委派預設容器與 OU 的管理

每個 Active Directory 網域都包含了一組標準的容器和組織單位 (OU)，這些容器和組織單位是在安裝 Active Directory Domain Services (AD DS) 期間建立的。其中包括下列各項：

樹系擁有者會控制這些預設的容器和 OU。

網域容器

網域容器是網域階層的根容器。對此容器上的原則或存取控制清單 (ACL) 的變更可能會對整個網域造成影響。請勿委派對此容器的控制權；它必須由服務管理員控制。

當您執行 Windows Server 2003 到 Windows Server 2008 的就地網域升級時，現有的使用者和電腦會自動放入使用者和電腦容器中。如果您要建立新的 Active Directory 網域，則使用者和電腦容器是網域中所有新使用者帳戶和非網域控制站電腦帳戶的預設位置。

重要

如果您需要委派對使用者或電腦的控制權，請勿修改使用者和電腦容器上的預設設定。相反地，請建立新的 OU (視需要)，並將使用者和電腦物件從其預設容器移至新的 OU 中。視需要委派對新 OU 的控制權。建議您不要修改控制預設容器的人。

此外，您無法將「群組原則」設定套用至預設的使用者和電腦容器。若要將「群組原則」套用至使用者和電腦，請建立新的 OU，並將使用者和電腦物件移至這些 OU 中。將「群組原則」設定套用至新的 OU。

您可以選擇性將放置在預設容器中的物件建立作業重新導向到您選擇的容器中。

根據預設，會在新的網域中建立數個已知的使用者和群組以及內建帳戶。我們建議這些帳戶的管理作業仍由服務管理員控制。請勿將這些帳戶的管理作業委派給不是服務管理員的個人。下表列出需要保持在服務管理員控制之下的已知使用者和群組以及內建帳戶。

已知的使用者和群組	內建帳戶
Cert Publishers 網域控制站 Group Policy Creator Owners KRBTGT 網域來賓管理員 Domain Admins Schema Admins (僅限樹系根網域) Enterprise Admins (僅限樹系根網域) 網域使用者	管理員來賓來賓 Account Operators 管理員 Backup Operators Incoming Forest Trust Builders Print Operators Pre-Windows 2000 Compatible Access Server Operators 使用者

已知的使用者和群組

內建帳戶

Cert Publishers

網域控制站

Group Policy Creator Owners

KRBTGT

網域來賓

管理員

Domain Admins

Schema Admins (僅限樹系根網域)

Enterprise Admins (僅限樹系根網域)

網域使用者

管理員

來賓

Account Operators

管理員

Backup Operators

Incoming Forest Trust Builders

Print Operators

Pre-Windows 2000 Compatible Access

Server Operators

使用者

將網域控制站新增至網域時，其電腦物件會自動新增至網域控制站 OU 中。此 OU 已套用一組預設的原則。為了確保這些原則會統一套用至所有網域控制站，我們建議您不要將網域控制站的電腦物件移出此 OU。無法套用預設的原則可能會導致網域控制站無法正常運作。

根據預設，服務管理員會控制此 OU。請勿將此 OU 的控制權委派給服務管理員以外的個人。