Delegar la administración mediante el uso de objetos de la unidad organizativaDelegating Administration by Using OU Objects

Se aplica a: Windows Server 2016, Windows Server 2012 R2, Windows Server 2012Applies To: Windows Server 2016, Windows Server 2012 R2, Windows Server 2012

Puedes usar unidades organizativas (OU) para delegar la administración de objetos, como los usuarios o equipos, en la unidad organizativa a un individuo designado o grupo.You can use organizational units (OUs) to delegate the administration of objects, such as users or computers, within the OU to a designated individual or group. Para delegar la administración mediante el uso de una unidad organizativa, coloca la persona o grupo al que se delegar derechos administrativos en un grupo, coloca el conjunto de objetos que se pueden controlar en una unidad organizativa y, a continuación, delegar tareas administrativas para la unidad organizativa a ese grupo.To delegate administration by using an OU, place the individual or group to which you are delegating administrative rights into a group, place the set of objects to be controlled into an OU, and then delegate administrative tasks for the OU to that group.

Los servicios de dominio de Active Directory (AD DS) te permite controlar las tareas administrativas que se pueden delegar en un nivel muy detallado.Active Directory Domain Services (AD DS) enables you to control the administrative tasks that can be delegated at a very detailed level. Por ejemplo, puedes asignar un grupo de tienen control total de todos los objetos en una unidad organizativa; asignar a otro grupo de los derechos solo para crear, eliminar y administrar cuentas de usuario en la unidad organizativa; y, a continuación, asigna un tercer grupo el derecho solo a restablecer las contraseñas de cuentas de usuario.For example, you can assign one group to have full control of all objects in an OU; assign another group the rights only to create, delete, and manage user accounts in the OU; and then assign a third group the right only to reset user account passwords. Hacer que estos permisos heredables para que se aplican a las unidades organizativas que se colocan en subárboles de la unidad organizativa original.You can make these permissions inheritable so that they apply to any OUs that are placed in subtrees of the original OU.

Unidades organizativas de forma predeterminada y los contenedores se crean durante la instalación de AD DS y son controlados por los administradores de servicio.Default OUs and containers are created during the installation of AD DS and are controlled by service administrators. Es mejor si siguen los administradores de servicio controlar estos contenedores.It is best if service administrators continue to control these containers. Si necesitas delegar control sobre los objetos en el directorio, crear otras unidades organizativas y coloca los objetos en estas unidades organizativas.If you need to delegate control over objects in the directory, create additional OUs and place the objects in these OUs. Delegar el control de estas unidades organizativas a los administradores de datos apropiada.Delegate control over these OUs to the appropriate data administrators. Esto hace posible delegar control sobre los objetos en el directorio sin cambiar el control predeterminado que se proporcionan a los administradores de servicio.This makes it possible to delegate control over objects in the directory without changing the default control given to the service administrators.

El propietario de bosque determina el nivel de autorización que se delega a un propietario de la unidad organizativa.The forest owner determines the level of authority that is delegated to an OU owner. Esto puede oscilar entre la capacidad de crear y manipular objetos dentro de la unidad organizativa para que solo se permiten para controlar un único atributo de un solo tipo de objeto en la unidad organizativa.This can range from the ability to create and manipulate objects within the OU to only being allowed to control a single attribute of a single type of object in the OU. Conceder a un usuario la capacidad para crear un objeto en la unidad organizativa implícitamente concede a que el usuario la capacidad de manipular cualquier atributo de cualquier objeto que el usuario crea.Granting a user the ability to create an object in the OU implicitly grants that user the ability to manipulate any attribute of any object that the user creates. Además, si el objeto que se crea es un contenedor, el usuario implícitamente tiene la capacidad de crear y manipular los objetos que se colocan en el contenedor.In addition, if the object that is created is a container, the user implicitly has the ability to create and manipulate any objects that are placed in the container.

En esta secciónIn this section