Delega dell'amministrazione di unità organizzative di account e unità organizzative di risorse
Le unità organizzative dell'account contengono oggetti utente, gruppo e computer. Le unità organizzative delle risorse contengono risorse e gli account responsabili della gestione di tali risorse. Il proprietario della foresta è responsabile della creazione di una struttura dell'unità organizzativa per gestire questi oggetti e risorse e della delega del controllo di tale struttura al proprietario dell'unità organizzativa.
Delega dell'amministrazione di unità organizzative di account
Delegare una struttura dell'unità organizzativa dell'account agli amministratori dei dati se devono creare e modificare oggetti utente, gruppo e computer. La struttura dell'unità organizzativa dell'account è un sottoalbero di unità organizzative per ogni tipo di account che deve essere controllato in modo indipendente. Ad esempio, il proprietario dell'unità organizzativa può delegare un controllo specifico a vari amministratori di dati su unità organizzative figlio in un'unità organizzativa account per utenti, computer, gruppi e account del servizio.
Nella figura seguente mostra un esempio di struttura dell'unità organizzativa dell'account.
Nella tabella seguente sono elencate e descritte le possibili unità organizzative figlio che è possibile creare in una struttura di unità organizzativa dell'account.
OU | Ambito |
---|---|
Utenti | Contiene gli account utente per il personale non amministrativo. |
Account di servizio | Alcuni servizi che richiedono l'accesso alle risorse di rete vengono eseguiti come account utente. Questa unità organizzativa viene creata per separare gli account utente del servizio dagli account utente contenuti nell'unità organizzativa degli utenti. Inoltre, l'inserimento dei diversi tipi di account utente in unità organizzative separate consente di gestirli in base ai requisiti amministrativi specifici. |
Computer | Contiene account per computer diversi dai controller di dominio. |
Gruppi | Contiene gruppi di tutti i tipi, ad eccezione dei gruppi amministrativi, gestiti separatamente. |
Amministratori | Contiene account utente e gruppo per gli amministratori di dati nella struttura dell'unità organizzativa dell'account per consentirne la gestione separatamente dagli utenti normali. Abilitare il controllo per questa unità organizzativa in modo che sia possibile tenere traccia delle modifiche apportate a utenti e gruppi amministrativi. |
La figura seguente mostra un esempio di progettazione di gruppo amministrativo per una struttura dell'unità organizzativa dell'account.
Ai gruppi che gestiscono le unità organizzative figlio viene concesso il controllo completo solo sulla classe specifica di oggetti di cui sono responsabili della gestione.
I tipi di gruppi usati per delegare il controllo all'interno di una struttura dell'unità organizzativa si basano sulla posizione in cui si trovano gli account rispetto alla struttura dell'unità organizzativa che deve essere gestita. Se gli account utente amministratore e la struttura dell'unità organizzativa esistono tutti all'interno di un singolo dominio, i gruppi creati da usare per la delega devono essere gruppi globali. Se l'organizzazione ha un reparto che gestisce i propri account utente ed esiste in più aree geografiche, potrebbe essere presente un gruppo di amministratori dati responsabili della gestione delle unità organizzative degli account in più domini. Se gli account degli amministratori dei dati esistono tutti in un singolo dominio e si dispone di strutture dell'unità organizzativa in più domini a cui è necessario delegare il controllo, rendere tali account amministrativi membri dei gruppi globali e delegare il controllo delle strutture di unità organizzativa in ogni dominio a tali gruppi globali. Se gli account amministratore dati a cui si delega il controllo di una struttura organizzativa provengono da più domini, è necessario usare un gruppo universale. I gruppi universali possono contenere utenti di domini diversi e pertanto possono essere usati per delegare il controllo in più domini.
Delega dell'amministrazione di unità organizzative di risorse
Le unità organizzative delle risorse vengono usate per gestire l'accesso alle risorse. Il proprietario dell'unità organizzativa delle risorse crea account computer per i server aggiunti al dominio che includono risorse quali condivisioni file, database e stampanti. Il proprietario dell'unità organizzativa delle risorse crea anche gruppi per controllare l'accesso a tali risorse.
La figura seguente mostra le due posizioni possibili per l'unità organizzativa della risorsa.
L'unità organizzativa della risorsa può trovarsi nella radice del dominio o come unità organizzativa figlio dell'unità organizzativa dell'account corrispondente nella gerarchia amministrativa dell'unità organizzativa. Le unità organizzative delle risorse non hanno unità organizzative figlio standard. I computer e i gruppi vengono inseriti direttamente nell'unità organizzativa delle risorse.
Il proprietario dell'unità organizzativa della risorsa è proprietario degli oggetti all'interno dell'unità organizzativa, ma non è proprietario del contenitore dell'unità organizzativa stessa. I proprietari delle unità organizzative delle risorse gestiscono solo gli oggetti computer e gruppo; non possono creare altre classi di oggetti all'interno dell'unità organizzativa e non possono creare unità organizzative figlio.
Nota
L'autore o il proprietario di un oggetto ha la possibilità di impostare l'elenco di controllo di accesso (ACL) sull'oggetto indipendentemente dalle autorizzazioni ereditate dal contenitore padre. Se un proprietario dell'unità organizzativa di risorse può reimpostare l'ACL in un'unità organizzativa, tale proprietario può creare qualsiasi classe di oggetto nell'unità organizzativa, inclusi gli utenti. Per questo motivo, i proprietari delle unità organizzative delle risorse non sono autorizzati a creare unità organizzative.
Per ogni unità organizzativa di risorse nel dominio, creare un gruppo globale per rappresentare gli amministratori dei dati responsabili della gestione del contenuto dell'unità organizzativa. Questo gruppo ha il controllo completo sui gruppi e sugli oggetti computer nell'unità organizzativa, ma non sul contenitore dell'unità organizzativa stessa.
La figura seguente illustra la progettazione del gruppo amministrativo per un'unità organizzativa delle risorse.
L'inserimento degli account computer in un'unità organizzativa fornisce al proprietario dell'unità organizzativa il controllo sugli oggetti account, ma non rende il proprietario dell'unità organizzativa un amministratore dei computer. In un dominio di Active Directory, il gruppo Domain Admins è, per impostazione predefinita, inserito nel gruppo Amministratori locali in tutti i computer. Ovvero, gli amministratori del servizio hanno il controllo su tali computer. Se i proprietari delle unità organizzative delle risorse richiedono il controllo amministrativo sui computer nelle proprie unità organizzative, il proprietario della foresta può applicare criteri di gruppo per gruppi con restrizioni per rendere il proprietario dell'unità organizzativa della risorsa membro del gruppo Amministratori nei computer in tale unità organizzativa.