조직 구성 단위 디자인 만들기
포리스트 소유자는 도메인에 대한 OU(조직 구성 단위) 디자인을 만들 책임이 있습니다. OU 디자인을 만들 때는 OU 구조 디자인, OU 소유자 역할 할당, 계정 및 리소스 OU 만들기가 포함됩니다.
처음에는, 관리 위임을 사용하도록 OU 구조를 디자인합니다. OU 디자인이 완료되면 사용자 및 컴퓨터에 그룹 정책을 적용하기 위한 추가 OU 구조를 만들고 개체의 표시 유형을 제한할 수 있습니다. 자세한 내용은 그룹 정책 인프라 디자인하기를 참조하세요.
OU 소유자 역할
포리스트 소유자는 도메인에 대해 디자인하는 각 OU에 대한 OU 소유자를 지정합니다. OU 소유자는 AD DS(Active Directory Domain Services)에서 개체의 하위 트리를 제어하는 데이터 관리자입니다. OU 소유자는 관리가 위임되는 방법과 OU 내의 개체에 정책이 적용되는 방식을 제어할 수 있습니다. 또한 새 하위 트리를 만들고 해당 하위 트리 내에서 OU의 관리를 위임할 수도 있습니다.
OU 소유자는 디렉터리 서비스의 작업을 소유하거나 제어하지 않으므로 디렉터리 서비스의 소유권 및 관리를 개체의 소유권 및 관리와 분리하여 높은 수준의 액세스 권한을 가진 서비스 관리자 수를 줄일 수 있습니다.
OU는 디렉터리에서 개체의 표시 유형을 제어하는 관리 자율성과 수단을 제공합니다. OU는 다른 데이터 관리자로부터 격리를 제공하지만 서비스 관리자로부터 격리를 제공하지는 않습니다. OU 소유자는 개체의 하위 트리를 제어할 수 있지만 포리스트 소유자는 모든 하위 트리에 대한 모든 권한을 유지합니다. 이렇게 하면 포리스트 소유자가 ACL(액세스 제어 목록)의 오류와 같은 실수를 수정하고 데이터 관리자가 종료될 때 위임된 하위 트리를 회수할 수 있습니다.
계정 OU 및 리소스 OU
계정 OU에는 사용자, 그룹 및 컴퓨터 개체가 포함됩니다. 포리스트 소유자는 이러한 개체를 관리하기 위해 OU 구조를 만든 다음 구조체 제어를 OU 소유자에게 위임해야 합니다. 새 AD DS 도메인을 배포하는 경우 도메인의 계정 제어를 위임할 수 있도록 도메인에 대한 계정 OU를 만듭니다.
리소스 Ou 리소스 및 해당 리소스를 관리 하는 일을 담당 하는 계정을 포함 합니다. 또한 포리스트 소유자는 이러한 리소스를 관리하기 위해 OU 구조를 만들고 해당 구조의 제어를 OU 소유자에게 위임해야 합니다. 데이터 및 장비 관리의 자율성을 위해 조직 내 각 그룹의 요구 사항에 따라 필요에 따라 리소스 OU를 만듭니다.
각 도메인에 대한 OU 디자인 문서화
팀을 구성하여 포리스트 내의 리소스에 대한 제어를 위임하는 데 사용하는 OU 구조를 디자인합니다. 포리스트 소유자가 디자인 프로세스에 참여할 수 있으며 OU 디자인을 승인해야 합니다. 또한 디자인이 유효한지 확인하기 위해 하나 이상의 서비스 관리자를 포함할 수 있습니다. 다른 디자인 팀 참가자는 OU에서 작업할 데이터 관리자와 OU 소유자를 관리할 책임이 있는 OU 소유자를 포함할 수 있습니다.
OU 디자인을 문서화하는 것이 중요합니다. 만들려는 OU의 이름을 나열합니다. 또한 각 OU에 대해 OU 유형, OU 소유자, 부모 OU(해당하는 경우) 및 해당 OU의 원본을 문서화합니다.
식별한 영역의 문서화에 참고할 만한 워크시트는 Windows Server 2003 배포 키트용 작업 보조 기능 Job_Aids_Designing_and_Deploying_Directory_and_Security_Services.zip를 다운로드하여 "포리스트 디자인 요구 사항"(DSSLOGI_2.doc)을 참조하세요.