OU 개체를 사용하여 관리 위임
OU(조직 구성 단위)를 사용하여 OU 내에서 사용자 또는 컴퓨터와 같은 개체의 관리를 지정된 개인 또는 그룹에 위임할 수 있습니다. OU를 사용하여 관리를 위임하려면 관리 권한을 위임할 개인 또는 그룹을 그룹에 배치하고 제어할 개체 집합을 OU에 배치한 다음 OU에 대한 관리 작업을 해당 그룹에 위임합니다.
AD DS(Active Directory Domain Services)를 사용하면 매우 자세한 수준에서 위임할 수 있는 관리 작업을 제어할 수 있습니다. 예를 들어 하나의 그룹을 할당하여 OU의 모든 개체를 완전히 제어할 수 있습니다. OU에서 사용자 계정을 만들고 삭제하고 관리할 수 있는 권한만 다른 그룹에 할당한 다음, 세 번째 그룹에는 사용자 계정 암호를 재설정할 수 있는 권한만 할당합니다. 이러한 사용 권한은 원래 OU의 하위 트리에 있는 모든 OU에 적용되도록 상속할 수 있습니다.
기본 OU 및 컨테이너는 AD DS를 설치하는 동안 만들어지고 서비스 관리자가 제어합니다. 서비스 관리자가 이러한 컨테이너를 계속 제어하는 것이 최적입니다. 디렉터리의 개체에 대한 제어를 위임해야 하는 경우 추가 OU를 만들고 이러한 OU에 개체를 배치합니다. 이러한 OU에 대한 제어를 적절한 데이터 관리자에게 위임합니다. 이렇게 하면 서비스 관리자에게 지정된 기본 컨트롤을 변경하지 않고 디렉터리의 개체에 대한 제어를 위임할 수 있습니다.
포리스트 소유자는 OU 소유자에게 위임된 권한 수준을 결정합니다. OU 내에서 개체를 만들고 조작하는 기능부터 OU에서 단일 개체 유형의 단일 특성만 제어할 수 있는 기능까지 다양할 수 있습니다. 사용자에게 OU에서 개체를 만들 수 있는 권한을 부여하면 사용자가 만드는 모든 개체의 특성을 조작할 수 있는 기능이 암시적으로 부여됩니다. 또한 생성된 개체가 컨테이너인 경우 사용자는 컨테이너에 배치된 개체를 암시적으로 만들고 조작할 수 있습니다.