Организационная структура

Общие сведения

В подразделе осуществляется создание и управление организационной структурой подразделений домена. Также в подразделе выполняется назначение прав и ролей структурным подразделениям и управление учетными записями, входящими в состав структурного подразделения.

В подразделе в качестве корневого подразделения отображается домен. Структурные подразделения добавляются в домен в иерархическом виде.

При переходе в подраздел отображается поле поиска подразделений и контроллер домена.

Для поиска подразделения начать вводить в поле поиска название, результат поиска будет выводиться по мере ввода.

Для раскрытия структуры подразделений нажать на подразделение.

При выделении подразделения вверху страницы отобразятся кнопки управления структурой подразделений (см. Добавление нового подразделения, Редактирование подразделения), а также кнопки добавления нового пользователя (см. Пользователи), новой группы пользователей (см. Группы пользователей) и новой группы компьютеров (см. Группы компьютеров) в состав подразделения.

Добавление нового подразделения

Для добавления нового подразделения в структуру нажать кнопку [Подразделение], будет открыта карточка нового подразделения.

На карточке на вкладке Основное необходимо заполнить обязательные поля Наименование подразделения, Родительское подразделение и Руководитель подразделения. В поле Расположение подразделения в организационной структуре автоматически указывается полный путь выбранного структурного подразделения. В поле Родительское подразделение по умолчанию указывается подразделение, которое было выбрано при нажатии кнопки добавления нового подразделения. Данное значение можно изменить вручную. Также можно заполнить необязательное поле Описание.

Остальные вкладки для редактирования станут доступны после сохранения подразделения (см. Редактирование подразделения).

Для сохранения нового подразделения необходимо нажать на кнопку сохранения в правом верхнем углу. После сохранения подразделения будет выполнен переход к структуре подразделений.

Редактирование подразделения

Для редактирования подразделения необходимо выделить его в структуре и нажать кнопку [Редактировать] для открытия карточки подразделения.

На карточке подразделения информация приводится на вкладках:

  • Основное;

  • Пользователи;

  • Компьютеры;

  • Дочерние подразделения;

  • Групповые политики;

  • Политики ПО.

Для закрытия карточки подразделения и возврата к структуре подразделений нажать на кнопку закрытия.

Основное

На вкладке отображается основная информация о подразделении: наименование подразделения, родительское подразделение, руководитель подразделения, описание и расположение.

Поля Наименование подразделения и Расположение подразделения в организационной структуре не могут быть изменены, остальные поля доступны для редактирования.

Для применения изменений необходимо нажать на кнопку сохранения в правом верхнем углу.

Для изменения родительского подразделения требуется наличие привилегии Organization units - Modify. Области действия активных ролей с этой привилегией должны включать:

  • Подразделение, для которого выполняется изменение родительского подразделения;

  • Старое родительское подразделение;

  • Новое родительское подразделение.

К подразделению, над которым выполняется операция, не должны быть привязаны роли. Если к подразделению привязаны роли, для него нельзя изменить родительское подразделение. Для выполнения операции требуется отвязать от подразделения все роли, и выполнить назначение ролей после перемещения (требуется привилегия Roles - Modify)

Если требуется отвязать от подразделения роли и выполнить привязку после перемещения, то необходима привилегия Roles - Modify. Области действия активных ролей с этой привилегией должны включать подразделение, для которого выполняется изменение родительского подразделения.

Пользователи

На вкладке осуществляется управление штатным составом подразделения.

В списках Выбранные пользователи и Выбранные группы указаны пользователи и группы пользователей, входящие в состав подразделения.

В списках Все пользователи и Все группы указаны все пользователи и группы пользователей, зарегистрированные в домене.

Во всех списках доступен поиск по названию. Для этого в соответствующем поле поиска начать вводить название пользователя/группы, результат поиска будет выводиться по мере ввода.

Внизу каждого списка указано количество записей в данном списке.

Для добавления пользователей в подразделение необходимо в блоке Пользователи в списке Все пользователи отметить требуемые записи и перенести их в список Выбранные пользователи нажатием кнопки [<-].

Для добавления пользователя в подразделение требуется наличие привилегии Users - Set organization unit. Области действия активных ролей с этой привилегией должны включать:

  • Подразделение пользователя до выполнения операции;

  • Подразделение, в которое переводится пользователь.

