Une unité organisationnelle (UO) est un conteneur fondamental d'Active Directory (AD) qui organise et conserve des objets tels que des comptes utilisateurs, des ordinateurs, des groupes et d'autres UO. Agissant comme un dossier au sein de l'annuaire, les UO aident les administrateurs à structurer et gérer logiquement les ressources de manière évolutive et hiérarchique. La gestion des UO est réservée aux administrateurs de domaine ou aux utilisateurs disposant d'autorisations déléguées pour des UO spécifiques, garantissant ainsi une administration contrôlée et sécurisée. De plus, les UO prennent en charge l'imbrication, ce qui permet de créer des hiérarchies complexes reflétant la structure de votre organisation. L'un des principaux avantages des UO est la possibilité d'y lier directement des objets de stratégie de groupe (GPO), permettant ainsi une gestion centralisée des paramètres de sécurité, du déploiement de logiciels et d'autres configurations adaptées au contenu de l'UO.
Création d'une unité organisationnelle
Les unités d'organisation sont créées via le centre d'administration Active Directory (ADAC), les utilisateurs et ordinateurs Active Directory (ADUC), l'invite de commande et PowerShell.
Créer une unité d'organisation avec ADAC
Créons une unité d'organisation via ADAC :
Exécutez le dsac.exe. Passez à l'arborescence et développez votre domaine ou votre OU où vous souhaitez placer votre nouveau. Cliquez avec le bouton droit sur une OU ou un domaine, sélectionnez Nouveau..., puis sélectionnez Unité organisationnelle.
L'espace Créer une unité organisationnelle la fenêtre apparaît:
Saisissez un nom unique pour l’UO et cliquez sur OK.
Créer une unité d'organisation avec la ligne de commande
Pour créer une unité d'organisation via cmd, courir dsadd.exe avec les paramètres suivants:
dsadd.exe ou "OU=testorg,DC=office,DC=local" -desc "TestOU"Cela créera un TestOU dans le domaine avec la description "TestOU".
Créer une unité d'organisation avec PowerShell
New-ADOrganizationalUnitNew-ADOrganizationalUnit applet de commande peut nous aider à accomplir la tâche de création. Exécutez PowerShell en tant que Administratrice et tapez ce qui suit :
Import-Module ActiveDirectory
New-ADOrganizationalUnit "TestOU" -Description "TestOU"Cela créera un TestOU dans le domaine avec la description "TestOU".
Supprimer une unité organisationnelle
Les unités d'organisation ne peuvent pas être supprimées facilement ; ils sont protégés par défaut contre toute suppression accidentelle. Afin de supprimer un Unité organisationnelle, nous devons décocher la Protégé contre la suppression accidentelle case à cocher dans les propriétés de l'unité d'organisation.
Suppression d'unité d'organisation avec ADAC
Ouvrez le Centre d'administration Active Directory (dsac.exe).
Passez à l'arborescence, développez votre domaine et recherchez l'UO que vous souhaitez supprimer. Cliquez avec le bouton droit sur l'UO, puis Supprimer .
L'espace Confirmation de suppression la fenêtre apparaît:
Cliquez sur Oui pour confirmer. Si l'UO contient des objets enfants, cliquez à nouveau sur Oui.
Suppression d'unité d'organisation à l'aide de la ligne de commande
Pour supprimer une unité d'organisation à l'aide d'une invite de commande, nous devons utiliser dsrm.exe outil dans cmd exécuter en tant qu'administrateur avec la syntaxe suivante :
dsrm.exe "OU=TestOU,DC=office,DC=local" -subtreeCela supprimera complètement une unité d'organisation avec toutes les sous-unités d'organisation existantes.
Suppression de l'unité d'organisation avec Windows PowerShell
Pour supprimer une unité d'organisation, nous devons utiliser l'applet de commande PowerShell New-ADOrganizationalUnit :
Import-Module ActiveDirectory
Remove-ADObject -Identity "OU=TestOU,DC=office,DC=local" -Recursive -Confirm:$FalseCela supprimera complètement l'unité d'organisation TestOU avec toutes les sous-unités d'organisation existantes.
Modifier une unité organisationnelle
Parfois, vous devez modifier une OU, voici donc une explication pour procéder de trois manières différentes.
Modification d'une unité d'organisation avec le centre d'administration Active Directory
Ouvrez le Centre d'administration Active Directory (dsac.exe). Basculez vers l'arborescence et recherchez l'unité d'organisation que vous devez modifier.
