创建组织单位设计
林所有者负责为其域创建组织单位 (OU) 设计。 创建 OU 设计涉及设计 OU 结构、分配 OU 所有者角色以及创建帐户和资源 OU。
最初,将 OU 结构设计为可执行管理委派。 该 OU 设计完成后,便可创建其他 OU 结构,向用户和计算机应用组策略,并限制对象的可见性。 有关详细信息,请参阅设计组策略基础结构。
OU 所有者角色
林所有者为你为域设计的每个 OU 指定一个 OU 所有者。 OU 所有者是控制 Active Directory 域服务 (AD DS) 中对象子树的数据管理员。 OU 所有者可以控制管理的委派方式,以及如何将策略应用于其 OU 中的对象。 他们还可以在这些子树中创建新子树和委派 OU 的管理。
由于 OU 所有者不拥有或控制目录服务的操作,因此可以将目录服务的所有权和管理与对象的所有权和管理分开,从而减少拥有较高访问权限的服务管理员的数量。
OU 提供管理自主权以及控制目录中对象可见性的方法。 OU 提供与其他数据管理员的隔离,但不提供与服务管理员的隔离。 尽管 OU 所有者可以控制对象的子树,但林所有者保有对所有子树的完全控制。 这使林所有者能够更正错误,例如访问控制列表中的错误 (ACL),并在数据管理员角色终止时回收委派的子树。
帐户 OU 和资源 OU
帐户 OU 包含用户、组和计算机对象。 林所有者必须创建 OU 结构来管理这些对象,然后将结构的控制权委派给 OU 所有者。 如果要部署新的 AD DS 域,请为域创建帐户 OU,以便可以委派对域中帐户的控制。
资源 OU 包含资源和负责管理这些资源的帐户。 林所有者还负责创建 OU 结构来管理这些资源,并将该结构的控制权委派给 OU 所有者。 根据组织内每个组的要求按需创建资源 OU,以实现数据和设备的自主管理。
记录每个域的 OU 设计
组建团队,设计用于委派对林中资源的控制权的 OU 结构。 林所有者可能会参与设计过程,且需要批准 OU 设计。 还可能会有至少一个服务管理员参与进来,以确保设计有效。 其他设计团队参与者可能包括处理 OU 的数据管理员和负责管理 OU 的 OU 所有者。
记录 OU 设计非常重要。 列出计划创建的 OU 的名称。 对于每个 OU,应记录 OU 的类型、OU 所有者、父级 OU(如适用),以及该 OU 的来源。
若需要借助工作表来记录 OU 设计,请从 Windows Server 2003 部署工具包的作业帮助下载 Job_Aids_Designing_and_Deploying_Directory_and_Security_Services.zip,然后打开“确定每个域的 OU”(DSSLOGI_9.doc)。