Delegar la administración de unidades organizativas y contenedores predeterminados

Artículo
09/29/2022
Tiempo de lectura: 3 minutos

Se aplica a: Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2 y Windows Server 2012.

Cada dominio de Active Directory contiene un conjunto estándar de contenedores y unidades organizativas (UO) que se crean durante la instalación de Servicios de dominio de Active Directory (AD DS). Entre ellas, figuran:

Contenedor de dominio, que actúa como contenedor raíz a la jerarquía
Contenedor integrado, que contiene las cuentas de administrador de servicios predeterminadas
Contenedor de usuarios, que es la ubicación predeterminada para las nuevas cuentas de usuario y grupos creados en el dominio
Contenedor de equipos, que es la ubicación predeterminada para las nuevas cuentas de equipo creadas en el dominio
Unidad organizativa controladores de dominio, que es la ubicación predeterminada de las cuentas de equipo para las cuentas de equipo de controladores de dominio.

El propietario del bosque controla estos contenedores y unidades organizativas predeterminados.

Contenedor de dominio

El contenedor de dominios es el contenedor raíz de la jerarquía de un dominio. Los cambios en las directivas o en la lista de control de acceso (ACL) de este contenedor pueden tener un impacto en todo el dominio. No delegar el control de este contenedor; los administradores de servicios deben controlarlo.

Contenedores de usuarios y equipos

Al realizar una actualización de dominio local desde Windows Server 2003 a Windows Server 2008, los usuarios y equipos existentes se colocan automáticamente en los usuarios y los contenedores de equipos. Si va a crear un nuevo dominio de Active Directory, los contenedores de usuarios y equipos son las ubicaciones predeterminadas para todas las cuentas de usuario nuevas y las cuentas de equipo que no son de controlador de dominio en el dominio.

Importante

Si necesita delegar el control sobre usuarios o equipos, no modifique la configuración predeterminada en los contenedores de usuarios y equipos. En su lugar, cree nuevas UNIDADES organizativas (según sea necesario) y mueva los objetos de usuario y equipo de sus contenedores predeterminados y a las nuevas UNIDADES organizativas. Delegue el control sobre las nuevas UNIDADES organizativas, según sea necesario. Se recomienda no modificar quién controla los contenedores predeterminados.

Además, no se puede aplicar directiva de grupo configuración a los contenedores de usuarios y equipos predeterminados. Para aplicar directiva de grupo a usuarios y equipos, cree nuevas unidades organizativas y mueva los objetos de usuario y equipo a esas unidades organizativas. Aplique la configuración de directiva de grupo a las nuevas unidades organizativas.

Opcionalmente, puede redirigir la creación de objetos que se colocan en los contenedores predeterminados que se colocarán en contenedores de su elección.

Usuarios y grupos conocidos y cuentas integradas

De forma predeterminada, se crean varios usuarios y grupos conocidos y cuentas integradas en un nuevo dominio. Se recomienda que la administración de estas cuentas permanezca bajo el control de los administradores de servicios. No delegue la administración de estas cuentas a una persona que no sea administrador de servicios. En la tabla siguiente se enumeran los usuarios y grupos conocidos y las cuentas integradas que deben permanecer bajo el control de los administradores de servicios.

Usuarios y grupos conocidos	Cuentas integradas
Publicadores de certificados Controladores de dominio Propietarios del creador de directivas de grupo KRBTGT Invitados del dominio Administrador Administradores de dominio Administradores de esquemas (solo dominio raíz del bosque) administradores de Enterprise (solo dominio raíz del bosque) Usuarios del dominio	Administrador Invitado Invitados Operadores de cuentas Administradores Operadores de copias de seguridad Creadores de confianza de bosque de entrada Operadores de impresión Acceso compatible con versiones anteriores de Windows 2000 Operadores de servidores Usuarios

Usuarios y grupos conocidos

Cuentas integradas

Publicadores de certificados

Controladores de dominio

Propietarios del creador de directivas de grupo

KRBTGT

Invitados del dominio

Administrador

Administradores de dominio

Administradores de esquemas (solo dominio raíz del bosque)

administradores de Enterprise (solo dominio raíz del bosque)

Usuarios del dominio

Administrador

Invitado

Invitados

Operadores de cuentas

Administradores

Operadores de copias de seguridad

Creadores de confianza de bosque de entrada

Operadores de impresión

Acceso compatible con versiones anteriores de Windows 2000

Operadores de servidores

Usuarios

Unidad organizativa del controlador de dominio

Cuando se agregan controladores de dominio al dominio, sus objetos de equipo se agregan automáticamente a la unidad organizativa del controlador de dominio. Esta unidad organizativa tiene un conjunto predeterminado de directivas aplicadas. Para asegurarse de que estas directivas se aplican uniformemente a todos los controladores de dominio, se recomienda no mover los objetos de equipo de los controladores de dominio fuera de esta unidad organizativa. Si no se aplican las directivas predeterminadas, un controlador de dominio no funciona correctamente.

De forma predeterminada, los administradores de servicios controlan esta unidad organizativa. No delegue el control de esta unidad organizativa a usuarios distintos de los administradores de servicios.