Grunnleggende
Tjenester
Windows Server logo

Grupper og organisasjonsenheter (OUer) i Active Directory

En omfattende guide for å strukturere og organisere brukere og ressurser i Active Directory

Forstå forskjellen mellom grupper og OUer

Grupper

Brukes primært for å:

  • Tildele tilgangsrettigheter
  • Distribuere e-post
  • Filtrere Group Policy
  • Organisere brukere med like behov

Grupper kan inneholde:

  • Brukere
  • Datamaskiner
  • Andre grupper

Organisasjonsenheter (OUer)

Brukes primært for å:

  • Organisere objekter hierarkisk
  • Delegere administrative rettigheter
  • Anvendelse av Group Policy
  • Speile organisasjonsstruktur

OUer kan inneholde:

  • Alle typer AD-objekter
  • Andre OUer (nøsting)

Viktig å vite

Før du begynner å opprette grupper og OUer, bør du:

  • Ha en klar plan for organisasjonsstrukturen
  • Forstå forskjellen mellom sikkerhetsgrupper og distribusjonsgrupper
  • Kjenne til omfanget (scope) av grupper: Universal, Global, og Domain Local
  • Ha en navnekonvensjon for både grupper og OUer

Organisasjonsenheter (OUer)

Planlegge OU-struktur

En god OU-struktur er grunnlaget for effektiv administrasjon. Her er noen vanlige tilnærminger:

Geografisk basert

Geografisk OU-struktur
  • Basert på fysiske lokasjoner
  • Nyttig for store, spredte organisasjoner
  • Forenkler lokale policyer

Avdelingsbasert

Avdelingsbasert OU-struktur
  • Følger organisasjonskartet
  • Enkel delegering per avdeling
  • Naturlig for mindre organisasjoner

Opprette og administrere OUer

  1. Opprette ny OU

    Høyreklikk på domenet eller overordnet OU → New → Organizational Unit

    Meny for å opprette ny OU

  2. Konfigurere OU

    I dialogboksen som åpnes:

    • Angi et beskrivende navn
    • Vurder om OUen skal beskyttes mot sletting
    Egenskaper for ny OU

  3. Administrere OU

    Etter opprettelse kan du:

    • Flytte objekter til OUen
    • Koble til Group Policy
    • Delegere administrative rettigheter
    Administrasjon av OU

Tips for OU-administrasjon

  • Hold strukturen så enkel som mulig - unngå for mange nivåer
  • Dokumenter formålet med hver OU
  • Vurder effekten av Group Policy-arv ved planlegging
  • Bruk beskrivende navn som reflekterer formålet

Grupper i Active Directory

Gruppetyper og omfang

Gruppetyper

Type Bruksområde
Sikkerhetsgrupper Kan brukes til å tildele tilgangsrettigheter
Distribusjonsgrupper Kun for e-postdistribusjon

Gruppeomfang

Omfang Bruksområde
Domain Local Tildele tilgang til ressurser i samme domene
Global Organisere brukere med like roller
Universal Tilgang på tvers av domener i skogen

Opprette og administrere grupper

  1. Opprette ny gruppe

    Høyreklikk i ADUC → New → Group

    Meny for å opprette ny gruppe

  2. Konfigurere gruppe

    I "New Object - Group" dialogen:

    • Angi gruppenavn
    • Velg gruppetype (Security/Distribution)
    • Velg gruppeomfang (Domain Local/Global/Universal)
    Egenskaper for ny gruppe

    Navngivningskonvensjoner for grupper

    Bruk beskrivende prefikser for å indikere:

    • SEC_ for sikkerhetsgrupper
    • DL_ for distribusjonsgrupper
    • Deretter formål/avdeling/ressurs
    • Eksempel: SEC_IT_Admins, DL_Marketing_All

  3. Legge til medlemmer

    Etter opprettelse:

    1. Dobbeltklikk på gruppen
    2. Gå til "Members" fanen
    3. Klikk "Add" for å legge til medlemmer
    Legge til gruppemedlemmer

Nøstede grupper

Nøstede grupper er en kraftig funksjon i AD som lar deg:

  • Bygge hierarkiske tilgangsstrukturer
  • Forenkle administrasjon av komplekse tilganger
  • Redusere antall direkte gruppemedlemskap

Eksempel på nøsting

Eksempel på nøstede grupper

I dette eksempelet:

  • Global gruppe for hver avdeling
  • Domain Local grupper for ressurser
  • Avdelingsgrupper er medlemmer i ressursgrupper

Beste praksis for nøsting

  • Følg AGDLP-modellen:
    • Account (bruker)
    • Global group (roller)
    • Domain Local group (tilgang)
    • Permission (rettighet)
  • Unngå for mange nivåer av nøsting
  • Dokumenter gruppestrukturen

Vedlikehold og beste praksis

Anbefalte rutiner

  • Gjennomgå gruppemedlemskap regelmessig
  • Dokumenter formålet med hver gruppe og OU
  • Hold navnekonvensjoner konsistente
  • Unngå å gi rettigheter direkte til brukere - bruk alltid grupper
  • Backup av Group Policy Objects (GPOer) før større endringer

Vanlige feil å unngå

  • For kompleks OU-struktur
  • Manglende dokumentasjon
  • Inkonsistent navngivning
  • For mange administrative nivåer
  • Direkte tildelinger til brukere

Verktøy for vedlikehold

  • Active Directory Users and Computers
  • PowerShell for automatisering
  • Group Policy Management Console
  • Active Directory Administrative Center