委派默认容器和 OU 管理
每个 Active Directory 域都包含一组标准容器和组织单位 (OU),这些容器和组织单位在安装 Active Directory 域服务 (AD DS) 期间创建。 其中包括:
域容器,用作层次结构的根容器
内置容器,用于保存默认服务管理员帐户
用户容器,这是域中创建的新用户帐户和组的默认位置
计算机容器,这是域中创建的新计算机帐户的默认位置
域控制器 OU,这是域控制器计算机帐户的默认位置
林所有者控制着这些默认容器和 OU。
域容器
域容器是域层次结构的根容器。 更改此容器上的策略或访问控制列表 (ACL) 可能会对整个域产生影响。 请勿委派此容器的控制权;它必须由服务管理员控制。
用户和计算机容器
执行从 Windows Server 2003 到 Windows Server 2008 的就地域升级时,现有用户和计算机会自动放入用户和计算机容器中。 如果要创建新的 Active Directory 域,则用户和计算机容器是域中所有新用户帐户和非域控制器计算机帐户的默认位置。
重要
如果需要对用户或计算机委派控制权,请不要修改用户和计算机容器上的默认设置。 请改为创建新的 OU(根据需要),并将用户和计算机对象从其默认容器移动到新的 OU 中。 根据需要对新 OU 委派控制权。 建议不要修改控制默认容器的人员。
此外,不能将组策略设置应用于默认用户和计算机容器。 若要将组策略应用于用户和计算机,请创建新的 OU 并将用户和计算机对象移动到这些 OU 中。 将组策略设置应用于新 OU。
(可选)可以重定向默认容器中的对象创建,以将对象放置在所选容器中。
已知用户和组以及内置帐户
默认情况下,将在新域中创建多个已知用户和组以及内置帐户。 建议对这些帐户的管理仍由服务管理员控制。 不要将这些帐户的管理委派给不是服务管理员的个人。 下表列出了需要继续由服务管理员控制的已知用户和组以及内置帐户。
| 已知用户和组 | 内置帐户 |
|---|---|
| Cert Publishers 域控制器 Group Policy Creator Owners KRBTGT Domain Guests 管理员 域管理员 架构管理员(仅限林根域) 企业管理员(仅限林根域) 域用户 |
管理员 来宾 来宾 Account Operators 管理员 备份操作员 Incoming Forest Trust Builders 打印操作员 Pre-Windows 2000 Compatible Access Server Operators 用户 |
域控制器 OU
将域控制器添加到域后,其计算机对象会自动添加到域控制器 OU。 此 OU 应用了一组默认策略。 为了确保将这些策略统一应用于所有域控制器,建议不要将域控制器的计算机对象移出此 OU。 未能应用默认策略可能会导致域控制器无法正常工作。
默认情况下,服务管理员控制此 OU。 不要将此 OU 的控制权委派给服务管理员以外的个人。