Delegar la administración mediante objetos de unidad organizativaDelegating Administration by Using OU Objects

Se aplica a: Windows Server 2016, Windows Server 2012 R2, Windows Server 2012Applies To: Windows Server 2016, Windows Server 2012 R2, Windows Server 2012

Puede usar unidades organizativas (OU) para delegar la administración de objetos, como usuarios o equipos, en la unidad organizativa a un individuo designado o un grupo.You can use organizational units (OUs) to delegate the administration of objects, such as users or computers, within the OU to a designated individual or group. Para delegar la administración mediante el uso de una unidad organizativa, coloque el individuo o grupo al que va a delegar derechos administrativos en un grupo, coloque el conjunto de objetos que estén controladas en una unidad organizativa y, a continuación, delegar tareas administrativas para la unidad organizativa a ese grupo.To delegate administration by using an OU, place the individual or group to which you are delegating administrative rights into a group, place the set of objects to be controlled into an OU, and then delegate administrative tasks for the OU to that group.

Los servicios de dominio de Active Directory (AD DS) le permite controlar las tareas administrativas que se pueden delegar en un nivel muy detallado.Active Directory Domain Services (AD DS) enables you to control the administrative tasks that can be delegated at a very detailed level. Por ejemplo, puede asignar un grupo para tener control total de todos los objetos en una unidad organizativa; asignar a otro grupo los derechos solo para crear, eliminar y administrar cuentas de usuario en la unidad organizativa; y, a continuación, asignar un tercer grupo el derecho solo para restablecer las contraseñas de cuentas de usuario.For example, you can assign one group to have full control of all objects in an OU; assign another group the rights only to create, delete, and manage user accounts in the OU; and then assign a third group the right only to reset user account passwords. Puede hacer que estos permisos heredables para que se apliquen a todas las unidades organizativas que se colocan en los subárboles de la unidad organizativa original.You can make these permissions inheritable so that they apply to any OUs that are placed in subtrees of the original OU.

De forma predeterminada las unidades organizativas y contenedores se crean durante la instalación de AD DS y se controlan los administradores de servicios.Default OUs and containers are created during the installation of AD DS and are controlled by service administrators. Es mejor si continúan los administradores de servicios controlar estos contenedores.It is best if service administrators continue to control these containers. Si desea delegar el control sobre los objetos en el directorio, crear otras unidades organizativas y colocar los objetos en estas unidades organizativas.If you need to delegate control over objects in the directory, create additional OUs and place the objects in these OUs. Delegar el control a través de estas unidades organizativas a los administradores de datos adecuado.Delegate control over these OUs to the appropriate data administrators. Esto permite delegar el control sobre los objetos en el directorio sin cambiar el control predeterminado que se asigna a los administradores de servicios.This makes it possible to delegate control over objects in the directory without changing the default control given to the service administrators.

El propietario del bosque determina el nivel de entidad que se delega a un propietario de la unidad organizativa.The forest owner determines the level of authority that is delegated to an OU owner. Esto puede abarcar desde la capacidad de crear y manipular objetos en la unidad organizativa a sólo se les permite controlar un único atributo de un solo tipo de objeto en la unidad organizativa.This can range from the ability to create and manipulate objects within the OU to only being allowed to control a single attribute of a single type of object in the OU. Conceder a un usuario la capacidad para crear un objeto en la unidad organizativa implícitamente concede a ese usuario la capacidad de manipular cualquier atributo de cualquier objeto que crea el usuario.Granting a user the ability to create an object in the OU implicitly grants that user the ability to manipulate any attribute of any object that the user creates. Además, si el objeto que se crea es un contenedor, el usuario tiene implícitamente la capacidad de crear y manipular los objetos que se colocan en el contenedor.In addition, if the object that is created is a container, the user implicitly has the ability to create and manipulate any objects that are placed in the container.

En esta secciónIn this section