ORGANIZATIONAL UNIT (OUs)

Domain içindeki objelerin sınıflandırılmasında kullanılan yapıdır. Group objesine çok benzer. Ancak group objesinde yapılmayan Policy ayarları, burada yapılabilir. İçinde kullanıcı, grup, printer veya başka bir OUs bulundurabilir.
Organizasyonunuzda mantıksal hiyerarşi içerisinde objeleri gruplandırmak için, organizasyon birimlerini kullanabilirsiniz.
Bir organizasyonda OU yapısının sunduğu avantajlar;
• Network yönetim modeli, yönetimsel sunumlara dayanır. Örneğin; tüm
kullanıcı hesaplarının yönetiminin bir Administrator üzerinde, bütün
bilgisayarların denetiminin de diğer bir Administrator'un üzerinde olması
talep edilebilir. Bu sorunun çözümünü sağlamaya yönelik, kullanıcı
hesapları ve bilgisayar hesaplan için iki ayrı OU oluşturabilirsiniz. Organizasyon yapısını, bölümsel veya coğrafık sınırlar belirleyebilir.
• Her bir Domain içerisindeki OU hiyerarşisi, bir diğerinden bağımsız olarak
yapılandırılır.
OU içerisindeki objeler üzerinde bulunan yönetimsel kontrol haklarınızı, kısmen veya tamamen söz konusu OU içerisinde yer alan bir veya daha fazla kullanıcı veya gruba devredebilirsiniz. Delege olarak adlandırılan kullanıcı,

Administrator'un isteğine bağlı olarak, tüm OU içerisindeki objeler üzerinde tam yetkiye(Full Control) veya sınırlandırılmış kontrol yetkilerine sahip olabilecektir.
Domain'in yöneticisini Başbakana, OUs yöneticisini ise bir belediye başkanına benzetebiliriz.
Örneğin: Sizin İstanbul'da bir Network'ünüz var ve tek bir Domain olarak yapılandırılmış. Network'ünüzü genişletme düşüncesinde iken Ankara'da bir şube açıyorsunuz ve 2 Network'ü birbirine bağlıyorsunuz. Ancak Ankara'ya ayrı bir DC kurmak istemiyorsunuz. İşte bu durumda, OUs bulunmaz bir yapıdır Oluşturuyorsunuz bir OUs ve içine Ankara'ya ait nesneleri koyuyorsunuz. Bu OUs'e bir yönetici atıyorsunuz(delegate) ve sadece bu Ous için tam yetki veriyorsunuz. Adam başka yere burnunu sokmadan, güzel güzel Ankara'yı yönetiyor. Bunları nasıl yapacağımızı, ilerleyen konularımızda göreceğiz. Şimdi tanım ve alışma aşamasındayız.
TREE ve FOREST
Yapınız içerisinde ilk oluşturduğunuz Windows 2003 Domain'i "forest root
domain" olarak adlandırılır. Organizasyonunuzun ihtiyacına bağlı olarak ağaç(tree) veya orman(forest) yapısında, söz konusu kök Domain'e daha sonra eklenen Domain'ler ise "additional domain" ismini alır.
TREE:
Windows 2003 Domain içinde olan hiyerarşik düzenlemedir. Mevcut Domain "parent domain", Tree'ye eklenen Domain "child domain" olacaktır. Söz konusu child domain'in ismi, parent domain'in DNS ismini içerecektir.
Örneğin;
parent domain child domain
mcse.com.tr - — yns.mcse.com.tr
mcse.com.tr — — deniz.mcse.com.tr
Yukarıdaki örnek ile iki Child Domain'imiz var.
Her Child Domain, kendi Parent Domain'i ile "iki yönlü, geçişli güven ilişkisi"
(Two-way trust, Transitive Trust Relationship) ne sahiptir.
Two-Way, Transitive Trusts: Bu güven ilişkisi, Windows 2003 Domain'leri arasında varsayılan değer(default) olarak vardır. Bu ilişki, geçişli güven (transitive trust) ile iki yönlü güven(Two-way trust) mekanizmalarının bir kombinasyonudur.

Transitive Trusts: "yns.mcse.com.tr" ile "mcse.com.tr" arasında doğrudan güven ilişkisi kuruludur, "deniz.mcse.com.tr" ile "mcse.com.tr" arasında da doğrudan güven ilişkisi kuruludur. Söz konusu her iki güven ilişkisi de default olarak geçişli(transitive) olduğundan, kumsal.mcse.com.tr ile deniz.mcse.com.tr arasında dolaylı olarak güven ilişkisi kurulmuş olur.
Two-Way Trusts: Aralarında iki yönlü güven ilişkisi kurulu olan Domain'ler, karşılıklı olarak paylaştırılmış kaynaklarını(shared recources), diğer Domain kullanıcılarının hizmetine açmış olmaktadırlar.
İki yönlü, geçişli güven ilişkisinin Windows Domain yapısındaki avantajı: Active Directory Domain hiyerarşisi içerisindeki tüm Domain'ler arasında, bütünsel bir güven ilişkisi kurulmuş olmasıdır.