Faites un clic droit dessus et sélectionnez «Propriétés :” dans la fenêtre qui apparaît, vous pouvez modifier les paramètres de l'unité d'organisation tels que la description ou le gestionnaire.
Décochez la case Protégé contre la suppression accidentelle réglage et clic OK.
Modification de l'unité d'organisation avec la ligne de commande
Pour modifier une unité d'organisation, vous devez utiliser dsmod.exe dans cmd en tant qu'administrateur. Mais dans ce cas, vous ne pouvez modifier que la description.
dsmod.exe ou "OU=TestOU,DC=office,DC=local" -desc "New description"Ici, nous attribuons "Nouvelle description" à la TestOU.
Modification de l'unité d'organisation avec le Windows PowerShell
L'espace Ensemble-ADOrganizationalUnit L'applet de commande PowerShell est ce que nous allons utiliser pour changer l'unité d'organisation. Il est très puissant contrairement dsmod.exe. Vous pouvez facilement modifier de nombreux paramètres de l'UO tels que Nom distingué, LinkedGroupPolicyObjectsLinkedGroupPolicyObjectsLinkedGroupPolicyObjects or Dirigé par. Voici l'exemple de la façon de changer Dirigé par paramètre dans une OU :
Import-Module ActiveDirectory
Set-ADOrganizationalUnit -Identity "OU=TestOU,DC=office,DC=local" -ManagedBy "CN=User,CN=Users,DC=office,DC=local"Conclusion
Les unités organisationnelles (UO) jouent un rôle essentiel dans la structuration et la gestion efficaces des environnements Active Directory. Elles permettent aux administrateurs de regrouper logiquement les utilisateurs, les ordinateurs et autres ressources, simplifiant ainsi la délégation des autorisations et l'application des objets de stratégie de groupe (GPO). Que vous utilisiez le Centre d'administration Active Directory, des outils en ligne de commande ou PowerShell, la gestion des UO (création, modification ou suppression) est essentielle pour maintenir une infrastructure de domaine sécurisée et bien organisée. Une gestion efficace des UO garantit une administration simplifiée, un meilleur contrôle de la sécurité et une évolutivité accrue à mesure que votre organisation se développe.
QFP
- Q : Qu’est-ce qu’une unité organisationnelle (OU) dans Active Directory ?
R : Une unité d’organisation est un conteneur dans Active Directory utilisé pour organiser et gérer des objets tels que des utilisateurs, des groupes et des ordinateurs de manière hiérarchique. - Q : Qui peut gérer les unités organisationnelles ?
R : Par défaut, les administrateurs de domaine ont un contrôle total sur les unités d'organisation. La gestion peut également être déléguée à d'autres utilisateurs ou groupes disposant d'autorisations spécifiques. - Q : Les unités organisationnelles peuvent-elles être imbriquées ?
R : Oui, les unités d'organisation peuvent être imbriquées dans d'autres unités d'organisation pour créer une structure hiérarchique qui reflète la configuration d'une organisation. - Q : Comment puis-je empêcher la suppression accidentelle d’une unité d’organisation ?
R : Par défaut, les unités d'organisation sont protégées contre toute suppression accidentelle via un paramètre de sécurité qui peut être activé ou désactivé dans les propriétés de l'unité d'organisation. - Q : Quels outils puis-je utiliser pour créer ou modifier des unités d’organisation ?
R : Vous pouvez gérer les unités d’organisation à l’aide du Centre d’administration Active Directory (ADAC), des utilisateurs et ordinateurs Active Directory (ADUC), des utilitaires de ligne de commande tels que dsadd, dsmod, dsrm ou des applets de commande PowerShell telles que New-ADOrganizationalUnit, Set-ADOrganizationalUnit et Remove-ADObject. - Q : Les objets de stratégie de groupe (GPO) peuvent-ils être liés aux unités d’organisation ?
R : Oui, les objets de stratégie de groupe sont généralement liés aux unités d’organisation pour appliquer des politiques et des configurations à tous les objets de cette unité d’organisation. - Q : Que se passe-t-il si je supprime une unité d’organisation contenant des objets ?
R : La suppression d'une unité d'organisation avec des objets enfants entraîne la suppression de tous les objets qu'elle contient, sauf indication contraire de votre part. Vous serez invité à confirmer cette action.
