Partager via


Délégation de l’administration avec des objets d’unité d’organisation

Vous pouvez utiliser des unités d’organisation (UO) pour déléguer l’administration d’objets, comme les utilisateurs ou les ordinateurs, au sein de l’unité d’organisation à un individu ou groupe désigné. Pour déléguer l’administration à l’aide d’une unité d’organisation, placez l’individu ou le groupe auquel vous déléguez des droits d’administration dans un groupe, placez l’ensemble d’objets à contrôler dans une unité d’organisation, puis déléguez les tâches administratives de l’unité d’organisation à ce groupe.

Active Directory Domain Services (AD DS) vous permet de contrôler les tâches administratives pouvant être déléguées de manière très précise. Par exemple, vous pouvez attribuer à un groupe le contrôle total de tous les objets d’une unité d’organisation, attribuer à un autre groupe uniquement des droits de création, suppression et gestion des comptes d’utilisateur dans l’unité d’organisation, puis attribuer à un troisième groupe uniquement le droit de réinitialiser les mots de passe de compte d’utilisateur. Vous pouvez rendre ces autorisations héritables afin qu’elles s’appliquent à toutes les unités d’organisation placées dans des sous-arborescences de l’unité d’organisation d’origine.

Des unités d’organisation et conteneurs par défaut sont créés pendant l’installation d’AD DS et contrôlés par les administrateurs de service. Il est préférable que les administrateurs de service continuent de contrôler ces conteneurs. Si vous avez besoin de déléguer le contrôle sur des objets inclus dans l’annuaire, créez des unités d’organisation supplémentaires et placez les objets dans ces unités d’organisation. Déléguez le contrôle de ces unités d’organisation aux administrateurs de données appropriés. Ainsi, il est possible de déléguer le contrôle sur des objets inclus dans l’annuaire sans modifier le contrôle par défaut donné aux administrateurs de service.

Le propriétaire de la forêt détermine le niveau d’autorité délégué à un propriétaire d’unité d’organisation. Ce niveau peut aller de la capacité à créer et manipuler des objets au sein de l’unité d’organisation à la seule autorisation de contrôler un attribut unique d’un seul type d’objet dans l’unité d’organisation. Donner à un utilisateur la capacité de créer un objet dans l’unité d’organisation lui octroie implicitement la capacité de manipuler tout attribut de tout objet qu’il crée. En outre, si l’objet créé est un conteneur, l’utilisateur a implicitement la capacité de créer et manipuler tous les objets placés dans ce conteneur.

Contenu de cette section