Если на пользователя назначены роли, исполнителю операции потребуются привилегии: Roles — Modify или Roles Membership — Manage. При наличии ролей, назначенных на пользователя: области действия активных ролей пользователя должны включать новое подразделение, в которое переводится пользователь. Пользователя нельзя добавить в подразделение, если область действия хотя бы одной из его активных ролей не включает новое подразделение. При возникновении ошибки о несоответствии областей действия роли пользователя и нового подразделения требуется выполнить одно из действий в отношении роли, вызвавшей ошибку:

  • изменить привязку роли к подразделению таким образом, чтобы она включала новое подразделение (исполнитель операции должен обладать привилегией Roles - Modify), и повторить операцию добавления пользователя в подразделение;

  • исключить пользователя из участников роли (исполнитель операции должен обладать привилегией Roles Membership - Manage) и повторить операцию добавления пользователя в подразделение.

Для исключения пользователей из подразделения необходимо в списке Выбранные пользователи отметить требуемые записи и перенести их в список Все пользователи нажатием кнопки [->].

Для удаление пользователя из подразделения требуется наличие привилегии Users - Set organization unit. Области действия активных ролей с этой привилегией должны включать:

  • Подразделение пользователя до выполнения операции

  • Корневое подразделение (пользователь при удалении из подразделения автоматически переносится в корень домена)

Если на пользователя назначены роли, исполнителю операции потребуются привилегии: Roles - Modify или Roles Membership - Manage. При наличии ролей, назначенных на пользователя: области действия активных ролей пользователя должны распространяться на корень домена. Пользователя нельзя удалить из подразделения, если область действия хотя бы одной из его активных ролей не распространяется на корень домена При возникновении ошибки о несоответствии областей действия роли пользователя и нового подразделения требуется выполнить одно из действий в отношении роли, вызвавшей ошибку:

  • изменить привязку роли к подразделению таким образом, чтобы она включала родительское подразделение (исполнитель операции должен обладать привилегией Roles - Modify), и повторить операцию удаления пользователя из подразделения;

  • исключить пользователя из участников роли (исполнитель операции должен обладать привилегией Roles Membership - Manage) и повторить операцию удаления пользователя из подразделения.

При нажатии на кнопку [Новый пользователь] будет выполнен переход на карточку добавления нового пользователя в подразделе Пользователи.

Добавление/исключение группы пользователей выполняется в блоке Группы пользователей аналогично добавлению/исключению пользователей.

Для добавления группы пользователей в подразделение требуется наличие привилегии User groups - Set organization unit. Области действия активных ролей с этой привилегией должны включать:

  • Подразделение группы до выполнения операции

  • Подразделение, в которое переводится группа

Для удаление группы пользователей из подразделения требуется наличие привилегии User groups - Set organization unit. Области действия активных ролей с этой привилегией должны включать:

  • Подразделение группы до выполнения операции

  • Корневое подразделение (группа при удалении из подразделения автоматически переносится в корень домена)

При добавлении/удалении группы пользователей:

  • Наличие ролей, назначенных на группу, не имеет значения;

  • Подразделения пользователей, входящих в группу, не меняются в результате операции.

При нажатии на кнопку [Новая группа] будет выполнен переход на карточку создания новой группы в подразделе Группы пользователей.

Для применения изменений необходимо нажать на кнопку сохранения в правом верхнем углу.

Компьютеры

На вкладке осуществляется управление составом компьютеров подразделения: выбор компьютеров и групп компьютеров, которые будут входить в состав данного подразделения.

В списках Выбранные компьютеры и Выбранные группы указаны компьютеры и группы компьютеров, входящие в состав подразделения.

В списках Все компьютеры и Все группы указаны все компьютеры и группы компьютеров, зарегистрированные в домене.

Список компьютеров соответствует списку в подразделе Компьютеры.

Во всех списках доступен поиск по названию. Для этого в соответствующем поле поиска начать вводить название компьютера/группы компьютеров, результат поиска будет выводиться по мере ввода.

Внизу каждого списка указано количество записей в данном списке.

Для добавления компьютеров в подразделение необходимо в блоке Компьютеры в списке Все компьютеры отметить требуемые записи и перенести их в список Выбранные компьютеры нажатием кнопки [<-].

