Creazione di un progetto di unità organizzativa
I proprietari delle foreste sono responsabili della creazione di progetti di un’unità organizzativa per i relativi domini. La creazione di una progettazione di unità organizzative comporta la progettazione della struttura dell'unità organizzativa, l'assegnazione del ruolo proprietario dell'unità organizzativa e la creazione di unità organizzative di account e risorse.
Inizialmente, progettare la struttura dell'unità organizzativa per abilitare la delega dell'amministrazione. Al termine della progettazione dell'unità organizzativa, è possibile creare strutture organizzative aggiuntive per l'applicazione di Criteri di gruppo agli utenti e ai computer e limitare la visibilità degli oggetti. Per altre informazioni, vedere Progettazione di un'infrastruttura relativa ai Criteri di gruppo.
Ruolo proprietario unità organizzativa
Il proprietario della foresta designa un proprietario dell'unità organizzativa per ogni unità organizzativa progettata per il dominio. I proprietari delle unità organizzative sono responsabili dei dati che controllano un sottoalbero di oggetti in Active Directory Domain Services (AD DS). I proprietari delle unità organizzative possono controllare la modalità di delega dell'amministrazione e la modalità di applicazione dei criteri agli oggetti all'interno dell'unità organizzativa. Possono anche creare nuovi sottoalberi e delegare l'amministrazione delle unità organizzative all'interno di tali sottoalberi.
Poiché i proprietari dell'unità organizzativa non possiedono o controllano il funzionamento del servizio directory, è possibile separare la proprietà e l'amministrazione del servizio directory dalla proprietà e dall'amministrazione degli oggetti, riducendo il numero di amministratori del servizio che dispongono di livelli elevati di accesso.
Le unità organizzative offrono autonomia amministrativa e i mezzi per controllare la visibilità degli oggetti nella directory. Le unità organizzative forniscono l'isolamento da altri amministratori di dati, ma non forniscono isolamento dagli amministratori del servizio. Anche se i proprietari dell'unità organizzativa hanno il controllo su un sottoalbero di oggetti, il proprietario della foresta mantiene il controllo completo su tutti i sottoalberi. In questo modo il proprietario della foresta può correggere gli errori, ad esempio un errore in un elenco di controllo di accesso (ACL) e recuperare sottoalberi delegati quando gli amministratori dei dati vengono terminati.
Unità organizzative dell'account e unità organizzative delle risorse
Le unità organizzative dell'account contengono oggetti utente, gruppo e computer. I proprietari della foresta devono creare una struttura organizzativa per gestire questi oggetti e quindi delegare il controllo della struttura al proprietario dell'unità organizzativa. Se si distribuisce un nuovo dominio di Active Directory Domain Services, creare un'unità organizzativa dell'account per il dominio in modo che sia possibile delegare il controllo degli account nel dominio.
Le unità organizzative delle risorse contengono risorse e gli account responsabili della gestione di tali risorse. Il proprietario della foresta è anche responsabile della creazione di una struttura dell’unità organizzativa per gestire queste risorse e per delegare il controllo di tale struttura al proprietario dell'unità organizzativa. Creare unità organizzative delle risorse in base ai requisiti di ogni gruppo all'interno dell'organizzazione per l'autonomia nella gestione dei dati e delle apparecchiature.
Documentare la progettazione dell'unità organizzativa per ogni dominio
Riunire un team per progettare la struttura dell'unità organizzativa usata per delegare il controllo sulle risorse all'interno della foresta. Il proprietario della foresta potrebbe essere coinvolto nel processo di progettazione e deve approvare la progettazione dell'unità organizzativa. È anche possibile coinvolgere almeno un amministratore del servizio per assicurarsi che la progettazione sia valida. Altri partecipanti al team di progettazione possono includere gli amministratori dei dati che lavoreranno sulle unità organizzative e i proprietari dell'unità organizzativa che saranno responsabili della loro gestione.
È importante documentare la progettazione dell'unità organizzativa. Elencare i nomi delle unità organizzative che si prevede di creare. Inoltre, per ogni unità organizzativa, documentare il tipo di unità organizzativa, il proprietario dell'unità organizzativa, l'unità organizzativa padre (se applicabile) e l'origine di tale unità organizzativa.
Per ottenere un foglio di lavoro atto a facilitare la documentazione della progettazione dell'unità organizzativa, scaricare Job_Aids_Designing_and_Deploying_Directory_and_Security_Services.zip da Ausili di lavoro per il kit di distribuzione di Windows Server 2003 e aprire "Identificazione delle unità organizzative per ogni dominio" (DSSLOGI_9.doc).