Share via

Delegieren der Verwaltung von Konten- und Ressourcenorganisationseinheiten

  • Artikel

Gilt für: Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012

Kontoorganisationseinheiten (OEs) enthalten Benutzer-, Gruppen- und Computerobjekte. Ressourcenorganisationseinheiten enthalten Ressourcen und die Konten, mit denen diese Ressourcen verwaltet werden. Der Gesamtstrukturbesitzer ist für das Erstellen einer OE-Struktur zur Verwaltung dieser Objekte und Ressourcen sowie für das Delegieren des Zugriffs auf diese Struktur an den OE-Besitzer verantwortlich.

Delegieren der Verwaltung von Konto-OEs

Delegieren Sie eine OE-Kontostruktur an Datenadministratoren, wenn sie Benutzer-, Gruppen- und Computerobjekte erstellen und ändern müssen. Die OE-Kontostruktur ist eine Unterstruktur von OEs für jeden Kontotyp, auf den unabhängig zugegriffen werden muss. Beispiel: Der OE-Besitzer kann bestimmte Zugriffsberechtigungen an verschiedene Datenadministratoren delegieren. Dazu nutzt er untergeordnete OEs in einer Konto-OE für Benutzer-, Computer-, Gruppen- und Dienstkonten.

Die folgende Abbildung zeigt ein Beispiel für eine OE-Kontostruktur.

Illustration that shows one example of an account OU structure.

In der folgenden Tabelle werden die möglichen untergeordneten OEs aufgeführt und beschrieben, die Sie in einer OE-Kontostruktur erstellen können.

OU Zweck
Benutzer Enthält Benutzerkonten für nicht administrative Mitarbeiter.
Dienstkonten Einige Dienste, die Zugriff auf Netzwerkressourcen erfordern, werden als Benutzerkonten ausgeführt. Diese OE wird erstellt, um Dienstbenutzerkonten von den Benutzerkonten zu trennen, die in der Benutzer-OE enthalten sind. Wenn Sie die verschiedenen Benutzerkontentypen in separaten OEs platzieren, können Sie sie entsprechend ihren spezifischen administrativen Anforderungen verwalten.
Computer Enthält Konten für andere Computer als Domänencontroller.
Gruppen Enthält alle Gruppentypen mit Ausnahme von administrativen Gruppen, die separat verwaltet werden.
Administratoren Enthält Benutzer- und Gruppenkonten für Datenadministratoren in der OE-Kontostruktur, damit diese getrennt von regulären Benutzern verwaltet werden können. Aktivieren Sie die Überwachung für diese OE, damit Sie Änderungen an administrativen Benutzern und Gruppen nachverfolgen können.

Die folgende Abbildung zeigt ein Beispiel für den Entwurf einer administrativen Gruppe für eine OE-Kontostruktur.

Illustration that shows one example of an administrative group design for an account OU structure.

Gruppen, die untergeordnete OEs verwalten, erhalten nur Vollzugriff auf die spezifische Klasse von Objekten, für deren Verwaltung sie verantwortlich sind.

Die Gruppentypen, die Sie zum Delegieren des Zugriffs innerhalb einer OE-Struktur verwenden, basieren darauf, wo sich die Konten relativ zur OE-Struktur befinden, die verwaltet werden soll. Wenn die Administratorbenutzerkonten und die OE-Struktur vollständig in einer einzelnen Domäne enthalten sind, müssen die Gruppen, die Sie für die Delegierung erstellen, globale Gruppen sein. Wenn Ihr Unternehmen über eine Abteilung verfügt, die ihre eigenen Benutzerkonten verwaltet und in mehr als einer geografischen Region ansässig ist, gibt es möglicherweise eine Gruppe von Datenadministratoren, die für die Verwaltung von Konto-OEs in mehr als einer Domäne zuständig sind. Wenn die Konten der Datenadministratoren alle in einer einzigen Domäne und die OE-Strukturen in mehreren Domänen enthalten sind, an die Sie den Zugriff delegieren müssen, machen Sie diese administrativen Konten zu Mitgliedern globaler Gruppen, und delegieren Sie den Zugriff auf die OE-Strukturen in jeder Domäne an diese globalen Gruppen. Wenn die Datenadministratorkonten, an die Sie den Zugriff auf eine OE-Struktur delegieren, aus mehreren Domänen stammen, müssen Sie eine universelle Gruppe verwenden. Universelle Gruppen können Benutzer aus verschiedenen Domänen enthalten und daher zum Delegieren des Zugriffs in mehreren Domänen verwendet werden.

