Joan zuzenean edukira

4.2. OU eta herentzia: diseinua eta iragazketa

  • Oinarriak: Zer da OU?
  • OU (Organizational Unit) domeinu baten barruko edukiontzi logikoa da, objektuak biltzeko (ekipoak, erabiltzaileak, taldeak) eta kudeaketa errazteko.
  • Zertarako balio du: administrazioa delegatzeko, GPOak zehaztasunez aplikatzeko, objektuak funtzio/kokapenaren arabera antolatzeko eta eragiketa masiboen esparrua mugatzeko.
  • GPOekin harremana: GPOak Site/Domain/OU mailatan lotzen dira; arruntena OUetara lotzea da, azpiesparru jakinetan ezartzeko.

  • Desberdintasun nagusiak:

    • Domeinua vs OU: domeinua segurtasun/auth muga da; OUek administrazioa segmentatzen dute domeinuaren barruan.
    • OU vs Taldea: OU antolaketa eta GPO/delegazio esparrua; taldeek sarbide-baimenak eta GPOen segurtasun-iragazketa kontrolatzen dute.
    • OU vs Edukiontziak (CN=...): lehenetsitako edukiontziak (Computers, Users) ez dira OUak eta delegazio mugatuagoa dute; objektuak OUetara mugitzea gomendatzen da.

  • Helburuak:

  • OU egitura argia diseinatzea ekipo eta erabiltzaileentzat.
  • GPOen herentzia kontrolatzea eta iragazketa (segurtasun/WMI) seguru aplikatzea.

  • Ekoizpen aurreko Staging ingurunea ezartzea.

  • Kontzeptu garrantzitsuak:

  • LSDOU: aplikazio ordena (Local → Site → Domain → OU).
  • Herentzia: goi-mailako GPOek behe-mailak eragiten dituzte salbu Block Inheritance edo Enforced erabiltzen bada.
  • Segurtasun-iragazketa: GPOren ACLean “Irakurri” eta “Talde-politika aplikatu” baimenak.
  • WMI iragazkiak: baldintzak SO bertsioaren, RAMaren, eramangarri/mahaigainekoaren arabera, etab.
  • Delegazioa: nor ari da GPOak sortzen/lotzen OU jakinetan.

OUen diseinu gomendatua

  • Sustrai bereiziak: OU=Ekipoak, OU=Erabiltzaileak.
  • Azpi-OUak funtzio/kokapenaren arabera: OU=Ekipoak,OU=Bulegoa, OU=Erabiltzaileak,OU=Salmentak.
  • OU=Staging proba azpiesparru gisa.
  • Saihestu GPOak domeinuaren erroan; nahiago OU espezifikoak.

Diseinu ereduak (ez linealak)

  • Funtzionala (rol/zerbitzua)
DC=example,DC=local
└─ OU=Ekipoak
   ├─ OU=Zerbitzariak
   │  ├─ OU=AD-DC
   │  ├─ OU=Fitxategiak
   │  └─ OU=Web
   └─ OU=Bezeroak
      ├─ OU=Gelak
      └─ OU=Bulegoak
  • Geografikoa (egoitzen arabera)
OU=Ekipoak
├─ OU=Bilbo
│  ├─ OU=Zerbitzariak
│  └─ OU=Bezeroak
└─ OU=Donostia
   ├─ OU=Zerbitzariak
   └─ OU=Bezeroak
  • Ingurunez (Prod/Pre/UAT/Lab)
OU=Zerbitzariak
├─ OU=Prod
├─ OU=Pre
├─ OU=UAT
└─ OU=Lab
  • Hibridoa (funtzionala + geografikoa + ingurunea, gehienez 2–3 maila)
OU=Ekipoak
└─ OU=Bilbo
   └─ OU=Zerbitzariak
      ├─ OU=Prod
      └─ OU=Pre

Ohar praktikoak - Mantendu sakonera 2–3 mailatan, herentzia eta delegazioa errazteko. - Ez bikoiztu OUk segurtasun-iragazketa edo talde dinamikoekin konpon daitekeenean. - Sortu OU=Quarantine/OU=Staging gailu berriak edo diagnostikoan daudenak isolatzeko. - Dokumentatu OU bakoitzaren helburua eta lotutako GPOak.

Prozedura (GUI)

  • OUak sortu: Active Directory Users and Computers (ADUC) → domeinuan eskuin-klik → New → Organizational Unit.
  • GPO lotu: Group Policy Management (GPMC) → OU → Link an Existing GPO edo berria sortu.
  • Segurtasun-iragazketa: GPMC → GPO → Scope → Security Filtering → taldeak gehitu/kendu.
  • WMI iragazkia: GPMC → WMI Filters → New → GPOari lotu Scope fitxatik.
  • Herentzia/Behartu: GPMC → estekan eskuin-klik → Enforced; OU → Block Inheritance (kontuz).

Prozedura (PowerShell)

# OUak sortu
New-ADOrganizationalUnit -Name "Ekipoak" -Path "DC=example,DC=local"
New-ADOrganizationalUnit -Name "Erabiltzaileak" -Path "DC=example,DC=local"
New-ADOrganizationalUnit -Name "Staging" -Path "OU=Ekipoak,DC=example,DC=local"

# GPO sortu eta OUra lotu
$gpo = New-GPO -Name "GPO-Ekipoak-Base"
New-GPLink -Name $gpo.DisplayName -Target "OU=Ekipoak,DC=example,DC=local" -Enforced:$false

# Segurtasun-iragazketa: irakurri/aplikatu baimenak talde bati
Set-GPPermission -Name $gpo.DisplayName -TargetName "DOMEINUA\\Ekipoak-Salmentak" -TargetType Group -PermissionLevel GpoApply

# WMI iragazkia sortu eta GPOari lotu (Windows 10/11 bertsioaren arabera)
$wmif = New-GPWmiFilter -Name "Win10eta11" -Description "Version >= 10" -Query "select * from Win32_OperatingSystem where Version >= '10.0'"
Set-GPWmiFilter -Guid $gpo.Id -WmiFilter $wmif

# Herentzia blokeatu OU batean (kontuz)
Set-GPInheritance -Target "OU=Staging,OU=Ekipoak,DC=example,DC=local" -IsBlocked Yes

Egiaztapena

  • Eguneratu behartuta: gpupdate /force.
  • Politika-emaitzak: gpresult /r /scope computer eta gpresult /h c:\temp\gpo.html.
  • GPMC → Group Policy Results / Modeling aplikazioa simulatuz.

Akats ohikoak eta nola saihestu

  • GPOa domeinuan eta ez OU espezifikoan → esparru gehiegizkoa: mugatu scope-a eta erabili segurtasun taldeak.
  • Herentzia blokeatzea analisi barik → baseline apurtzea: dokumentatu eta minimizatu blokeoak.
  • WMI iragazki konplexuak → abioan eragina: sinplifikatu kontsultak eta berrerabili iragazkiak.
  • “Talde-politika aplikatu” baimenik ez → GPOa ez da aplikatzen: berrikusi Security Filtering/Delegation.

Praktika onak

  • “Gutxiago hobe”: GPO gutxi, segmentazio ona eta iruzkinak.
  • GPOen bertsio/backup (GPMC edo Backup-GPO).
  • Ekoizpen aurreko Staging OU beti.

AWS praktika erlazionatua

OUen diseinua, herentzia eta iragazketa AWSn praktikan jartzeko gida hau erabili: 6. OU diseinua eta GPO lotura