Unidades Organizacionais (OUs) no Active Directory (AD) são contêineres usados para organizar objetos dentro de um domínio. Eles podem incluir usuários, grupos, computadores e outros OUs. As OUs permitem que os administradores agrupem recursos para facilitar a administração e a aplicação de políticas.
Existem algumas características de uso da OUs, sendo elas:
Organização Hierárquica: Criação de uma estrutura hierárquica dentro do AD, refletindo a estrutura organização da empresa. Por exemplo, criação de OUs para diferentes departamentos, como: TI, RH, Vendas, Administração, Diretoria etc.
Delegação de Controle: Administradores podem delegar permissões de gereniamento em OUs específicas para outros administradores ou usuários. Isso facilita a descentralização da administração sem comprometer a segurança global do AD.
Aplicação de Políticas de Grupos (GPOs): As GPOs podem ser vinculadas a OUs para aplicar confiurações de segurança e políticas específicas a todos os objetos dentro da OU. Isso é últil para garantir que certos padrões e configurações sejam mantidos consistentemente.
Gerenciamento de Recursos: Facilitam o gerenciamento de recursos como computadores e contas de usuários, permitindo aos administradores aplicar mudanças ou políticas de forma segmentada, sem afetar todo o domínio.
Isolamento de Objetos: OUs podem ser usadas para isolar objetos, permitindo que diferentes políticas sejam aplicadas a diferentes grupos de objetos dentro do mesmo domínio.
Em resumo, Unidades Organizacionais no Active Directory são uma ferramenta essencial para a organização, segurança e administração eficaz de recursos e usuários em um ambiente de rede.
Criando uma OU (Unidade Organizacional) no AD
Acesse o Server Manager e no canto superior direito clique em Tools > Active Directory Users and Computers.
Observe que no meu ambiente de laboratório, eu possuo apenas um servidor Domain Controller no qual será realizado a criação das OUs.
É importante ressaltar que em um ambiente produtivo, é recomendável que tenhamos pelo menos dois servidores DCs (Domain Controllers) para garantir redundância e alta disponibilidade. Essa quantidade de DCs pode depender de diversos fatores como, por exemplo, o tamanho da Organização.
A OU Users é uma unidade organizacional padrão do Active Directory. Nela, vão ser exibidos usuários e grupos padrões.
Não é uma boa prática criar usuários da sua organização nesta OU. Mais abaixo eu vou exemplificar a forma correta para criação de usuários.
Clique com o botão direito do mouse no domínio (no meu caso é o empresa.local) e vai até New > Organizational Unit
Após, insira o nome de sua nova OU. Se preferir, você pode deixar marcado a opção Protect container from acidental deletion, para não correr o risco de exclusão acidental da OU.
Agora com a OU Vendas criada, vamos criar mais duas OUs dentro dela. Uma será Computadores e a outra será Usuários.
Clique com o botão direito do mouse em cima da nova OU e siga o mesmo processo de criação.
Criando um novo usuário
Com a nossa OU Usuarios criada, vamos clicar com o botão direito do mouse em cima e ir até New > User
Conforme exemplo abaixo, preencha os campos com as informações do usuário e clica em Next.
Na próxima tela, insira uma senha para o usuário.
Neste exemplo, não vamos nos a pegar sobre a criação de uma senha complexa, ou de uma GPO para definir criação de senhas com limite mínimo de 12 caracteres contendo letras, números e caracteres especiais. Esse tema deixarei para um próximo post.
Como pode ver, já temos nosso usuário João Da Silva criado na OU Vendas > Usuarios
Ingressando uma máquina no domínio e testando acesso
Neste passo agora nós iremos ingressar uma nova máquina no domínio apenas para realizarmos o teste de acesso de nosso novo usuários que acabamos de criar. Esse passo é importante para você poder entender melhor na prática o funcionamento das Unidades Organizacionais.
Como pode observar na imagem abaixo, eu estou utilizando uma máquina Windows 10 Enterprise onde vou estar colocando ela no domínio empresa.local que é nosso domínio de laboratório.
Abra o Painel de Controle e cliquem em Network and Internet.
Em seguida clique em Network and Sharing Center.
Depois é só clicar em Change adapter settings.
Após, será aberto uma nova janela contendo as placas de rede instalada em sua máquina. No meu caso, eu vou adicionar e configurar um IP fixo na minha segunda placa de rede. basta clicar com o botão direito do mouse em cima da placa de rede desejada e selecionar a opção Properties (Propriedades).
Em seguida selecione Internet Protocol Version 4 (TCP/IPv4) e clique em Properties.
De acordo com as configurações da minha rede, eu vou adicionar o seguinte IP 172.16.10.10 (mesma range do meu Domain Controller) e adicionar os seguintes DNS primário e secundário (172.16.10.20 / 172.16.10.21).
Depois de adicionar um IP fixo e configurar os DNS, você pode abrir o CMD e realizar um teste de ping como o exemplo abaixo:
Neste exemplo eu realizei dois tipos de ping. Um apenas pingando o IP do servidor DC e o outro acrescentando o parâmetro -a para retornar o nome do servidor.
Em resumo, o teste de ping foi concluído com sucesso e agora já podemos ingressar a máquina cliente no domínio.
Agora abre o Windows Settings (Configurações do Windows) e selecione System.
Role a barra lateral esquerda até o final e clique em About e depois clique em Rename this PC (advanced).
Vai ser aberto uma janela. Nela você pode clicar em Change e em seguida renomear o nome do seu computador (se desejável) e adicionar o domínio.
Quando você clicar em Ok, vai ser solicitado que você coloque um usuário de domínio com permissões para poder completar o ingresso da máquina. No meu caso, eu vou estar utilizando o usuário administrador local do meu servidor DC.
Ao inserir as credenciais, vai ser exibido uma mensagem de sucesso como mostrado abaixo.
Clique em Ok e reinicie a máquina.
Testando acesso com o usuário criado
Selecione a opção Other user e em seguida insira as credenciais de acesso do seu novo usuário que foi criado lá no começo no AD.
Após primeiro login, observe que estou logado com o usuário teste joao.silva na máquina de estação de trabalho.
Movendo a máquina cliente para OU correta
Por padrão, todas as máquinas que são ingressadas no domínio, elas vão para a OU Computers.
Vamos voltar ao nosso servidor AD e mover a máquina do usuário joao.silva que faz parte do departamento de vendas para a OU Computadores dentro da OU Vendas.
Você pode clicar com o botão direito do mouse em cima do computador e selecionar Move…
Em seguida selecione a OU desejada (no meu caso é a Vendas > Computadores) e clique em Ok.
Pronto! o computador novo esta na OU correta. Você pode fazer este mesmo procedimento de mover um computador para outra OU apenas segurando em cima com o botão esquerdo do mouse e arrastando até a OU desejada.
Espero que este tutorial possa lhe ter ajudado de alguma forma.
Te vejo em breve!
Seja o primeiro a comentar