio. Las unidades organizativas contienen objetos de dominio, como grupos y cuentas de usuario y de equipo. Los archivos e impresoras compartidos que están publicados también se encuentran en unidades organizativas.

 

Delegar el control administrativo. Podemos asignar control administrativo completo de todos los objetos de una unidad organizativa. Por ejemplo, para establecer control total o control administrativo limitado de los objetos de usuario en la unidad organizativa (modificar la información del correo electrónico). Para delegar el control administrativo, podemos asignar permisos específicos a uno o más usuarios y grupos en una unidad organizativa y a los objetos que esta unidad contenga.

 

Simplificar la administración de los recursos agrupados más utilizados. Podemos delegar la autoridad administrativa de atributos determinados en objetos específicos, pero normalmente utilizaremos las unidades organizativas para delegar la autoridad administrativa. Un usuario puede tener autoridad administrativa para todas las unidades organizativas de un dominio o para una única unidad.

Diseño de las unidades organizativas

¿Cómo debemos crear estas unidades organizativas? Hemos llegado al momento en el que debemos diseñar cómo queremos organizar nuestros recursos. Lo bueno es que, si nos equivocamos, es muy fácil rectificar o mover objetos dentro del directorio. Lo ideal es partir de una idea global de organización y mantenerla. En este caso no sucede como con otros objetos, donde una vez creados, luego es muy problemático su eliminación o movimiento. En este caso podemos crearlas, borrar, cambiar de nombre, moverlas sin ningún tipo de coste de tiempo ni de cambio de configuración.

Veamos en este gráfico:

 

Los gráficos muestran distintos criterios para crear las unidades organizativas. Por ejemplo, podemos crear una por cada departamento (Administración, Personal, Calidad...) y luego como tenemos dos pequeñas fábricas conectadas creamos una unidad organizativa para cada una de ellas (Barcelona, Logroño...) Que es una combinación de los modelos de función y de ubicación que aparece en el gráfico

Jerarquía basada en función

La jerarquía basada en la función se basa solamente en las funciones empresariales de la empresa sin tener en cuenta la situación geográfica ni la distinción entre divisiones y departamentos. Si decidimos organizarlo así, debemos tener en cuenta las características de este tipo de diseños que se enumeran a continuación:

Esta estructura solo es adecuada para empresas pequeñas puesto que los departamentos funcionales de las pequeñas y medianas empresas suelen estar bastante diversificados, y no pueden agruparse de forma efectiva en categorías más amplias.

Jerarquía basada en organización

La jerarquía basada en la organización se centra en los departamentos o divisiones de una empresa. Si la estructura se organiza de forma que refleje la estructura organizativa, sería difícil delegar la autoridad administrativa, puesto que los objetos, como las impresoras y archivos compartidos, no se agruparían de forma que facilite esta delegación. Ya que los usuarios nunca ven la estructura y el diseño debe adaptarse al administrador y no al usuario.

Jerarquía basada en ubicación

Si la empresa está centralizada y la administración de la red tiene una distribución geográfica, se recomienda una jerarquía basada en la ubicación. Por ejemplo, podemos crear unidades organizativas para Logroño, Barcelona y Madrid en el mismo dominio, como partes de miempresa.com. Las unidades organizativas basadas en la ubicación y los dominios jerárquicos tienen las mismas características:

Jerarquía híbrida

Se llama jerarquía híbrida a aquella que está basada en la ubicación y, además, por empresa o cualquier otro tipo de estructura combinada. Esta jerarquía combina las ventajas de diferentes zonas para cubrir las necesidades de la empresa. Además, cuenta con las siguientes características:

En la realidad no hace falta seguir un esquema, elegiremos lo que no sea más cómodo de administrar. Con la suficiente previsión de que, si nuestra empresa crece tanto en departamentos como en sitios, tengamos posibilidad de hacerlo de una forma fácil y coherente con el formato definido inicialmente.

Nomenclatura de las unidades organizativas

Podemos referirnos a cada objeto del directorio activo con varios tipos diferentes de nombres que describen la ubicación del objeto. Active Directory crea un nombre completo para cada objeto, un nombre canónico y un nombre completo relativo basado en la información proporcionada cuando se crea o se modifica el objeto.

Nombre completo relativo LDAP OU=miunidadorganizativa
Nombre completo del LDAP OU=miunidadorganizativa, DC= miempresa, DC=com
Nombre canónico miempresa.com/miunidadorganizativa

Nombre completo relativo

El nombre completo relativo del" Protocolo ligero de acceso a directorios" (LDAP) identifica únicamente el objeto en su contenedor primario. Por ejemplo, el nombre completo relativo del LDAP de una unidad organizativa llamada MiUnidadOrganizativa es OU=MiUnidadOrganizativa. 

Nombre completo LDAP

Al contrario que el nombre completo relativo del LDAP, el nombre completo es único globalmente. Un ejemplo de nombre completo del LDAP de una unidad organizativa llamada MiUnidadOrganizativa es OU=MiUnidadOrganizativa, DC=miempresa, CD=com. Utilizaremos los nombres completos relativos del LDAP y los nombres completos solo cuando escriben secuencias de comandos administrativas o durante la administración en una línea de comandos.

