Organizational Unit یا OU یک container یا ظرفی در اکتیودایرکتوری است که می تواند حاوی اشیا مختلفی از جمله Groups، Users، Computers و غیره. باشد. Active Directory OU یک واحد مدیریتی ساده در دامین است که Administrator می تواند درون آن اشیا Group Policy را لینک داده و مجوزها را به کاربران/گروه ها اختصاص دهد. ضمن اینکه OU یکی از محل های اعمال پالیسی است.


علاوه بر ذخیره سازی و نگهداری آبجکت های AD، دو وظیفه مهم دیگر برای OU ها وجود دارد:



Delegate یا تفویض اختیار وظایف management و administrative به سایر مدیران و کاربران بدون اعطای امتیازات administrator به آنها.
لینک دادن گروپ پالیسی GPO به اشایه درون OU. چون همانطور که گفته شد OU ها یکی از محل های اعمال پالیسی هستند.

How to Create an Active Directory Organizational Unit Using the ADUC?

برای ایجاد یک Organizational Unit یا OU جدید در Active Directory، اکانت شما باید دارای مجوز Domain Administrator یا مجوزهای ایجاد OU جدید (در کل دامین یا در یک container خاص) تفویض شده باشد.
شما می توانید در Root دامین خود اقدام به ایجاد OU کنید یا درون OU های دیگر اقدام به ایجاد OU کنید. در اینجا در root دامین اقدام به ایجاد OU می کنیم. برای این منظور باید به کنسول Active Directory Users and Computers وارد شویم کافیست که Run را باز کرده و دستور dsa.msc را تایپ و Enter کنید سپس کنسول مذکور باز می شود.


سپس در جای مورد نظرتان کلیک راست کرده و از New گزینه Organizational Unit را کلیک کنید.


حالا در فیلد name یک نام به OU خود تخصیص دهید.


سپس OK کنید. اکنون OU شما ایجاد و آماده استفاده است.
توجه داشته باشید که پس از نصب Active Directory، دامین شما دارای چندین OU و containers است:
Computers: در واقع container ای است به طور پیش فرض اکانتهای کامپیوتری در آن ذخیره می شوند. کامپیوترها پس از جوین شدن به دامین در این container ذخیره می شوند. هر چند می توانید محل آنها را تغییر دهید.


Builtin: این container شامل گروه های دامین است.
Users: این container، بصورت پیشفرض برای کاربران و گروه های جدید است. چندین حساب کاربری و گروه از پیش تعریف شده (به غیر از موارد موجود در Built-in) در این container وجود دارد که شامل security group ها برای مدیریت دامین و Forest است. با دستور زیر می توانید OU پیشفرض برای کاربران و گروه ها را تغییر دهید:

redirusr "OU=Users,OU=HQ,OU=USA,DC=khoshamoz,DC=COM"

در دستور فوق باید OU ها و نام دامین خود را جایگزین کنید.

Domain Controllers: در این OU تمام دامین کنترلرها قرار دارند. تمام دامین کنترلرها به دلیل نقش بسیار حساسی که دارند بصورت پیشفرض ظرف جدایی برای آنها در نظر گرفته شده است. Default Domain Controller Policy به این OU مربوط و لینک شده است.
بصورت پیشفرض هر Organizational Unit از حذف تصادفی محافظت شده است. اگر از یک OU اقدام به properties گرفتن کنید و سپس به تب Object بروید خواهید دید که تیک گزینه Protect object from accidental deletion فعال است. برای حذف این OU باید تیک گزینه را غیرفعال کنید. همانطور که اگر در کامپیوترتان فولدری را حذف کنید تمام فایل ها و فولدرهای درون آن حذف می شود در اینجا هم روال به همین صورت است. هر آنچه که درون OU باشد حذف خواهد شد.

Active Directory OU Structure

در زیرساخت های Active Directory کوچک (20-50 کاربر) ایجاد یک ساختار پیچیده OU لازم نیست. در یک زیرساخت بزرگ، مطلوب این است که همه اشیا را به container های مختلف تقسیم کنید. اساساً، از طراحی سلسله مراتبی OU در Active Directory، به لحاظ جغرافیایی ، عملکردی یا سازمانی استفاده می شود. به عنوان مثال، سازمان شما در کشورها و شهرهای مختلف در سراسر جهان شعبه دارد. ایجاد کانتینرهای جداگانه برای هر کشور در سطح بالای دامین و همچنین ایجاد کانتینرهای جداگانه در داخل کشور برای شهر و یا ایالت منطقی خواهد بود. در هر مکان، می توانید برای مدیران، گروه ها ، کامپیوترها ، سرورها و کاربران، OU های جداگانه ایجاد کنید.


