Criar um design de unidade organizacional
Aplica-se a: Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2 e Windows Server 2012
Os proprietários de florestas são responsáveis por criar designs de UO (unidade organizacional) para seus domínios. A criação de um design de UO envolve projetar a estrutura da UO, atribuir a função de proprietário da UO e criar OUs de conta e de recursos.
Inicialmente, desenvolva sua estrutura de UO para habilitar a delegação de administração. Quando o design da UO for concluído, você poderá criar estruturas de UO adicionais para a aplicação da Política de Grupo aos usuários e computadores e limitar a visibilidade dos objetos. Para saber mais, confira Projetar uma infraestrutura da Política de Grupo.
Função de proprietário da UO
O proprietário da floresta designa um proprietário da UO para cada UO que você projeta para o domínio. Os proprietários de UO são gerentes de dados que controlam uma subárvore de objetos no AD DS (Active Directory Domain Services). Os proprietários da UO podem controlar como a administração é delegada e como a política é aplicada aos objetos dentro da UO deles. Eles também podem criar novas subárvores e delegar a administração de UOs dentro dessas subárvores.
Como os proprietários da UO não possuem nem controlam a operação do serviço de diretório, você pode separar a propriedade e a administração do serviço de diretório da propriedade e da administração de objetos, reduzindo o número de administradores de serviços que têm altos níveis de acesso.
As UOs fornecem autonomia administrativa e os meios para controlar a visibilidade dos objetos no diretório. As UOs fornecem isolamento de outros administradores de dados, mas não fornecem isolamento dos administradores de serviço. Embora os proprietários da UO tenham controle sobre uma subárvore de objetos, o proprietário da floresta mantém controle total sobre todas as subárvores. Isso permite que o proprietário da floresta corrija enganos, como um erro em uma ACL (lista de controle de acesso) e recupere subárvores delegadas quando os administradores de dados forem encerrados.
UOs de conta e UOs de recurso
As UOs de conta contêm objetos de usuário, grupo e computador. Os proprietários de florestas devem criar uma estrutura de UO para gerenciar esses objetos e, em seguida, delegar o controle da estrutura ao proprietário da UO. Se você estiver implantando um novo domínio do AD DS, crie uma UO de conta para o domínio de modo que você possa delegar o controle das contas no domínio.
As UOs de recurso contêm recursos e as contas responsáveis pelo gerenciamento desses recursos. O proprietário da floresta também é responsável por criar uma estrutura de UO para gerenciar esses recursos e delegar o controle dessa estrutura ao proprietário da UO. Crie UOs de recursos conforme necessário com base nos requisitos de cada grupo em sua organização para obter autonomia no gerenciamento de dados e equipamentos.
Documentar o design da UO para cada domínio
Monte uma equipe para projetar a estrutura de UO que você usa para delegar o controle sobre os recursos dentro da floresta. O proprietário da floresta pode estar envolvido no processo de design e deve aprovar o design da UO. Você também pode envolver pelo menos um administrador de serviços para garantir que o design seja válido. Outros participantes da equipe de design podem incluir os administradores de dados que trabalharão nas UOs e os proprietários da UO que serão responsáveis por gerenciá-los.
É importante documentar o design da UO. Liste os nomes das UOs que você planeja criar. E, para cada UO, documente o tipo de UO, o proprietário da UO, a UO pai (se aplicável) e a origem dessa UO.
Para obter uma planilha para ajudá-lo a documentar seu design de UO, baixe Job_Aids_Designing_and_Deploying_Directory_and_Security_Services.zip do Kit de Implantação do Job Aids para Windows Server 2003 e abra "Identificando UOs para cada domínio" (DSSLOGI_9.doc).