Delegieren der Verwaltung von Standardcontainern und Organisationseinheiten
Gilt für: Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012
Jede Active Directory-Domäne enthält einen Standardsatz von Containern und Organisationseinheiten (OEs), die bei der Installation von Active Directory Domain Services (AD DS) erstellt werden. Diese umfassen die folgenden Themen:
Domänencontainer, der als Stammcontainer der Hierarchie dient
Integrierter Container, der die Standardkonten des Dienstadministrators enthält
Benutzercontainer, der der Standardspeicherort für neue Benutzerkonten und Gruppen ist, die in der Domäne erstellt werden
Computercontainer, der der Standardspeicherort für neu erstellte Computerkonten in der Domäne ist
Organisationseinheit des Domänencontrollers, die der Standardspeicherort für die Computerkonten für Computerkonten von Domänencontrollern ist
Der Gesamtstrukturbesitzer steuert diese Standardcontainer und Organisationseinheiten.
Domänencontainer
Der Domänencontainer ist der Stammcontainer der Hierarchie einer Domäne. Änderungen an den Richtlinien oder der Zugriffssteuerungsliste (ACL) dieses Containers können möglicherweise Auswirkungen auf die gesamte Domäne haben. Delegieren Sie die Steuerung dieses Containers nicht. Er muss von den Dienstadministratoren gesteuert werden.
Benutzer- und Computercontainer
Wenn Sie ein direktes Domänenupgrade von Windows Server 2003 auf Windows Server 2008 durchführen, werden vorhandene Benutzer und Computer automatisch in die Benutzer- und Computercontainer eingeordnet. Wenn Sie eine neue Active Directory-Domäne erstellen, sind die Benutzer- und Computercontainer die Standardspeicherorte für alle neuen Benutzerkonten und Nicht-Domänencontrollercomputerkonten in der Domäne.
Wichtig
Wenn Sie die Kontrolle über Benutzer oder Computer delegieren müssen, ändern Sie nicht die Standardeinstellungen der Benutzer- und Computercontainer. Erstellen Sie stattdessen neue Organisationseinheiten (nach Bedarf), und verschieben Sie die Benutzer- und Computerobjekte aus ihren Standardcontainern in die neuen Organisationseinheiten. Delegieren Sie bei Bedarf die Kontrolle über die neuen Organisationseinheiten. Es wird empfohlen, nicht zu ändern, wer die Standardcontainer steuert.
Außerdem können Sie Gruppenrichtlinieneinstellungen nicht auf die standardmäßigen Benutzer- und Computercontainer anwenden. Um die Gruppenrichtlinie auf Benutzer und Computer anzuwenden, erstellen Sie neue Organisationseinheiten und verschieben die Benutzer- und Computerobjekte in diese Organisationseinheiten. Wenden Sie die Gruppenrichtlinieneinstellungen auf die neuen Organisationseinheiten an.
Optional können Sie die Erstellung von Objekten, die in den Standardcontainern platziert werden, in Container Ihrer Wahl umleiten.
Bekannte Benutzer und Gruppen und integrierte Konten
Standardmäßig werden mehrere bekannte Benutzer und Gruppen und integrierte Konten in einer neuen Domäne erstellt. Es wird empfohlen, dass die Verwaltung dieser Konten weiterhin von den Dienstadministratoren gesteuert wird. Delegieren Sie die Verwaltung dieser Konten nicht an eine Person, die kein Dienstadministrator ist. In der folgenden Tabelle sind die bekannten Benutzer und Gruppen und integrierten Konten aufgeführt, die unter der Kontrolle der Dienstadministratoren bleiben müssen.
| Bekannte Benutzer und Gruppen | Integrierte Konten |
|---|---|
| Zertifikatherausgeber Domänencontroller Gruppenrichtlinienersteller-Besitzer KRBTGT Domänen-Gäste Administrator Domänenadministratoren Schemaadministratoren (nur Gesamtstrukturstammdomäne) Unternehmensadministratoren (nur Gesamtstrukturstammdomäne) Domänenbenutzer |
Administrator Gast Gäste Konten-Operatoren Administratoren Sicherungsoperatoren Eingehende Gesamtstruktur-Vertrauensstellung Druckoperatoren Prä-Windows 2000 kompatibler Zugriff Server-Operatoren Benutzer |
Domänencontroller-OE
Wenn Domänencontroller der Domäne hinzugefügt werden, werden ihre Computerobjekte automatisch der Domänencontroller-OE hinzugefügt. Diese OE verfügt über einen Standardsatz von Richtlinien, die auf sie angewendet werden. Um sicherzustellen, dass diese Richtlinien einheitlich auf alle Domänencontroller angewendet werden, empfehlen wir Ihnen, die Computerobjekte der Domänencontroller nicht aus dieser OE zu verschieben. Wenn Sie die Standardrichtlinien nicht anwenden, kann ein Domänencontroller nicht ordnungsgemäß funktionieren.
Standardmäßig steuern die Dienstadministratoren diese Organisationseinheit. Delegieren Sie die Kontrolle dieser Organisationseinheit nicht an andere Personen als die Dienstadministratoren.