Für mein einfaches Netzwerk erstelle ich eine OU-Struktur, welche gut verwalt- und erweiterbar ist:
- übersichtlich, flache Anordung
- für weitere Standorte einfach erweiterbar
- die Verwaltung pro Standort deligierbar
- Gruppenrichtlinien für Benutzer und Computer getrennt anwendbar
- möglichst viele gleiche Objekte in einer OU
Erstellen der OU-Struktur
- Als Administrator an DC1 anmelden
- Server Manager > Tools > Active Directory Users and Computers
- intern.einfaches-netzwerk.at erweitern, rechts anklicken > New > Organizational Unit
- New Object – Organizational Unit
- Unter der OU Einfaches-Netzwerk folgende OU-Struktur erstellen:
Erstellen von Benutzerkonten
- OU Benutzer\Linz rechts anklicken > New… > User
- New Object – User
- Folgende Benutzer anlegen:
- Full name: USER2, Passwort: Password1, Password never expires
- Full name: USER3, Passwort: Password1, Password never expires
- Optional für die Dokumentation: First name: Dietmar, Last name: Haimann, Login name: dietmar, Passwort: Password1, Password never expires
- Alle Fenster schließen
Kommentare für die Dokumentation nutzen
Für die Dokumentation möchte ich folgende Informationen pflegen:
- Name der Organisationseinheit
- Kurze Beschreibung
- Ersteller
- Erstellungsdatum
Diese werde ich direkt im Objekt speichern, um z.B. mit einem PowerShell-Script das Erstellen der Doku automatisieren zu können.
- Die OU Einfaches-Netzwerk rechts anklicken > Properties
- Folgende Informationen eingeben:
- Für alle OUs entsprechend wiederholen
- PowerShell (Admin) starten
- Mit folgendem Befehl die Informationen exportieren
Get-ADOrganizationalUnit -Filter * -Properties Name,Description,whenCreated,managedBy | ` Select Name,Description,whenCreated,managedBy | ` Export-Csv -Path C:\Temp\OrgUnits.csv -Force
- In Excel importieren
Natürlich lässt sich das noch verfeinern, aber Grundsätzlich genügt mir das für die Dokumentation. 🙂
Protect container from accidental deletion
Beim Erstellen der OUs ist standardmäßig das Häkchen Protect container from accidental deletion aktiviert. Das bewirkt, dass die Gruppe Everyone ein Deny auf das Recht Delete und Delete subtree erhält:
Muss die OU dennoch gelöscht werden, die Gruppe Everyone entfernen und mit OK bestätigen.