委派帐户 OU 和资源 OU 管理
帐户组织单位 (OU) 包含用户、组和计算机对象。 资源 OU 包含资源和负责管理这些资源的帐户。 林所有者负责创建 OU 结构来管理这些对象和资源,并将该结构的控制权委派给 OU 所有者。
委派帐户 OU 的管理
如果数据管理员需要创建和修改用户、组和计算机对象,可以将帐户 OU 结构委派给他们。 帐户 OU 结构是每个帐户类型的、必须独立控制的 OU 的子树。 例如,OU 所有者可以将对用户、计算机、组和服务帐户的帐户 OU 中子 OU 的特定控制权委派给不同的数据管理员。
下图显示了一个帐户 OU 结构示例。
下表列出并描述了可在帐户 OU 结构中创建的子 OU。
| OU | 目的 |
|---|---|
| 用户 | 包含非管理人员的用户帐户。 |
| 服务帐户 | 某些需要访问网络资源的服务以用户帐户形式运行。 创建此 OU 的目的是将服务用户帐户与用户 OU 中包含的用户帐户分开。 此外,将不同类型的用户帐户放入不同的 OU 可以根据其特定管理要求对其进行管理。 |
| 电脑 | 包含除域控制器以外的计算机的帐户。 |
| 组 | 包含除管理组(单独进行管理)以外的所有类型的组。 |
| 管理员 | 在帐户 OU 结构中包含数据管理员的用户和组帐户,以便可以将他们与普通用户分开管理。 为此 OU 启用审核,以便可以跟踪对管理用户和组的更改。 |
下图显示了帐户 OU 结构的一个管理组设计示例。
管理子 OU 的组只对他们负责管理的特定对象类拥有完全控制权。
用于在 OU 结构内委派控制权的组类型取决于帐户相对于要管理的 OU 结构的位置。 如果管理员用户帐户和 OU 结构全部在单个域中,则你创建的用于委派的组必须是全局组。 如果组织设立了一个可管理自身用户帐户的部门并且在多个地理区域运营,则可能有一个数据管理员组会负责管理多个域中的帐户 OU。 如果数据管理员的帐户全部在单个域中,并且你要向其委派控制权的多个域中具有 OU 结构,请将这些管理帐户设为全局组的成员,并将每个域中 OU 结构的控制权委派给这些全局组。 如果你要向其委派 OU 结构控制权的数据管理员帐户来自多个域,则必须使用通用组。 通用组可以包含来自不同域的用户,因此,可用于在多个域中委派控制权。
委派资源 OU 的管理
资源 OU 用于管理对资源的访问。 资源 OU 所有者为加入域的服务器创建计算机帐户,这些服务器包含文件共享、数据库和打印机等资源。 资源 OU 所有者还会创建组来控制对这些资源的访问。
下图显示了资源 OU 的两个可能位置。
资源 OU 可以位于域根下,也可以作为 OU 管理层次结构中相应帐户 OU 的子 OU。 资源 OU 没有任何标准的子 OU。 计算机和组直接放在资源 OU 中。
资源 OU 所有者拥有该 OU 中的对象,但不拥有 OU 容器本身。 资源 OU 所有者只能管理计算机和组对象;他们不能在 OU 中创建其他对象类,也不能创建子 OU。
注意
对象的创建者或所有者可以针对该对象设置访问控制列表 (ACL),而不管从父容器继承的权限如何。 如果资源 OU 所有者可以重置该 OU 的 ACL,则该所有者可以在该 OU 中创建任何对象类,包括用户。 出于此原因,不允许资源 OU 所有者创建 OU。
对于域中的每个资源 OU,请创建一个全局组来代表负责管理 OU 内容的数据管理员。 该组对该 OU 中的组和计算机对象拥有完全控制权,但对 OU 容器本身不拥有完全控制权。
下图显示了资源 OU 的管理组设计。
将计算机帐户放入资源 OU 可为 OU 所有者提供对帐户对象的控制权,但不会使 OU 所有者成为计算机的管理员。 在 Active Directory 域中,域管理员组默认会放入所有计算机上的本地管理员组中。 也就是说,服务管理员对这些计算机拥有控制权。 如果资源 OU 所有者需要对其 OU 中的计算机拥有管理控制权,则林所有者可以应用受限组组策略,使资源 OU 所有者成为该 OU 中计算机上的管理员组成员。