Delegar la administración de unidades organizativas de cuentas y unidades organizativas de recursos
Se aplica a: Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2 y Windows Server 2012.
Las unidades organizativas (UO) de la cuenta contienen objetos de usuario, grupo y equipo. Las unidades organizativas de recursos contienen los recursos y las cuentas que son responsables de administrar esos recursos. El propietario del bosque es responsable de crear una estructura de unidad organizativa para administrar estos objetos y recursos y delegar el control de esa estructura al propietario de la unidad organizativa.
Delegación de la administración de unidades organizativas de cuenta
Delegue una estructura de unidad organizativa de cuenta a los administradores de datos si necesitan crear y modificar objetos de usuario, grupo y equipo. La estructura de la unidad organizativa de la cuenta es un subárbol de unidades organizativas para cada tipo de cuenta que se debe controlar de forma independiente. Por ejemplo, el propietario de la unidad organizativa puede delegar un control específico a varios administradores de datos sobre unidades organizativas secundarias en una unidad organizativa de cuenta para usuarios, equipos, grupos y cuentas de servicio.
En la ilustración siguiente se muestra un ejemplo de una estructura organizativa de cuenta.
En la tabla siguiente se enumeran y describen las posibles unidades organizativas secundarias que puede crear en una estructura de unidad organizativa de la cuenta.
| OU | Propósito |
|---|---|
| Usuarios | Contiene cuentas de usuario para el personal no administrativo. |
| Cuentas de servicio | Algunos servicios que requieren acceso a los recursos de red se ejecutan como cuentas de usuario. Esta unidad organizativa se crea para separar las cuentas de usuario de servicio de las cuentas de usuario contenidas en la unidad organizativa de los usuarios. Además, colocar los diferentes tipos de cuentas de usuario en unidades organizativas independientes permite administrarlas según sus requisitos administrativos específicos. |
| Equipos informáticos | Contiene cuentas para equipos distintos de controladores de dominio. |
| Grupos | Contiene grupos de todos los tipos excepto los grupos administrativos, que se administran por separado. |
| Administradores | Contiene cuentas de usuario y de grupo para los administradores de datos en la estructura de unidades organizativas de la cuenta para permitir que se administren por separado de los usuarios normales. Habilite la auditoría de esta unidad organizativa para que pueda realizar un seguimiento de los cambios en los usuarios y grupos administrativos. |
En la ilustración siguiente se muestra un ejemplo de un diseño de grupo administrativo para una estructura de unidad organizativa de cuenta.
A los grupos que administran las unidades organizativas secundarias solo se les concede control total sobre la clase específica de objetos que son responsables de administrar.
Los tipos de grupos que se usan para delegar el control dentro de una estructura de unidad organizativa se basan en dónde se encuentran las cuentas en relación con la estructura de la unidad organizativa que se va a administrar. Si las cuentas de usuario administrador y la estructura de unidades organizativas existen en un solo dominio, los grupos que cree para su uso para la delegación deben ser grupos globales. Si su organización tiene un departamento que administra sus propias cuentas de usuario y existe en más de una región geográfica, es posible que tenga un grupo de administradores de datos responsables de administrar unidades organizativas de cuenta en más de un dominio. Si todas las cuentas de los administradores de datos existen en un solo dominio y tiene estructuras de unidad organizativa en varios dominios a los que necesita delegar el control, haga que esas cuentas administrativas sean miembros de grupos globales y delegue el control de las estructuras de unidad organizativa de cada dominio a esos grupos globales. Si las cuentas de administradores de datos a las que delega el control de una estructura de unidad organizativa proceden de varios dominios, debe usar un grupo universal. Los grupos universales pueden contener usuarios de dominios diferentes y, por lo tanto, se pueden usar para delegar el control en varios dominios.
Delegación de la administración de unidades organizativas de recursos
Las unidades organizativas de recursos se usan para administrar el acceso a los recursos. El propietario de la unidad organizativa del recurso crea cuentas de equipo para servidores que están unidos al dominio que incluyen recursos como recursos compartidos de archivos, bases de datos e impresoras. El propietario de la unidad organizativa del recurso también crea grupos para controlar el acceso a esos recursos.
En la ilustración siguiente se muestran las dos ubicaciones posibles para la unidad organizativa del recurso.
La unidad organizativa del recurso se puede encontrar en la raíz del dominio o como una unidad organizativa secundaria de la unidad organizativa de la cuenta correspondiente en la jerarquía administrativa de la unidad organizativa. Las unidades organizativas de recursos no tienen unidades organizativas secundarias estándar. Los equipos y grupos se colocan directamente en la unidad organizativa del recurso.
El propietario de la unidad organizativa del recurso posee los objetos dentro de la unidad organizativa, pero no posee el propio contenedor de unidades organizativas. Los propietarios de unidades organizativas de recursos solo administran objetos de equipo y grupo; no pueden crear otras clases de objetos dentro de la unidad organizativa y no pueden crear unidades organizativas secundarias.
Nota
El creador o propietario de un objeto tiene la capacidad de establecer la lista de control de acceso (ACL) en el objeto, independientemente de los permisos heredados del contenedor primario. Si un propietario de la unidad organizativa del recurso puede restablecer la ACL en una unidad organizativa, ese propietario puede crear cualquier clase de objeto en la unidad organizativa, incluidos los usuarios. Por este motivo, los propietarios de unidades organizativas de recursos no pueden crear unidades organizativas.
Para cada unidad organizativa de recursos del dominio, cree un grupo global para representar a los administradores de datos responsables de administrar el contenido de la unidad organizativa. Este grupo tiene control total sobre el grupo y los objetos de equipo en la unidad organizativa, pero no sobre el propio contenedor de unidades organizativas.
En la ilustración siguiente se muestra el diseño del grupo administrativo para una unidad organizativa de recursos.
Colocar las cuentas de equipo en una unidad organizativa de recursos proporciona al propietario de la unidad organizativa el control sobre los objetos de cuenta, pero no hace que el propietario de la unidad organizativa sea un administrador de los equipos. En un dominio de Active Directory, el grupo Administradores de dominio se coloca, de forma predeterminada, en el grupo Administradores locales en todos los equipos. Es decir, los administradores de servicios tienen control sobre esos equipos. Si los propietarios de unidades organizativas de recursos requieren control administrativo sobre los equipos de sus unidades organizativas, el propietario del bosque puede aplicar un directiva de grupo a los grupos restringidos para que el propietario de la unidad organizativa del recurso sea miembro del grupo Administradores en los equipos de esa unidad organizativa.