Delegando administração das UOs de conta e de recurso
As UOs (unidades organizacionais) de conta contêm objetos de usuário, de grupo e de computador. As UOs de recurso contêm recursos e as contas responsáveis pelo gerenciamento desses recursos. O proprietário da floresta é responsável por criar uma estrutura de UO para gerenciar esses objetos e recursos e delegar o controle dessa estrutura ao proprietário da UO.
Como delegar a administração de UOs de conta
Delegue uma estrutura de UO de conta aos administradores de dados se eles precisarem criar e modificar objetos de usuário, de grupo e de computador. A estrutura de UO da conta é uma subárvore de UOs para cada tipo de conta que precisa ser controlada independentemente. Por exemplo, o proprietário da UO pode delegar um controle específico a vários administradores de dados por meio de UOs filho em uma UO de conta para usuários, computadores, grupos e contas de serviço.
A ilustração a seguir mostra um exemplo de uma estrutura de UO de conta.
A tabela a seguir lista e descreve as possíveis UOs filho que você pode criar em uma estrutura de UO de conta.
| OU | Finalidade |
|---|---|
| Usuários | Contém as contas de usuário de funcionários não administrativos. |
| Contas de serviço | Alguns serviços que exigem acesso aos recursos de rede são executados como contas de usuário. Essa UO é criada para separar as contas de usuário de serviço das contas de usuário contidas na UO de usuários. Além disso, colocar os diferentes tipos de contas de usuário em UOs separadas permite gerenciá-las de acordo com seus requisitos administrativos específicos. |
| Computadores | Contém as contas de computadores que não sejam controladores de domínio. |
| Grupos | Contém os grupos de todos os tipos, exceto os grupos administrativos, que são gerenciados separadamente. |
| Administradores | Contém as contas de usuário e de grupo dos administradores de dados na estrutura de UO da conta para permitir que eles sejam gerenciados separadamente dos usuários comuns. Habilite a auditoria dessa UO para acompanhar as alterações em usuários e grupos administrativos. |
A ilustração a seguir mostra um exemplo de um design de grupo administrativo para uma estrutura de UO de conta.
Os grupos que gerenciam as UOs filho recebem controle completo apenas sobre a classe específica de objetos que são responsáveis pelo gerenciamento.
Os tipos de grupos que você usa para delegar o controle em uma estrutura de UO baseiam-se no local em que as contas estão localizadas em relação à estrutura de UO que deve ser gerenciada. Se as contas de usuário administrador e a estrutura de UO existirem em um só domínio, os grupos que você criar para usar para delegação precisarão ser grupos globais. Se a sua organização tiver um departamento que gerencie contas de usuário próprias e exista em mais de uma região geográfica, você poderá ter um grupo de administradores de dados responsáveis por gerenciar as UOs de conta em mais de um domínio. Se as contas dos administradores de dados existirem em um só domínio e você tiver estruturas de UO em vários domínios aos quais precisa delegar o controle, torne essas contas administrativas membros de grupos globais e delegue o controle das estruturas de UO em cada domínio para esses grupos globais. Se as contas de administradores de dados às quais você delegar o controle de uma estrutura de UO forem provenientes de vários domínios, você precisará usar um grupo universal. Os grupos universais podem conter usuários de domínios diferentes e, portanto, podem ser usados para delegar o controle em vários domínios.
Como delegar a administração de UOs de recurso
As UOs de recurso são usadas para gerenciar o acesso aos recursos. O proprietário da UO de recurso cria contas de computador para servidores ingressados no domínio que incluem recursos como compartilhamentos de arquivos, bancos de dados e impressoras. O proprietário da UO de recurso também cria grupos para controlar o acesso a esses recursos.
A ilustração a seguir mostra os dois locais possíveis para a UO de recurso.
A UO de recurso pode estar localizada na raiz do domínio ou como uma UO filho da UO de conta correspondente na hierarquia administrativa da UO. As UOs de recurso não têm nenhuma UO filho padrão. Os computadores e os grupos são colocados diretamente na UO de recurso.
O proprietário da UO de recurso possui os objetos dentro da UO, mas não possui o próprio contêiner da UO. Os proprietários da UO de recurso gerenciam apenas os objetos de computador e de grupo. Eles não podem criar outras classes de objetos dentro da UO e não podem criar UOs filho.
Observação
O criador ou o proprietário de um objeto tem a capacidade de definir a ACL (lista de controle de acesso) no objeto, independentemente das permissões herdadas do contêiner pai. Se um proprietário da UO de recurso puder redefinir a ACL em uma UO, ele poderá criar qualquer classe de objeto na UO, incluindo usuários. Por esse motivo, os proprietários da UO de recurso não têm permissão para criar UOs.
Para cada UO de recurso no domínio, crie um grupo global para representar os administradores de dados responsáveis por gerenciar o conteúdo da UO. Esse grupo tem controle completo sobre o grupo e os objetos de computador na UO, mas não sobre o próprio contêiner da UO.
A ilustração a seguir mostra o design do grupo administrativo de uma UO de recurso.
Colocar as contas de computador em uma UO de recurso dá ao proprietário da UO o controle sobre os objetos da conta, mas não torna o proprietário da UO um administrador dos computadores. Em um domínio do Active Directory, o grupo Administradores do Domínio é, por padrão, colocado no grupo local Administradores em todos os computadores. Ou seja, os administradores de serviços têm controle sobre esses computadores. Se os proprietários da UO de recurso exigirem controle administrativo sobre os computadores nas respectivas UOs, o proprietário da floresta poderá aplicar uma Política de Grupo de Grupos Restritos para tornar o proprietário da UO de recurso um membro do grupo Administradores nos computadores dessa UO.