Создание проекта подразделения
Область применения: Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012
Владельцы лесов отвечают за создание проектов подразделения (OU) для своих доменов. Создание структуры подразделения включает проектирование структуры подразделения, назначение роли владельца подразделения и создание учетных записей и подразделений ресурсов.
Изначально создайте структуру подразделения, чтобы включить делегирование администрирования. По завершении проектирования подразделения можно создать дополнительные структуры подразделений для применения групповой политики к пользователям и компьютерам и ограничить видимость объектов. Дополнительные сведения см. в разделе "Проектирование инфраструктуры групповой политики".
Роль владельца подразделения
Владелец леса назначает владельца подразделения для каждого подразделения, который вы разрабатываете для домена. Владельцы подразделений — это диспетчеры данных, управляющие поддеревом объектов в службах домен Active Directory (AD DS). Владельцы подразделений могут контролировать делегирование администрирования и применение политики к объектам в пределах своего подразделения. Они также могут создавать новые поддеревы и делегировать администрирование подразделений в этих поддеревах.
Так как владельцы подразделений не принадлежат или управляют работой службы каталогов, вы можете разделить владение и администрирование службы каталогов от владения и администрирования объектов, уменьшая количество администраторов служб, имеющих высокий уровень доступа.
OUs обеспечивают административную автономию и средства для управления видимостью объектов в каталоге. Подразделения обеспечивают изоляцию от других администраторов данных, но они не обеспечивают изоляцию от администраторов служб. Хотя владельцы подразделений имеют контроль над поддеревом объектов, владелец леса сохраняет полный контроль над всеми поддеревами. Это позволяет владельцу леса исправлять ошибки, такие как ошибка в списке управления доступом (ACL), а также восстановление делегированных поддерев при завершении работы администраторов данных.
Подразделения учетных записей и подразделения ресурсов
Подразделения учетных записей содержат объекты пользователей, групп и компьютеров. Владельцы лесов должны создать структуру подразделения для управления этими объектами, а затем делегировать управление структурой владельцу подразделения. При развертывании нового домена AD DS создайте подразделение учетной записи для домена, чтобы можно было делегировать управление учетными записями в домене.
Подразделения ресурсов содержат ресурсы и учетные записи, ответственные за управление этими ресурсами. Владелец леса также отвечает за создание структуры подразделения для управления этими ресурсами и делегирования контроля над этой структурой владельцу подразделения. Создайте подразделения ресурсов по мере необходимости на основе требований каждой группы в организации для автономности управления данными и оборудованием.
Документирование структуры подразделения для каждого домена
Создайте команду для разработки структуры подразделения, используемой для делегирования управления ресурсами в лесу. Владелец леса может участвовать в процессе проектирования и должен утвердить проект подразделения. Вы также можете включить по крайней мере одного администратора службы, чтобы убедиться, что проект действителен. Другие участники команды разработчиков могут включать администраторов данных, которые будут работать над подразделениями и владельцами подразделений, которые будут отвечать за управление ими.
Важно документировать дизайн подразделения. Список имен создаваемых подразделений. И для каждого подразделения документируйте тип подразделения, владельца подразделения, родительского подразделения (если применимо), а также источника этого подразделения.
Чтобы на листе можно было документировать дизайн подразделения, скачать Job_Aids_Designing_and_Deploying_Directory_and_Security_Services.zip из пакета развертывания Windows Server 2003 и открыть раздел "Идентификация подразделений для каждого домена" (DSSLOGI_9.doc).