Contact
Line : comsiam
OU หรือ Organizational Unit เป็นหนึ่งในโครงสร้างสำคัญของ Active Directory เพราะใช้สำหรับจัดระเบียบ User, Computer และ Group ภายในองค์กร หากไม่มีการแบ่ง OU ที่ดี ระบบจะเริ่มยุ่งและจัดการยากทันทีเมื่อจำนวนพนักงานหรือเครื่องคอมเพิ่มขึ้น
องค์กรที่มีระบบ IT เป็นระเบียบแทบทั้งหมดจะมีโครงสร้าง OU ชัดเจน เช่น แยกตามแผนก, สาขา หรือประเภทเครื่อง ซึ่งทาง comsiam มักแนะนำให้วาง OU ตั้งแต่วันแรกที่เริ่มใช้ Active Directory เพราะจะช่วยลดปัญหาระยะยาวได้มาก
① OU คืออะไร
OU ย่อมาจาก:
Organizational Unitใช้สำหรับ:
- แยก User
- แยก Computer
- แยก Group
- แยก Policy
- จัดการสิทธิ์
เปรียบเทียบง่ายๆ:
OU เหมือน “โฟลเดอร์” ภายใน Active Directory
② ทำไมต้องสร้าง OU
หากเก็บทุกอย่างไว้ใน:
Users
Computersจะเริ่มจัดการยากมากเมื่อองค์กรโตขึ้น
ปัญหาที่มักเกิด:
- หา User ยาก
- ใช้ GPO ยาก
- จัดการสิทธิ์ลำบาก
- ระบบเริ่มมั่ว
ดังนั้น:
OU คือหัวใจของการจัดระเบียบ AD
③ ตัวอย่างโครงสร้าง OU ที่นิยมใช้
ตัวอย่าง:
Company
├── IT
├── HR
├── Sales
├── Accounting
├── Computers
├── Servers
└── Guestsหรือแยกตามสาขา:
Bangkok
Khonkaen
Chiangmai④ วิธีเปิด Active Directory Users and Computers
เปิด:
Server Manager
> Tools
> Active Directory Users and Computersหรือใช้คำสั่ง:
dsa.msc⑤ วิธีสร้าง OU ใหม่
คลิกขวาที่ Domain
เลือก:
New > Organizational Unitใส่ชื่อ OU เช่น:
ITกด OK
สร้างเสร็จทันที
⑥ วิธีสร้าง OU หลายระดับ
สามารถสร้าง OU ซ้อนกันได้
ตัวอย่าง:
Company
└── IT
├── Admin
├── Support
└── Networkข้อดี:
ช่วยแยก Policy และ Permission ได้ละเอียดขึ้น
⑦ วิธีย้าย User เข้า OU
ลาก User ไปยัง OU ได้เลย
หรือ:
คลิกขวา User → Move
เลือก OU เป้าหมาย
⑧ วิธีย้าย Computer เข้า OU
เปิด:
Computersลากเครื่องไปยัง OU ที่ต้องการ
ตัวอย่าง:
- Laptop
- Desktop
- Server
ข้อดี:
สามารถใช้ GPO แยกกันได้
⑨ วิธีใช้ OU ร่วมกับ Group Policy
OU คือจุดหลักที่ใช้ผูก GPO
ตัวอย่าง:
- IT → ใช้สิทธิ์สูง
- Sales → จำกัด USB
- Accounting → Map Drive พิเศษ
หากไม่มี OU:
จะจัดการ GPO ยากมาก
⑩ วิธี Block การลบ OU โดยไม่ตั้งใจ
ตอนสร้าง OU จะมีตัวเลือก:
Protect container from accidental deletionแนะนำ:
เปิดไว้เสมอ
เพราะหากลบ OU:
User และ Computer ภายในอาจหายทั้งหมด
⑪ วิธี Rename OU
คลิกขวา OU
เลือก:
Renameสามารถเปลี่ยนชื่อได้ทันที
⑫ วิธี Delete OU
OU จะลบไม่ได้ หาก:
- ยังมี Object อยู่ข้างใน
- เปิด Protection อยู่
หากต้องการลบ:
- ย้าย Object ออกก่อน
- ปิด Protection
⑬ วิธีสร้าง OU ด้วย PowerShell
เปิด PowerShell:
New-ADOrganizationalUnit -Name "IT" -Path "DC=company,DC=local"ตัวอย่างสร้าง OU ซ้อน:
New-ADOrganizationalUnit -Name "Support" -Path "OU=IT,DC=company,DC=local"⑭ วิธีดูโครงสร้าง OU ทั้งหมด
ใช้ PowerShell:
Get-ADOrganizationalUnit -Filter *เหมาะสำหรับ:
- Audit
- Documentation
- Automation
⑮ แนวทางออกแบบ OU ที่ดี
แนะนำ:
- แยก User กับ Computer
- แยกตามแผนก
- ไม่ซ้อนลึกเกินไป
- ตั้งชื่อมาตรฐาน
ตัวอย่างดี:
Users
Computers
Servers
Groups⑯ สิ่งที่ไม่ควรทำกับ OU
ไม่ควร:
- สร้าง OU ซ้อนลึกเกินไป
- ใช้ชื่อกำกวม
- วางทุกอย่างใน Users
- ใช้ OU แทน Security Group
เพราะ:
OU และ Group ทำหน้าที่ต่างกัน
⑰ OU กับ Group ต่างกันอย่างไร
OU ใช้:
- จัดระเบียบ
- ใช้ GPO
- Delegation
Group ใช้:
- Permission
- Access Control
หลายคนมือใหม่มักสับสนระหว่างสองอย่างนี้
⑱ แนวทาง OU สำหรับองค์กรจริง
ตัวอย่างมาตรฐาน:
HeadOffice
BranchOffice
Servers
Clients
Users
ServiceAccountsองค์กรที่มีหลายสาขา:
ควรแยก OU ตาม Location ด้วย
ซึ่งเป็นแนวทางที่หลายองค์กรและทีม comsiam ใช้ในการวางระบบจริง
⑲ สรุป
OU เป็นโครงสร้างสำคัญของ Active Directory ที่ช่วยให้การจัดการ User, Computer และ Group Policy เป็นระเบียบมากขึ้น
หากออกแบบ OU ดีตั้งแต่แรก:
ระบบจะดูแลง่าย ขยายง่าย และลดปัญหาระยะยาวได้เยอะมาก
โดยเฉพาะองค์กรที่มีเครื่องจำนวนมาก OU ถือเป็นพื้นฐานที่สำคัญมากของระบบ Windows Server