Nombre canónico

La sintaxis del nombre canónico es similar a la del nombre completo del LDAP, aunque se representa con otra notación. El nombre canónico de la unidad organizativa llamada MiUnidadOrganizativa del dominio miempresa.com es "Miempresa.com/MiUnidadOrganizativa". Utilizaremos nombres canónicos incluso con algunas herramientas administrativas. Se emplean para representar una jerarquía en las herramientas administrativas.

Crear unidades organizativas

1

Para crear una unidad organizativa haremos lo siguiente dentro de la consola de administración de usuarios y equipos:

 

2

Hacemos clic en el nombre de nuestro dominio "miempresa.com" y con el botón derecho seleccionamos "Nuevo" y luego "Unidad Organizativa":

 

3

Aparecerá esta pantalla:

 

Introducimos el nombre de "Informática" (por ejemplo) y pulsamos "Aceptar".

4

Repetimos la operación creando varias unidades organizativas más: Compras, Persona, Administración y Calidad. Para que quede de esta forma...

 

Como hemos comprobado, se trata de un procedimiento muy sencillo. Por supuesto podemos crear nuevas unidades organizativas dentro de la que hemos creado.

5

Por ejemplo y según la organización híbrida vista antes podemos crear una basada en la ubicación y departamento:

 

Pero nos quedamos con la estructura anterior. Es sencilla y así veremos los ejemplos más claros. 

Mover objetos dentro del dominio

Podemos mover objetos entre unidades organizativas cuando haya cambios en las funciones administrativas o empresariales. Por ejemplo, cuando un empleado se traslada a otro departamento. Como administrador de sistemas, nuestra tarea es la de mantener la estructura a medida que cambien las necesidades u organización de nuestra empresa.

Los elementos que podemos mover dentro de la estructura del Directorio Activo son:

En nuestro ejemplo simplemente vamos a organizar los equipos registrados. Ahora que ya tenemos nuestras unidades organizativas creadas, debemos mover los equipos que hemos ido registrando para ir organizando nuestros recursos.

Es muy importante que movamos siempre los equipos recién registrados y que aparecen en esta capeta "computers" a su unidad organizativa definitiva. Esta carpeta de "computers" la tomaremos como una ubicación temporal hasta que movamos los equipos a su unidad organizativa.

Primero vamos a la carpeta en la que se van introduciendo los equipos que se registran ("Computers").

1

En esa carpeta tenemos uno o varios equipos que queremos mover. Lo marcamos, pulsamos el botón derecho y seleccionamos la opción "Mover":

 

2

Indicamos el destino, por ejemplo, la unidad organizativa "Calidad":

 

3

Pulsamos "Aceptar" y vamos a comprobarlo:

 

El proceso es el mismo para los otros equipos. Los moveremos a otras dos unidades organizativas de pruebas.

Aunque en nuestra empresa tengamos pocos equipos, es muy importante que creemos una estructura de unidades organizativas. Cuando lleguemos a las "directivas de grupo" veremos que, gracias a estar ordenado con cierta lógica, podremos realizar importantes tareas administrativas en los equipos de cada grupo.

Eliminar o mover unidades organizativas 

Si necesitamos mover o eliminar unidades organizativas, solo tendremos que seleccionarla y pulsar el botón de suprimir. También podemos utilizar la opción "suprimir/mover" con el botón derecho del ratón:

 

Vamos a mover esta unidad organizativa de sitio. Por ejemplo, dentro de la de Informática, para probar este proceso:

 

Vaya, no podemos moverla ni tampoco eliminarla. Esto es por seguridad. Si eliminamos de forma accidental una unidad organizativa que tenga dentro las cuentas de 20 equipos de nuestra red, sería una catástrofe para los usuarios. Sin sus cuentas de equipo, no tendrían acceso a los recursos de red y estarían incomunicados. Puesto que es una operación grave, desde Windows 2003 Server, al crear la unidad organizativa, se activa por defecto una protección ante borrados o movimientos accidentales.

Recordemos la pantalla cuando hemos creado las unidades organizativas:

 

Por defecto tenemos la opción de protección activada. Así que antes de mover o eliminar una unidad organizativa debemos quitar esta protección.

Para esto, mostramos las propiedades de la unidad organizativa con el botón derecho:

 

Vaya, ¡por mucho que buscamos no aparece esta opción! Esto es porque se encuentra dentro de las propiedades avanzadas, que por defecto no se muestran.

Vamos a activarlas desde el menú:

 

El árbol del directorio activo estará ahora más poblado porque aparecen objetos ocultos que forman parte de su configuración y que deben permanecer así por seguridad.

Ahora sí que encontramos la opción.

 

Si desmarcamos esta casilla, ya podremos eliminar y mover las unidades organizativas.

Si eliminamos una unidad organizativa, debemos asegurarnos que está vacía. Podemos eliminar cuentas de usuario, equipos, impresoras u otros objetos y en este entorno no existe papelera para recuperarlos.

Una vez que hemos hecho las operaciones necesarias, volveremos a dejar la vista sencilla de esta consola desmarcando la opción de ver las características avanzadas.