Делегирование администрирования подразделений учетных записей и ресурсов
Область применения: Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012
Подразделения учетных записей (OUS) содержат объекты пользователей, групп и компьютеров. Подразделения ресурсов содержат ресурсы и учетные записи, ответственные за управление этими ресурсами. Владелец леса отвечает за создание структуры подразделения для управления этими объектами и ресурсами, а также за делегирование контроля над этой структурой владельцу подразделения.
Делегирование администрирования учетных записей
Делегируйте структуру подразделения учетной записи администраторам данных, если они должны создавать и изменять объекты пользователей, групп и компьютеров. Структура подразделения учетной записи — это поддерев единиц единиц для каждого типа учетной записи, который должен быть независимо контролироваться. Например, владелец подразделения может делегировать определенный контроль различным администраторам данных над дочерними подразделениями в подразделении учетной записи для пользователей, компьютеров, групп и учетных записей служб.
На следующем рисунке показан один пример структуры подразделения учетной записи.
В следующей таблице перечислены и описаны возможные дочерние подразделения, которые можно создать в структуре подразделения учетной записи.
| Подразделение | Характер использования |
|---|---|
| Пользователи | Содержит учетные записи пользователей для неадминистрирующих сотрудников. |
| Учетные записи службы | Некоторые службы, требующие доступа к сетевым ресурсам, выполняются в качестве учетных записей пользователей. Эта подразделение создается для разделения учетных записей пользователей службы от учетных записей пользователей, содержащихся в подразделении пользователей. Кроме того, размещение различных типов учетных записей пользователей в отдельных подразделениях позволяет управлять ими в соответствии с конкретными административными требованиями. |
| Компьютеры | Содержит учетные записи для компьютеров, отличных от контроллеров домена. |
| Группы | Содержит группы всех типов, кроме административных групп, которые управляются отдельно. |
| Администраторы | Содержит учетные записи пользователей и групп для администраторов данных в структуре подразделения учетной записи, чтобы они могли управляться отдельно от обычных пользователей. Включите аудит для этого подразделения, чтобы отслеживать изменения пользователей и групп администратора. |
На следующем рисунке показан один пример структуры административной группы для структуры подразделения учетной записи.
Группы, управляющие дочерними подразделениями, получают полный контроль только над определенным классом объектов, которые они отвечают за управление.
Типы групп, которые используются для делегирования управления в структуре подразделения, основаны на том, где учетные записи находятся относительно структуры подразделения, которую необходимо управлять. Если учетные записи администратора и структура подразделения существуют в одном домене, группы, создаваемые для делегирования, должны быть глобальными группами. Если у вашей организации есть отдел, который управляет своими учетными записями пользователей и существует в нескольких географических регионах, у вас может быть группа администраторов данных, которые отвечают за управление подразделениями учетных записей в нескольких доменах. Если учетные записи администраторов данных существуют в одном домене и у вас есть структуры подразделения в нескольких доменах, которым необходимо делегировать управление, сделайте эти административные учетные записи членами глобальных групп и делегированием управления структурами подразделения в каждом домене для этих глобальных групп. Если учетные записи администраторов данных, которым вы делегируете управление структурой подразделения, приходится из нескольких доменов, необходимо использовать универсальную группу. Универсальные группы могут содержать пользователей из разных доменов, поэтому их можно использовать для делегирования управления в нескольких доменах.
Делегирование администрирования подразделений ресурсов
Подразделения ресурсов используются для управления доступом к ресурсам. Владелец подразделения ресурсов создает учетные записи компьютеров для серверов, присоединенных к домену, включающих такие ресурсы, как общие папки, базы данных и принтеры. Владелец подразделения ресурсов также создает группы для управления доступом к этим ресурсам.
На следующем рисунке показаны два возможных расположения для подразделения ресурсов.
Подразделение ресурсов может находиться в корневом каталоге домена или в качестве дочернего подразделения соответствующей учетной записи в административной иерархии подразделения подразделения. У подразделений ресурсов нет стандартных дочерних подразделений. Компьютеры и группы помещаются непосредственно в подразделение ресурсов.
Владелец подразделения ресурсов владеет объектами в подразделении, но не владеет самим контейнером подразделения. Владельцы подразделений ресурсов управляют только объектами компьютеров и групп; они не могут создавать другие классы объектов в подразделении, и они не могут создавать дочерние подразделения.
Примечание.
Создатель или владелец объекта имеет возможность задать список управления доступом (ACL) для объекта независимо от разрешений, унаследованных от родительского контейнера. Если владелец подразделения ресурсов может сбросить ACL в подразделении, этот владелец может создать любой класс объекта в подразделении, включая пользователей. По этой причине владельцы подразделений ресурсов не могут создавать подразделения.
Для каждого подразделения ресурсов в домене создайте глобальную группу, чтобы представлять администраторов данных, ответственных за управление содержимым подразделения. Эта группа имеет полный контроль над объектами группы и компьютера в подразделении, но не над самим контейнером подразделения.
На следующем рисунке показана схема административной группы для подразделения ресурсов.
Размещение учетных записей компьютера в подразделение ресурсов дает владельцу подразделения контроль над объектами учетной записи, но не делает владельца подразделения администратором компьютеров. В домене Active Directory группа доменов Администратор s по умолчанию помещается в локальную группу Администратор istrators на всех компьютерах. То есть администраторы служб имеют контроль над этими компьютерами. Если владельцы подразделений ресурсов требуют административного контроля над компьютерами в своих подразделениях, владелец леса может применить групповую политику ограниченных групп, чтобы сделать владельца ресурса членом группы Администратор istrators на компьютерах в этом подразделении.