Die Zeiten einer flachen Benutzerliste mit 9 000 Einträgen sind wahrscheinlich vielen Administratoren noch gut in Erinnerung. Zum Glück ist Windows NT 4 vielerorts bereits Geschichte und das Active Directory bietet mit Organisationseinheiten ein gutes Ordnungsinstrument, das man natürlich wie hier gezeigt auch per Skript steuern kann.
Die schematische Darstellung der Hierarchie in einem Active Directory: Die Äste „Users“ und „Computers“ sind in Wirklichkeit keine Organisationseinheit, sondern stellen eine generellere Form von Containern dar. Listing 2. Diese Beispielsausgabe wird von Listing 1 (Informationen über eine OU) erzeugt: Hier zeigt sich dann, dass der Verwalter ein LDAP-Pfad zu einem anderen Active Directory-Objekt darstellt. Listing 3. Das Anlegen einer Organisationseinheit im Active Directory: Hier fällt auf, wie unterschiedlich die Namen der Verzeichnisattribute sind: „c“ steht für Country, während „ManagedBy“ ausgeschrieben wird. Listing 6 Mächtiges und trotzdem überschaubares Skript: Mit seiner Hilfe wird eine Organisationseinheit im Active Directory erzeugt.
Eine hervorstechende Eigenschaft von LDAP-basierten Verzeichnisdiensten wie dem Active Directory ist ihre hierarchische Struktur in Form so genannter Organisationseinheiten, die einen Container für die Aufnahme beliebiger Verzeichnisdienstobjekte bilden. Nach der Grundinstallation des Active Directory gibt es nur eine Organisationseinheit mit Namen „Domain Controllers“. Die Äste „Users“ und „Computers“ sind in Wirklichkeit keine Organisationseinheit, sondern stellen eine generellere Form von Containern dar, die weit weniger vermögen als eine Organisationseinheit. Das Bild auf der Seite 25 zeigt den grundsätzlichen Aufbau eines Active Directory und die dort existierenden Hierarchien. Dabei ist eine Organisationseinheit kein Sicherheitsprinzipal, was bedeutet, dass hier auch keine Rechte auf Ressourcen an Organisationseinheiten zugewiesen werden. Nur Benutzer und Gruppen stellen Sicherheitsprinzipale dar, während Organisationseinheiten lediglich der Gruppierung von Benutzern, Gruppen und anderen Verzeichnisobjekten dienen. Wie alle anderen Active Directory-Objekte werden auch Gruppen in Skripten durch das Active Directory Service Interface (ADSI) angesteuert (nähere Informationen dazu sind in den Beiträgen unter [3] und [4] zu finden). Jede einzelne Organisationseinheit wird im Active Directory durch eine Instanz der Verzeichnisklasse „organizationalUnit“ repräsentiert und kann über einen LDAP-Pfad direkt angesprochen werden. Abweichend von den meisten anderen Klassen ist hier das Kürzel „OU“ das Schlüsselattribut der Klasse. Daher werden Organisationseinheiten im LDAP-Pfad in der Form „OU=NAME“ adressiert. Anders als Benutzer und Gruppen haben Organisationseinheiten nur sehr wenige Eigenschaften, wie beispielsweise: Beschreibungstext, Straße, Ort, Land sowie einen Verwalter. Das folgende Listing 1 (Informationen über eine OU) zeigt ein Skript, das alle zentralen Eigenschaften einer Organisationseinheit ausgibt. In der Beispielausgabe in Listing 2 zeigt sich dann, dass der Verwalter ein LDAP-Pfad zu einem anderen Active Directory-Objekt darstellt.
