Partilhar via


Delegando administração usando objetos da UO

Você pode usar UOs (unidades organizacionais) para delegar a administração de objetos, como usuários ou computadores, dentro da UO a uma pessoa ou a um grupo designado. Para delegar a administração usando uma UO, coloque a pessoa ou o grupo ao qual você está delegando direitos administrativos em um grupo, coloque o conjunto de objetos a ser controlado em uma UO e delegue tarefas administrativas para a UO desse grupo.

O AD DS (Active Directory Domain Services) permite controlar as tarefas administrativas que podem ser delegadas em um nível muito detalhado. Por exemplo, você pode atribuir um grupo para ter controle completo de todos os objetos em uma UO; atribuir a outro grupo os direitos somente para criar, excluir e gerenciar contas de usuário na UO; e atribuir a um terceiro grupo o direito apenas de redefinir as senhas da conta de usuário. Você pode tornar essas permissões herdáveis para que elas se apliquem a todas as UOs colocadas em subárvores da UO original.

As UOs e os contêineres padrão são criados durante a instalação do AD DS e são controlados por administradores de serviços. É melhor se os administradores de serviços continuarem controlando esses contêineres. Caso você precise delegar o controle sobre os objetos do diretório, crie UOs adicionais e coloque os objetos nessas UOs. Delegue o controle sobre essas UOs aos administradores de dados apropriados. Isso possibilita delegar o controle sobre os objetos no diretório sem alterar o controle padrão fornecido aos administradores de serviços.

O proprietário da floresta determina o nível de autoridade delegado a um proprietário da UO. Isso pode variar da capacidade de criar e processar objetos dentro da UO a ter permissão apenas para controlar um só atributo de um só tipo de objeto na UO. A concessão a um usuário da capacidade de criar um objeto na UO concede implicitamente a esse usuário a capacidade de processar qualquer atributo de qualquer objeto criado pelo usuário. Além disso, se o objeto criado for um contêiner, o usuário terá implicitamente a capacidade de criar e processar todos os objetos que são colocados no contêiner.

Nesta seção