Для добавления компьютера в подразделение требуется наличие привилегии Computers - Set organization unit. Области действия активных ролей с этой привилегией должны включать:

  • Подразделение компьютера до выполнения операции;

  • Подразделение, в которое переносится компьютер.

Для исключения компьютеров из подразделения необходимо в списке Выбранные компьютеры отметить требуемые записи и перенести их в список Все компьютеры нажатием кнопки [->].

Для удаления компьютера из подразделения требуется наличие привилегии Computers - Set organization unit. Области действия активных ролей с этой привилегией должны включать:

  • Подразделение компьютера до выполнения операции;

  • Корневое подразделение (после удаления из подразделения компьютер автоматически переносится в корень домена).

Добавление/исключение группы компьютеров выполняется в блоке Группы компьютеров аналогично добавлению/исключению компьютеров.

Для добавления/удаления группы компьютеров требуется наличие привилегии Computer groups - Set organization unit. Для добавления группы компьютеров области действия активных ролей с этой привилегией должны включать:

  • Подразделение группы компьютеров до выполнения операции;

  • Подразделение, в которое переносится группа компьютеров.

Для удаления группы компьютеров области действия активных ролей с этой привилегией должны включать:

  • Подразделение группы компьютеров до выполнения операции;

  • Корневое подразделение (после удаления из подразделения группа компьютеров автоматически переносится в корень домена).

При нажатии на кнопку [Новая группа] будет выполнен переход на карточку создания новой группы компьютеров в подразделе Группы компьютеров.

Для применения изменений необходимо нажать на кнопку сохранения в правом верхнем углу.

Дочерние подразделения

На вкладке приведен список дочерних подразделений выбранного подразделения.

Для списка доступен поиск по названию. Для этого в поле поиска начать вводить название подразделения, результат поиска будет выводиться по мере ввода.

Внизу списка указано количество дочерних подразделений данного подразделения.

При выборе дочернего подразделения из списка будет открыта карточка подразделения с возможностью редактирования (см. Редактирование подразделения).

При нажатии на кнопку [Новое подразделение] будет выполнен переход на карточку создания нового подразделения (см. Добавление нового подразделения).

Групповые политики

Список групповых политик

На вкладке приведен список групповых политик, которые были назначены на подразделение, с указанием их приоритета.

Флаг Включить наследование позволяет включить или отключить наследование параметров, определенных в объектах групповых политик, назначенных на родительские подразделения.

Для списка доступен поиск по названию. Для этого в поле поиска начать вводить название политики, результат поиска будет выводиться по мере ввода.

Внизу списка указано количество групповых политик, назначенных на подразделение.

Назначение групповой политики

Подразделению можно назначить групповые политики, созданные в подразделе Групповые политики (раздел Групповые политики)

Назначенные групповые политики будут применяться к учетным записям пользователей, к компьютерам данного подразделения и объектам его дочерних подразделений.

Для назначения подразделению групповой политики нажать кнопку [Добавить групповую политику], будет выполнен переход на карточку назначения групповой политики. На карточке необходимо из выпадающего списка Групповая политика выбрать групповую политику. В поле Приоритет задать приоритет ее применения. В поле Расположение подразделения в организационной структуре будет автоматически отображаться dn подразделения.

Флаг Наследовать принудительно делает наследование параметров выбранное ГПО обязательным для подразделения и для всех дочерних подразделений, даже если где-то было отключено наследование. (см. инструкцию Наследование и суммирование параметров групповых политик)

Внимание

Приоритет групповой политики должен быть уникальным. Одному подразделению не может быть назначено несколько групповых политик с одинаковым приоритетом.

Для применения изменений нажать на кнопку сохранения в правом верхнем углу, будет выполнен переход к списку групповых политик.

Для закрытия карточки назначения групповой политики и возврата к списку групповых политик нажать на кнопку закрытия.

Изменение приоритета и порядка наследования назначенной групповой политики

Для изменения приоритета и порядка наследования назначенной групповой политики необходимо перейти в карточку политики, нажав на нее в списке.

Изменение приоритета определяет порядок применения групповых политик, т.е. какие настройки будут применены к объекту.

Для изменения приоритета применения групповой политики в поле Приоритет групповой политики задать новое значение.

