Uma unidade organizacional (OU) é um subcontêiner ou subpasta em um AD onde residem contas de usuário, computadores, grupos etc. As UOs só podem ser gerenciadas por administradores de domínio e por usuários com permissões delegadas a uma UO específica. As UOs podem ser aninhadas e você pode vincular GPOs a elas.
Criação de uma unidade organizacional
As UOs são criadas por meio do Active Directory Administrative Center (ADAC), do Active Directory Users and Computers (ADUC), do prompt de comando e do PowerShell.
Criando uma OU com o ADAC
Vamos criar uma OU por meio do ADAC:
Execute o arquivo dsac.exe. Alterne para a exibição em árvore e expanda o domínio ou a OU onde deseja colocar a nova. Clique com o botão direito do mouse em uma UO ou domínio, selecione Novo... e, em seguida, selecione Unidade organizacional.
A janela Create Organizational Unit é exibida:
Digite um nome exclusivo para a OU e clique em OK.
Criação de UO com a linha de comando
Para criar uma OU por meio do cmd, execute o dsadd.exe com os seguintes parâmetros:
Isso criará uma OU de teste no domínio com a descrição "TestOU".
Criação de OU com o PowerShell
O cmdlet New-ADOrganizationalUnit pode nos ajudar a realizar a tarefa de criação. Execute o PowerShell como Administrador e digite o seguinte:
New-ADOrganizationalUnit "TestOU" -Description "TestOU"
Isso criará um TestOU no domínio com a descrição "TestOU".
Excluindo uma unidade organizacional
As OUs não podem ser excluídas facilmente; elas são protegidas contra exclusão acidental por padrão. Para excluir uma Unidade Organizacional, precisamos desmarcar a caixa de seleção Protegida contra exclusão acidental nas propriedades da OU.
Excluindo a OU com o ADAC
Abra o Active Directory Administrative Center (dsac.exe).
Alterne para a exibição em árvore, expanda seu domínio e localize a UO que deseja excluir. Clique com o botão direito do mouse na UO e, em seguida, em Delete.
A janela Confirmação de exclusão é exibida:
Clique em Yes (Sim) para confirmar. Se a OU contiver objetos filhos, clique em Yes (Sim) novamente.
Excluindo a OU usando a linha de comando
Para excluir uma UO usando um prompt de comando, precisamos usar a ferramenta dsrm.exe em cmd executado como administrador com a seguinte sintaxe:
Isso removerá completamente uma OU com todas as sub-OUs existentes.
Excluindo a OU com o Windows PowerShell
Para excluir uma UO, precisamos usar o cmdlet New-ADOrganizationalUnit do PowerShell:
Remove-ADObject -Identity "OU=TestOU,DC=office,DC=local" -Recursive -Confirm:$False
Isso removerá completamente a OU TestOU com todas as sub-OUs existentes.
Modificação de uma unidade organizacional
Às vezes, você precisa modificar uma UO, portanto, aqui está a explicação para fazer isso de três maneiras diferentes.
Modificação de uma UO com o Centro Administrativo do Active Directory
Abra o Active Directory Administrative Center (dsac.exe). Alterne para a exibição em árvore e localize a UO que você precisa modificar.
Clique com o botão direito do mouse e selecione "Properties:". Na janela exibida, você pode alterar as configurações da UO, como descrição ou gerente.
Desmarque a configuração Protegido contra exclusão acidental e clique em OK.
Modificação de OU com a linha de comando
Para modificar uma OU, você precisa usar o dsmod.exe no cmd como administrador. Mas, nesse caso, você pode modificar apenas a descrição.
Aqui atribuímos "Nova descrição" à UO de teste.
Modificando a OU com o Windows PowerShell
O cmdlet do PowerShell Set-ADOrganizationalUnit é o que usaremos para alterar a UO. Ele é muito poderoso, ao contrário do dsmod.exe. Você pode alterar facilmente vários parâmetros da OU, como DistinguishedName, LinkedGroupPolicyObjects ou ManagedBy. Aqui está um exemplo de como alterar o parâmetro ManagedBy em uma UO:
Set-ADOrganizationalUnit -Identity "OU=TestOU,DC=office,DC=local" -ManagedBy "CN=User,CN=Users,DC=office,DC=local"