Compartir a través de


Delegar la administración mediante objetos de unidad organizativa

Puede usar unidades organizativas para delegar la administración de objetos, como usuarios o equipos, dentro de la unidad organizativa a un individuo o grupo designado. Para delegar la administración mediante una unidad organizativa, coloque el individuo o el grupo al que va a delegar derechos administrativos en un grupo, coloque el conjunto de objetos que se controlarán en una unidad organizativa y, después, delegue las tareas administrativas de la unidad organizativa a ese grupo.

Active Directory Domain Services (AD DS) permite controlar de manera muy detallada las tareas administrativas que se pueden delegar. Por ejemplo, puede asignar un grupo para que tenga control total de todos los objetos de una unidad organizativa; asignar derechos a otro grupo solo para crear, eliminar y administrar cuentas de usuario en la unidad organizativa; y asignar a un tercer grupo el derecho solo para restablecer las contraseñas de las cuentas de usuario. Puede hacer que estos permisos sean heredables para que se apliquen a todas las unidades organizativas en subárboles de la unidad organizativa original.

Las unidades organizativas y los contenedores predeterminados se crean durante la instalación de AD DS y son controlados por los administradores de servicios. Es mejor si los administradores de servicios siguen controlando estos contenedores. Si necesita delegar el control sobre objetos del directorio, cree unidades organizativas adicionales y coloque los objetos en ellas. Delegue el control sobre estas unidades organizativas a los administradores de datos adecuados. Esto permite delegar el control sobre los objetos del directorio sin cambiar el control predeterminado proporcionado a los administradores de servicios.

El propietario del bosque determina el nivel de autoridad que se delega al propietario de una unidad organizativa. Este nivel de autoridad puede ir desde la capacidad de crear y manipular objetos dentro de la unidad organizativa hasta el permiso solamente para controlar un único atributo de un solo tipo de objeto en la unidad organizativa. Conceder a un usuario la capacidad de crear un objeto en la unidad organizativa concede implícitamente a ese usuario la capacidad de manipular cualquier atributo de cualquier objeto que cree. Además, si el objeto creado es un contenedor, el usuario tiene implícitamente la capacidad de crear y manipular los objetos que se colocan en ese contenedor.

En esta sección