Флаг Наследовать принудительно позволяет сделать наследование параметров соответствующего объекта обязательным для всех дочерних подразделений, даже если где-то наследование отключено. Связанные ГПО, отмеченные флагом Принудительно, применяются после обычных ГПО, поэтому переопределяют их значения.

Для включения принудительного наследования параметров ГПО, необходимо установить флаг Наследовать принудительно.

Для применения изменений нажать на кнопку сохранения в правом верхнем углу, будет выполнен переход к списку групповых политик.

Для закрытия карточки групповой политики и возврата к списку групповых политик нажать на кнопку закрытия.

Отмена назначения групповой политики

Для отмены назначения на подразделение групповой политики или одновременно нескольких групповых политик необходимо на вкладке Групповые политики в списке отметить требуемые групповые политики и нажать кнопку [Удалить].

Также отменить назначение на подразделение групповой политики можно из ее карточки: нажать на групповую политику в списке для открытия ее карточки, затем на карточке нажать кнопку [Удалить групповую политику]. После подтверждения удаления будет выполнен переход к списку групповых политик.

Политики ПО

Список групповых политик

На вкладке приведен список политик ПО, которые были назначены на подразделение, с указанием их приоритета.

Для списка доступен поиск по названию. Для этого в поле поиска начать вводить название политики, результат поиска будет выводиться по мере ввода.

Внизу списка указано количество политик ПО, назначенных на подразделение.

Назначение политики ПО

Подразделению можно назначить политики ПО, созданные в подразделе Политики ПО (раздел Установка и обновление ПО)

Политики ПО определяют перечень программного обеспечения, устанавливаемого на компьютеры данного подразделения и его дочерних подразделений.

Для назначения подразделению политики ПО нажать кнопку [Назначить политику ПО], будет выполнен переход на карточку назначения политики. На карточке необходимо из выпадающего списка Имя политики ПО выбрать политику ПО и в поле Приоритет политики ПО задать приоритет ее применения.

Важно

Приоритет политики ПО должен быть уникальным. Одному подразделению не может быть назначено две (или более) политики ПО, которые имеют одинаковый приоритет.

Для применения изменений нажать на кнопку сохранения в правом верхнем углу, будет выполнен переход к списку политик ПО.

Для закрытия карточки назначения политики ПО и возврата к списку политик ПО нажать на кнопку закрытия.

Изменение приоритета назначенной политики ПО

Для изменения приоритета назначенной политики ПО необходимо нажать на политику ПО в списке, затем на открывшейся карточке отредактировать поле Приоритет политики ПО.

Для применения изменений нажать на кнопку сохранения в правом верхнем углу, будет выполнен переход к списку политик ПО.

Для закрытия карточки политики ПО и возврата к списку политик ПО нажать на кнопку закрытия.

Отмена назначения политики ПО

Для отмены назначения на подразделение политики ПО или одновременно нескольких политик ПО необходимо на вкладке Политики ПО в списке отметить требуемые политики ПО и нажать кнопку [Удалить].

Также отменить назначение на подразделение политики ПО можно из ее карточки: нажать на политику ПО в списке для открытия ее карточки, затем на карточке нажать кнопку [Удалить политику ПО]. После подтверждения удаления будет выполнен переход к списку групповых политик.

Удаление подразделения

Для удаления подразделения необходимо выделить его в иерархической структуре и нажать кнопку [Редактировать]. В открывшейся карточке подразделения нажать кнопку [Удалить подразделение]. После подтверждения удаления будет выполнен переход к структуре подразделений домена.

Для удаления подразделения требуется привилегия Organization Units — Delete. Области действия активных ролей с этой привилегией должны включать удаляемой подразделение.

В удаляемом подразделении должны отсутствовать объекты (пользователи, компьютеры, группы компьютеров, группы пользователей). К подразделению, над которым выполняется операция, не должны быть привязаны роли. Если к подразделению привязаны роли, его нельзя удалить.

Для удаления подразделения требуется выполнить одно из действий:

  • переназначить роли на другое подразделение (требуется привилегия Roles — Modify с привязкой к подразделению, на которое выполняется перепривязка ролей);

  • удалить роли, назначенные на удаляемое подразделение (требуется привилегия Roles — Delete с привязкой к удаляемому подразделению).