Active-Directory-Tipp: 5 bewährte Praktiken für Organisationseinheiten im AD
Organisationseinheiten (Organizational Units, kurz: OUs) spielen bei der Verwaltung des Active Directory (AD) eine zentrale Rolle: Sie helfen bei der Klassifizierung von AD-Objekten wie Benutzern, Gruppen oder Computern und ermöglichen es, Gruppenrichtlinien mit diesen Objekten zu verknüpfen oder Verwaltungsaufgaben an diese zu delegieren.
So hilfreich OUs beim AD-Management auch sein können: IT-Abteilungen sollten die Struktur ihrer Organisationseinheiten sorgfältig planen, damit diese ausreichend Flexibilität für zukünftige Veränderungen, Unternehmensexpansionen oder Umstrukturierungen bietet. Denn gerade Änderungen, die viele Benutzer in unterschiedlichen Organisationseinheiten betreffen, können ohne AD-Management-Tools wie ADManager Plus schnell zur Mammutaufgabe für Administratoren werden.
Wir haben fünf Best Practices rund um die Organisationseinheiten im Active Directory für Sie zusammengestellt. Diese unterstützen Sie dabei, die optimalen Voraussetzungen für eine einfache und sichere AD-Verwaltung zu schaffen:
Produktvorstellung ADAudit Plus
Wir stellen Ihnen die Funktionen von ADAudit Plus gerne in einer unserer regelmäßigen Live-Demos vor - kostenlos und unverbindlich!
Mit der AD-Change-Management-Lösung ADAudit Plus können Sie alle Änderungen an AD-Objekten übrigens einfach auditieren und überwachen. So lässt sich beispielsweise jederzeit von einer zentralen Konsole aus nachvollziehen, wer wann und wo welche Änderung an einer Organisationseinheit vorgenommen hat.
1. Planen Sie Ihre OUs vorausschauend
Bei einer schlecht geplante OU-Struktur ist oft unklar, wo neu erstellte Objekte im Verzeichnisbaum platziert werden sollen. Microsoft schlägt vor, dass Sie bei der Planung Ihrer OU-Struktur darauf achten, dass diese möglichst einfach und anpassbar bleibt. Unser Tipp: Behalten Sie beim Erstellen Ihrer grundlegenden OU-Struktur bereits die Verknüpfung von Gruppenrichtlinienobjekten (GPOs) bzw. die Delegation von Verwaltungsaufgaben im Hinterkopf. So können Sie vermeiden, dass auf lange Sicht OUs aufgrund von strukturellen Fehlern „nach Belieben“ erstellt werden.
2. Entscheiden Sie sich für ein OU-Modell
Das Management von AD-Objekten wird deutlich einfacher, wenn die OUs die Struktur Ihres Unternehmens widerspiegeln. Dabei gibt es verschiedene Modelle, wie Organisationseinheiten gegliedert werden können, die unterschiedlichen Zwecken dienen. Einige Beispiele:
- Das geografische Modell unterteilt Ihre OUs nach dem Standort Ihrer Büros.
- Das Abteilungsmodell gliedert AD-Objekte in OUs, die den Abteilungen Ihres Unternehmens entsprechen.
- Das typbasierte Modell klassifiziert OUs auf der Grundlage von Objekttypen.
Bevor Sie sich für ein OU-Modell entscheiden, sollten Sie überlegen, welches Modell am besten zu Ihren Verwaltungsanforderungen passt. Anschließend sollten Sie möglichst bei einem Modell bleiben.
3. Legen Sie Benutzer und Computer getrennt an
Wenn Sie im Active Directory Benutzer- und Computerobjekte erstellen, werden diese standardmäßig zu ihren jeweiligen Containern hinzugefügt. Allerdings können Gruppenrichtlinienobjekte (Group Policy Objects, kurz: GPOs) jedoch nicht mit diesen Containern verknüpft werden. Daher empfehlen wir Ihnen, stattdessen separate Organisationseinheiten für Benutzer und Computer zu erstellen, für die eine GPO-Anwendung erforderlich ist. Diese Vorgehensweise kann übrigens unabhängig von dem OU-Modell befolgt werden, das Sie für Ihre Organisation gewählt haben.
4. Nutzen Sie verschachtelte OUs sinnvoll
Richtig eingesetzt, können verschachtelte Organisationseinheiten die AD-Verwaltung deutlich vereinfachen. Sie können so beispielsweise Eigenschaften vererben und administrative Rechte flexibel delegieren. Wenn Sie beispielsweise einem hochrangigen Benutzer mehrere Berechtigungen erteilen möchten, aber nicht wollen, dass einige der Benutzer in dieser OU diese Berechtigungen ebenfalls erhalten, können Sie eine verschachtelte OU erstellen. In diese verschieben Sie die entsprechenden Anwender und verweigern ihnen die Berechtigung. Auf diese Weise können Sie die Erstellung von parallelen Organisationseinheiten in Ihrem AD-Verzeichnis verhindern. Die Verschachtelung hilft auch, verschiedene AD-Objekte wie Benutzer, Computer und Gruppen innerhalb einer übergeordneten OU voneinander zu trennen.
Zusatztipp:
Damit Sie trotz verschachtelter Gruppen den Überblick behalten, sollten Sie sich vorher – wie üblich – Gedanken über den Bauplan machen. Überlegen Sie sich am besten eine klare Strategie für eine sinnvolle Hierarchie der Gruppen. Hilfreich ist auch eine Namenskonvention für neue Gruppen, damit die mühsam geschaffene Ordnung im AD auch aufrechterhalten werden kann.
5. Dokumentieren Sie Ihre OU-Struktur
Egal, wie gut Sie sie planen: Ihre OU-Struktur wird immer dynamisch sein, da regelmäßig neue Objekte erstellt werden. Daher sollten Sie Ihre OU-Struktur und Ihren Entwurf gut dokumentieren, indem Sie Details wie den OU-Namen, die Beschreibung, die Person, die die OU erstellt hat, und den Zeitpunkt ihrer Erstellung aufzeichnen. Diese Informationen werden sich später wahrscheinlich als äußerst wertvoll erweisen und können beispielsweise ein versehentliches Löschen wichtiger OUs verhindern.
Vereinfachen Sie Ihr OU-Management mit ADAudit Plus!
Wenn Sie versuchen, Änderungen an Ihren Organisationseinheiten alleine mit den Windows-Bordmitteln zu überwachen und zu dokumentieren und dann gleichzeitig noch die delegierten Berechtigungen im Auge behalten möchten, kann dies sehr zeitaufwändig werden. Die AD-Auditing-Lösung ADAudit Plus entlastet Sie bei dieser Aufgabe mit anpassbaren Change-Audit-Berichten, die Sie über alle an Ihren OUs, GPOs und Berechtigungen vorgenommenen Änderungen informieren.