در صورت لزوم ، می توانید سطح دیگری از سلسله مراتب(مثلا ساختمان ها، دپارتمان ها و ..) را اضافه کنید. در چنین سلسله مراتبی از Active Directory، می توانید با انعطاف پذیری بیشتری، مجوزهای AD را تفویض کرده و GPO ها را بدان ها لینک دهید.

How to Create an Active Directory OU Using PowerShell?

برای ایجاد OU با کمک پاورشل، از دستور dsadd استفاده خواهیم کرد. توجه داشته باشید آدرس دقیق جایی که می خواهید OU در آن ایجاد شود را باید مشخص کنید.
اگر سرورتان دسکتاپ است، Powershell را به صورت Run as admin اجرا کنید و در صورتی که ویندوز سرور Core دارید کافیست دستور زیر را در CMD وارد و Enter کنید تا Powershell به صورت Run as admin اجرا شود.

runas /user:administrator powershell.exe

dsadd ou “ou=IT,dc=khoshamoz,dc=com”

ضمن اینکه از دستور New-ADOrganizationalUnit هم برای این منظور می توانید استفاده کنید:

New-ADOrganizationalUnit -Name "Canada"

مثلا برای ایجاد OU درون OU دیگر به صورت زیر می توانید اقدام کنید:

New-ADOrganizationalUnit -Name Toronto -Path "OU=Canada,DC=khoshamoz,DC=com" -Description "Toronto city" -PassThru

Managing Active Directory OU with PowerShell

با کمک دستور Rename-ADObject می توانید یک OU موجود را Rename کنید. مثلا در دستور زیر OU ای با نام HQ به NewYork تغییر نام داده می شود:

Rename-ADObject -Identity "OU=HQ,DC=khoshamoz,DC=COM" -NewName NewYork

برای حذف OU از AD از دستور Remove-ADOrganizationalUnit می توانید بهره بگیرید. مثلا برای حذف OU ای با نام NewYork از دستور زیر می توانید استفاده کنید:

Get-ADOrganizationalUnit -filter "Name -eq 'NewYork'"| Remove-ADOrganizationalUnit

اگر مانند تصویر زیر با ارور Remove-ADOrganizationalUnit : Access is denied مواجه شدید، باید مطمئن شوید که تیک گزینه Protect object from accidental deletion فعال نباشد. شما در پاورشل با کمک ProtectedFromAccidentalDeletion می توانید همین گزینه را برای OU غیرفعال کنید:

Get-ADOrganizationalUnit -filter "Name -eq 'NewYork'"| Set-ADOrganizationalUnit -ProtectedFromAccidentalDeletion $False

اگر OU شامل اشیائی در خود باشد، خطایی در حذف ظاهر می شود. برای حذف OU و همه اشیا درون آن، از گزینه -Recursive استفاده کنید:

Get-ADOrganizationalUnit -filter "Name -eq 'NewYork'"| Remove-ADOrganizationalUnit -Recursive

برای Move کردن OU هم از دستور Move-ADObject می توانید استفاده کنید. گزینه ProtectedFromAccidentalDeletion نباید فعال باشد.

Move-ADObject -Identity "OU=Services,OU=NewYork,DC=khoshamoz,DC=Com" -TargetPath "OU=IT,OU=Enterprise,DC=khoshamoz,DC=Com"

البته از دستور Move-ADObject فقط برای انتقال OU ها نیست که می شود استفاده کرد. مثلا برای انتقال کامپیوترها، User ها و گروه ها هم از این دستور می توانید استفاده کنید. در این خصوص به لینک " Move یا انتقال کامپیوترها از OU به OU دیگر " که بالاتر آن را قرار دادیم می توانید مراجعه کنید.

How to Delegate Active Directory Permissions to the Organizational Units?

هنگام delegate کردن یک آبجکت AD منجمله OU بهتر است permission را به جای کاربر به گروه آن کاربر تفویض کنید. کافیست که کاربر را عضو گروه مورد نظرتان کنید.


برای این منظور روی OU مورد نظر کلیک راست کرده و گزینه Delegate Control را کلیک کنید.


در ویزارد باز شده، گروه مورد نظرتان را به لیست اضافه کنید.


سپس Task های مدیریتی که قصد delegate کردن آنها را دارید تیک زده و همین طور مراحل را تا انتها دنبال کنید: