Delegar la administración de unidades organizativas y contenedores predeterminados
Cada dominio de Active Directory contiene un conjunto estándar de contenedores y unidades organizativas (UO) que se crean durante la instalación de Active Directory Domain Services (AD DS). Entre ellas, se incluyen las siguientes:
Contenedor de dominio, que actúa como contenedor raíz en la jerarquía
Contenedor integrado, que contiene las cuentas de administrador de servicios predeterminadas
Contenedor de usuarios, que es la ubicación predeterminada para las nuevas cuentas de usuario y los grupos creados en el dominio.
Contenedor de equipos, que es la ubicación predeterminada para las nuevas cuentas de equipos creadas en el dominio.
Unidad organizativa de controladores de dominio, que es la ubicación predeterminada de las cuentas de equipos de los controladores de dominio
El propietario del bosque controla estas unidades organizativas y contenedores predeterminados.
Contenedor de dominio
El contenedor de dominios es el contenedor raíz de la jerarquía de un dominio. Los cambios en las directivas o en la lista de control de acceso (ACL) de este contenedor pueden tener un impacto en todo el dominio. No delegue el control de este contenedor; lo deben controlar los administradores de servicios.
Contenedores de usuarios y de equipos
Al realizar la actualización de un dominio local desde Windows Server 2003 a Windows Server 2008, tanto los usuarios como los equipos existentes se colocan automáticamente en los contenedores de usuarios y de equipos. Si va a crear un dominio de Active Directory, los contenedores de usuarios y equipos son las ubicaciones predeterminadas para todas las cuentas de usuario nuevas y las cuentas de equipo que no son de controlador de dominio en el dominio.
Importante
Si necesita delegar el control sobre los usuarios o equipos, no modifique la configuración predeterminada en los contenedores de usuarios y equipos. En su lugar, cree unidades organizativas (según sea necesario) y mueva los objetos usuario y equipo de sus contenedores predeterminados a las nuevas unidades organizativas. Delegue el control sobre las nuevas unidades organizativas, según sea necesario. Se recomienda no modificar quiénes controlan los contenedores predeterminados.
Además, no se puede aplicar la configuración de directiva de grupo a los contenedores de usuarios y equipos predeterminados. Para aplicar una directiva de grupo a los usuarios y equipos, cree unidades organizativas y mueva los objetos usuario y equipo a ellas. Aplique la configuración de directiva de grupo a las nuevas unidades organizativas.
Opcionalmente, puede redirigir la creación de los objetos que se colocan en los contenedores predeterminados para que se coloquen en los contenedores que elija.
Usuarios y grupos conocidos y cuentas integradas
De forma predeterminada, en los dominios nuevos se crean varios usuarios y grupos conocidos y cuentas integradas. Se recomienda que la administración de estas cuentas permanezca bajo el control de los administradores de servicios. No delegue la administración de estas cuentas en ningún usuario que no sea administrador de servicios. En la tabla siguiente se enumeran los usuarios y grupos conocidos y las cuentas integradas que deben permanecer bajo el control de los administradores de servicios.
| Usuarios y grupos conocidos | Cuentas integradas |
|---|---|
| Publicadores de certificados Controladores de dominio Propietarios del creador de directivas de grupo KRBTGT Invitados del dominio Administrador Admins. del dominio Administradores de esquema (solo dominio raíz del bosque) Administradores de empresa (solo dominio raíz del bosque) Usuarios de dominio |
Administrador Invitado Invitados Operadores de cuentas Administradores Operadores de copias de seguridad Creadores de confianza de bosque de entrada Operadores de impresión Acceso compatible con versiones anteriores de Windows 2000 Operadores de servidores Usuarios |
Unidad organizativa Controlador de dominio
Cuando se agregan controladores de dominio al dominio, sus objetos de equipo se agregan automáticamente a la unidad organizativa Controlador de dominio. A esta unidad organizativa se le aplica un conjunto predeterminado de directivas. Para asegurarse de que estas directivas se aplican de forma uniforme a todos los controladores de dominio, se recomienda no sacar los objetos de equipo de los controladores de dominio de esta unidad organizativa. Si no se aplican las directivas predeterminadas, puede suceder que un controlador de dominio no funcione correctamente.
De forma predeterminada, los administradores del servicio controlan esta unidad organizativa. No delegue el control de esta unidad organizativa a usuarios que no sean los administradores de servicios.