El entender los conceptos sobre OU y grupos es sólo una parte de nuestra lucha. La aplicación de los mismos en un diseño con la metodología aconsejada es la parte delicada. Podemos apostar de hecho a que la estructura de todos los elementos del diseño de AD DS, OU’s y grupos, es la más flexible e indulgente. Aunque hay que tomar precauciones cuando movemos objetos entre OUs que tienen Directivas de grupo habilitadas, esto no lo ven los usuarios finales y no tiene ningún efecto.
Dicho esto, se debe tener cuidado para asegurar que las directivas de grupo que están en las unidades organizativas se mueven antes de mover las cuentas de usuario o equipo. No tomar en cuenta esto puede dar lugar a la aplicación de directivas de grupo no deseadas al equipo o usuarios, a menudo con efectos contraproducentes. La pertenencia a grupos es también fácilmente cambiable, aunque debería considerarse la posibilidad de la supresión de los grupos de seguridad que ya están en uso.
* Ya que cada SID de grupo es único, debemos tomar en consideración en no eliminar y recrear grupos sobre la marcha. Al igual que con las cuentas de usuario, si damos a un nuevo grupo el mismo nombre que uno eliminado y añadimos los mismos usuarios dentro, los permisos establecidos para el grupo eliminado no se aplicarán en el nuevo. Si se elimina un grupo, puede recuperarse sólo si la papelera de AD está habilitada(http://technet.microsoft.com/es-es/library/dd379481(WS.10).aspx).
Un Diseño de OUs
Como con el diseño de un dominio AD DS, el diseño de OUs debe mantener simpleza y extenderlo sólo en el caso de una necesidad específica haga necesaria la creación de una OU. Como veremos, las razones de peso para crear OUs se limitan a la delegación de la administración en la mayoría de casos.
Como con el diseño del dominio, es importante establecer un marco de referencia y un criterio de diseño común cuando se comienza el diseño de la estructura de OUs. A veces se representan gráficamente como una carpeta y otras formando una estructura jerárquica con simple texto.
Independientemente del método elegido, es importante para el establecimiento de un método estándar de ilustración del diseño de OUs de la empresa.
El primer paso en el proceso es determinar el mejor método de organizar a los usuarios, equipos y demás objetos del dominio dentro de la estructura de OU. Esto es, de cierta forma, demasiado fácil para crear OUs, y con asiduidad los diseñadores de dominios crean una estructura compleja y anidada de OUs, con tres o más para cada departamento. Aunque si bien este enfoque serviría, el hecho es que no da ventajas técnicas, y en su lugar complica las consultas de directorio LDAP y requiere una sobrecarga de tareas administrativas. Consecuentemente, es mejor iniciar un diseño de OUs con una única OU y expandir el número de OUs sólo si es abosolutamente necesario.
El sobreuso de OUs
Se han oido durante mucho tiempo informes conflictivos sobre el uso de las OU en ADDS. Las guías de recursos, los libros y las conjeturas puristas han contribuido a la confusión y desinformación de muchos administradores sobre la mejor práctica de su estructura de OUs.
La verdad más plana sobre las OU, sin embargo, es que tú probablemente no necesitas tanto como piensas que necesitas. Añadir una OU en un dominio si un grupo separado completamente necesita acceso especial administrativo a un segmento de usuarios. Si esta condición no existe y un grupo único administra el entorno completo, con frecuencia no se necesita crear más de una OU.
Esto no significa que no puedan exister otras razones para crear OUs. La aplicación de las Directivas de grupo (GP), por ejemplo, es una candidata potencial pra la creación de OUs. Sin embargo, incluso este tipo de funcionalidad se logra mejor a través de otros medios. Es un pequeño hecho conocido que las directivas pueden aplicarse a grupos de usuarios, de este modo se limita la necesidad de crear una OU expresamente para este propósito.
Felixibilidad de las OU
Los diseñadores de dominio no están en modo bloqueo en cuanto a la estructura de OUs. Los usuarios pueden ser movidos entre OUs, adelante y atrás, durante el horario normal de trabajo sin que ello afecte a la funcionalidad del dominio. Este hecho también ayuda a los diseñadores a corregir fácilmente cualquier defecto de diseño que hayan podido cometer en la estructura de OUs.
Las OU se introdujeron como parte del directorio activo con la liberación de Windows 2000 y continuadas en las posteriores liberaciones de Active Directory. No hay esencialmente diferencias técnicas reales entre su funcionalidad en Windows 2000/2003 y Windows 2008 R2, aunque hay una importante actualización. De forma predeterminada tanto Windows 2008 como Windows 2008 R2, permiten la creación de OUs con el modo de protección de borrado activo, impidiendo con ello un borrado accidental. Además por supuesto que desde los tiempos del windows 2000 la experiencia con Ous ha cambiado significativamente y por tanto también su diseño.