Erstellen eines Organisationseinheitsentwurfs
Gilt für: Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012
Gesamtstrukturbesitzer sind für das Erstellen von Entwürfen für Organisationseinheiten (OE) für ihre Domänen zuständig. Das Erstellen eines OE-Entwurfs umfasst das Entwerfen der OE-Struktur, das Zuweisen der OE-Besitzerrolle und das Erstellen von Organisationseinheiten für Konten und Ressourcen.
Entwerfen Sie Ihre OE-Struktur zunächst so, dass Verwaltungsaufgaben delegiert werden können. Wenn der OE-Entwurf fertig ist, können Sie weitere OE-Strukturen erstellen, um Gruppenrichtlinien auf Benutzer und Computer anzuwenden und so die Sichtbarkeit von Objekten zu beschränken. Weitere Informationen finden Sie unter Entwerfen einer Infrastruktur für Gruppenrichtlinien.
Rolle „OE-Besitzer“
Der Gesamtstrukturbesitzer bestimmt einen OE-Besitzer für jede OE, die Sie für die Domäne entwerfen. OU-Besitzer sind Datenmanager, die eine Unterstruktur mit Objekten in Active Directory Domain Services (AD DS) kontrollieren. OU-Besitzer können steuern, wie die Verwaltung delegiert wird und wie Richtlinien auf Objekte innerhalb ihrer OE angewendet werden. Sie können auch neue Unterstrukturen erstellen und die Verwaltung von Organisationseinheiten innerhalb dieser Unterstrukturen delegieren.
Da OE-Besitzer Vorgänge des Verzeichnisdiensts weder besitzen noch kontrollieren, können Sie den Besitz und die Verwaltung des Verzeichnisdiensts von dem Besitz und der Verwaltung von Objekten trennen und die Anzahl der Dienstadministratoren reduzieren, die über hohe Zugriffsberechtigungen verfügen.
OEs bieten administrative Autonomie und die Möglichkeit zum Steuern der Sichtbarkeit von Objekten im Verzeichnis. OEs bieten Isolation von anderen Datenadministratoren, jedoch keine Isolation von Dienstadministratoren. Obwohl OE-Besitzer eine Unterstruktur mit Objekten kontrollieren, behält der Gesamtstrukturbesitzer die vollständige Kontrolle über alle Unterstrukturen. Dadurch kann der Gesamtstrukturbesitzer Fehler korrigieren, z. B. einen Fehler in einer Zugriffssteuerungsliste (ACL), und delegierte Unterstrukturen zurückfordern, wenn Datenadministratoren ihre Arbeit beenden.
Konto-OEs und Ressourcen-OEs
Konto-OEs enthalten Benutzer-, Gruppen- und Computerobjekte. Gesamtstrukturbesitzer müssen eine OE-Struktur erstellen, um diese Objekte zu verwalten, und dann die Kontrolle über der Struktur an den OE-Besitzer delegieren. Wenn Sie eine neue AD DS-Domäne bereitstellen, erstellen Sie eine Konto-OE für die Domäne, damit Sie die Kontrolle über die Konten in der Domäne delegieren können.
Ressourcen-OEs enthalten Ressourcen und die Konten, die für die Verwaltung dieser Ressourcen verantwortlich sind. Der Gesamtstrukturbesitzer ist auch für das Erstellen einer OE-Struktur zur Verwaltung dieser Ressourcen sowie für das Delegieren der Kontrolle über diese Struktur an den OE-Besitzer verantwortlich. Erstellen Sie Ressourcen-OEs nach Bedarf basierend auf den Anforderungen der einzelnen Gruppen innerhalb Ihrer Organisation, sodass Daten und Geräte autonom verwaltet werden können.
Dokumentieren des OE-Entwurfs für jede Domäne
Stellen Sie ein Team zusammen, um die OE-Struktur zu entwerfen, die Sie zum Delegieren der Kontrolle über Ressourcen innerhalb der Gesamtstruktur verwenden. Der Gesamtstrukturbesitzer kann am Entwurfsprozess beteiligt sein und muss den OE-Entwurf genehmigen. Sie können auch mindestens einen Dienstadministrator einbeziehen, um sicherzustellen, dass der Entwurf gültig ist. Andere Mitglieder des Entwurfsteams könnten beispielsweise die Datenadministratoren sein, die in den Organisationseinheiten arbeiten, und die OE-Besitzer, die für die Verwaltung verantwortlich sind.
Es ist wichtig, dass Sie Ihren OU-Entwurf dokumentieren. Führen Sie die Namen der Organisationseinheiten auf, die Sie erstellen möchten. Dokumentieren Sie für jede Organisationseinheit den OE-Typ, den OE-Besitzer, die übergeordnete OE (sofern zutreffend) und den Ursprung dieser OE.
Ein Arbeitsblatt, das Ihnen bei der Dokumentation Ihres OE-Entwurfs hilft, finden Sie hier: Job Aids for Windows Server 2003 Deployment Kit. Laden Sie die Datei „Job_Aids_Designing_and_Deploying_Directory_and_Security_Services.zip“ herunter, und öffnen Sie „Identifying OUs for Each Domain“ (DSSLOGI_9.doc).