Delegando administração de contêineres padrão e UOs
Cada domínio do Active Directory contém um conjunto padrão de contêineres e UOs (unidades organizacionais) que são criados durante a instalação do AD DS (Active Directory Domain Services). Isso inclui o seguinte:
O contêiner de domínio, que serve como o contêiner raiz para a hierarquia
O contêiner interno, que contém as contas de administrador de serviço padrão
O contêiner de usuários, que é o local padrão para novas contas de usuário e grupos criados no domínio
O contêiner de computadores, que é o local padrão para novas contas de computador criadas no domínio
UO de Controladores de Domínio, que é o local padrão das contas de computador para as contas de computador de controladores de domínio
O proprietário da floresta controla esses contêineres padrão e as OUs.
Contêiner de domínio
O contêiner de domínio é o contêiner raiz da hierarquia de um domínio. Alterações nas políticas ou na ACL (lista de controle de acesso) neste contêiner poderão potencialmente ter impacto em todo o domínio. Não delegue o controle deste contêiner, ele deverá ser controlado pelos administradores do serviço.
Contêineres de usuários e computadores
Quando você executa uma atualização de domínio local do Windows Server 2003 para Windows Server 2008, os usuários e computadores existentes são colocados automaticamente nos contêineres de usuários e de computadores. Se você estiver criando um novo domínio do Active Directory, os contêineres de usuários e de computadores serão os locais padrão para todas as novas contas de usuários e contas de computadores que não sejam controladores de domínio no domínio.
Importante
Se for necessário delegar controle sobre usuários ou computadores, não modifique as configurações padrão nos contêineres de usuários e de computadores. Em vez disso, crie novas UOs (conforme necessário) e mova os objetos de usuário e de computador dos contêineres padrão para as novas UOs. Delegue controle sobre as novas UOs, conforme necessário. É recomendável não modificar quem controla os contêineres padrão.
Além disso, não será possível aplicar configurações de Política de Grupo aos contêineres padrão de usuários e de computadores. Para aplicar Política de Grupo a usuários e computadores, crie novas UOs e mova os objetos de usuário e de computador para essas UOs. Aplique as configurações de Política de Grupo às novas UOs.
Opcionalmente, você poderá redirecionar a criação de objetos que são colocados nos contêineres padrão para serem colocados nos contêineres de sua escolha.
Usuários e grupos bem conhecidos e contas internas
Por padrão, vários usuários e grupos bem conhecidos e contas internas são criados em um novo domínio. É recomendável que o gerenciamento dessas contas permaneça sob o controle dos administradores de serviços. Não delegue o gerenciamento dessas contas a um indivíduo que não seja um administrador de serviços. A tabela a seguir lista os usuários e os grupos bem conhecidos e as contas internas que devem permanecer sob o controle dos administradores de serviços.
| Usuários e grupos bem conhecidos | Contas internas |
|---|---|
| Editores de Certificados Controladores de Domínio Proprietários criadores de política de grupo KRBTGT Convidados do Domínio Administrador Administradores do domínio Administradores de esquema (somente domínio raiz da floresta) Administradores corporativos (somente domínio raiz da floresta) Usuários do Domínio |
Administrador Convidado Convidados Opers. de contas Administradores Operadores de cópia Criadores de confiança de floresta de entrada Operadores de Impressão Acesso compatível com versões anteriores ao Windows 2000 Operadores de Servidores Usuários |
UO do controlador de domínio
Quando os controladores de domínio são adicionados ao domínio, os respectivos objetos de computador são adicionados automaticamente à UO do controlador de domínio. Essa UO tem um conjunto padrão de políticas aplicadas a ela. Para garantir que essas políticas sejam aplicadas uniformemente a todos os controladores de domínio, é recomendável não mover os objetos de computador dos controlador de domínio para fora desta UO. Não aplicar as políticas padrão poderá causar uma falha no funcionamento do controlador de domínio.
Por padrão, os administradores de serviços controlam essa UO. Não delegue o controle dessa UO a indivíduos que não sejam os administradores de serviços.