Delegieren der Verwaltung von Ressourcen-OEs

Ressourcen-OEs werden verwendet, um den Zugriff auf Ressourcen zu verwalten. Der Besitzer der Ressourcen-OE erstellt Computerkonten für Server, die in die Domäne eingebunden sind und Ressourcen wie Dateifreigaben, Datenbanken und Drucker enthalten. Der Besitzer der Ressourcen-OE erstellt auch Gruppen, um den Zugriff auf diese Ressourcen zu steuern.

Die folgende Abbildung zeigt zwei mögliche Speicherorte für die Ressourcen-OE.

Illustration that shows the two possible locations for the resource OU.

Die Ressourcen-OE kann sich unter dem Domänenstamm oder als untergeordnete OE der entsprechenden Konto-OE in der OE-Verwaltungshierarchie befinden. Ressourcen-OEs haben keine standardmäßigen untergeordneten OEs. Computer und Gruppen werden direkt in der Ressourcen-OE platziert.

Der Besitzer der Ressourcen-OE verfügt über die Objekte innerhalb der OE, besitzt aber nicht den OE-Container selbst. Besitzer von Ressourcen-OEs verwalten nur Computer- und Gruppenobjekte. Sie können keine anderen Objektklassen innerhalb der OE und keine untergeordneten OEs erstellen.

Hinweis

Der Ersteller oder Besitzer eines Objekts kann die Zugriffssteuerungsliste (Access Control List, ACL) für das Objekt festlegen, und zwar unabhängig von den Berechtigungen, die vom übergeordneten Container geerbt werden. Wenn ein Besitzer einer Ressourcen-OE die ACL für eine OE zurücksetzen kann, ist dieser Besitzer in der Lage, eine beliebige Objektklasse in der OE zu erstellen. Dies gilt auch für Benutzer. Aus diesem Grund dürfen Besitzer von Ressourcen-OEs keine OEs erstellen.

Erstellen Sie für jede Ressourcen-OE in der Domäne eine globale Gruppe, die die Datenadministratoren darstellt, die für die Verwaltung des OE-Inhalts verantwortlich sind. Diese Gruppe hat Vollzugriff auf die Gruppen- und Computerobjekte in der OE, aber nicht auf den OE-Container selbst.

Die folgende Abbildung zeigt den Entwurf der administrativen Gruppe für eine Ressourcen-OE.

delegating administration

Wenn Sie die Computerkonten in einer Ressourcen-OE platzieren, erhält der OU-Besitzer Zugriff auf die Kontoobjekte, wird aber nicht zum Administrator der Computer. In einer Active Directory-Domäne wird die Gruppe „Domänenadministratoren“ auf allen Computern standardmäßig in der Gruppe „Lokale Administratoren“ platziert. Das heißt, dass Dienstadministratoren auf diese Computer zugreifen können. Wenn Besitzer von Ressourcen-OEs administrative Berechtigungen für die Computer in ihren OEs benötigen, kann der Gesamtstrukturbesitzer eine Gruppenrichtlinie für eingeschränkte Gruppen anwenden, um den Besitzer der Ressourcen-OE als Mitglied der Administratorgruppe auf den Computern in dieser OE zu konfigurieren.