Création d’une conception d’unité d’organisation
S’applique à : Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012
Les propriétaires de forêt sont responsables de la création de conceptions d’unités d’organisation pour leurs domaines. La création d’une conception d’unité d’organisation implique la conception de la structure de l’unité d’organisation, l’attribution du rôle propriétaire de l’unité d’organisation et la création d’unités d’organisation de compte et de ressources.
Vous devrez initialement concevoir votre structure d’unité d’organisation pour permettre la délégation d’administration. Une fois la conception de l’unité d’organisation terminée, vous pouvez créer des structures d’unité d’organisation supplémentaires pour l’application de stratégie de groupe aux utilisateurs et aux ordinateurs et limiter la visibilité des objets. Pour plus d’informations, voir Conception de l’infrastructure des stratégies de groupe.
Rôle propriétaire de l’unité d’organisation
Le propriétaire de la forêt désigne un propriétaire d’unité d’organisation pour chaque unité d’organisation que vous concevez pour le domaine. Les propriétaires d’unité d’organisation sont des gestionnaires de données qui contrôlent une sous-arborescence d’objets dans AD DS (Active Directory Domain Services). Les propriétaires d’unité d’organisation peuvent contrôler la façon dont l’administration est déléguée et comment la stratégie est appliquée aux objets au sein de leur unité d’organisation. Ils peuvent également créer de nouvelles sous-arborescences et déléguer l’administration des unités d’organisation au sein de ces sous-arborescences.
Étant donné que les propriétaires de l’unité d’organisation ne possèdent pas ou ne contrôlent pas le fonctionnement du service de répertoire, vous pouvez séparer la propriété et l’administration du service de répertoire de la propriété et de l’administration des objets, ce qui réduit le nombre d’administrateurs de service avec des niveaux d’accès élevés.
Les unités d’organisation fournissent l’autonomie administrative et les moyens de contrôler la visibilité des objets dans le répertoire. Les unités d’organisation permettent de s’isoler des autres administrateurs de données, mais elles ne fournissent pas des administrateurs de service. Bien que les propriétaires d’unités d’organisation contrôlent une sous-arborescence d’objets, le propriétaire de la forêt conserve le contrôle total sur toutes les sous-arborescences. Cela permet au propriétaire de la forêt de corriger les erreurs, telles qu’une erreur dans une liste de contrôle d’accès (ACL) et de récupérer des sous-arborescences déléguées lorsque les administrateurs de données sont congédiés.
Unités d’organisation de compte et unités d’organisation de ressources
Les unités d’organisation de compte contiennent des objets utilisateur, groupe et ordinateur. Les propriétaires de forêt doivent créer une structure d’unité d’organisation pour gérer ces objets, puis déléguer le contrôle de la structure au propriétaire de l’unité d’organisation. Si vous déployez un nouveau domaine AD DS, créez une unité d’organisation de compte pour le domaine afin de pouvoir déléguer le contrôle des comptes dans le domaine.
Les unités d’organisation de ressources contiennent des ressources et les comptes responsables de la gestion de ces ressources. Le propriétaire de la forêt est également chargé de créer une structure d’unité d’organisation pour gérer ces ressources et de déléguer le contrôle de cette structure au propriétaire de l’unité d’organisation. Créez des unités d’organisation de ressources en fonction des besoins de chaque groupe au sein de votre organisation pour une autonomie dans la gestion des données et de l’équipement.
Documentation de la conception de l’unité d’organisation pour chaque domaine
Assemblez une équipe pour concevoir la structure d’unité d’organisation que vous utilisez pour déléguer le contrôle des ressources au sein de la forêt. Le propriétaire de la forêt peut être impliqué dans le processus de conception et doit approuver la conception de l’unité d’organisation. Vous pouvez également impliquer au moins un administrateur de service pour vous assurer que la conception est valide. D’autres participants à l’équipe de conception peuvent inclure les administrateurs de données qui travailleront sur les unités d’organisation et les propriétaires d’unités d’organisation qui seront responsables de leur gestion.
Il est important de documenter votre conception d’unité d’organisation. Répertoriez les noms des unités d’organisation que vous envisagez de créer. Et, pour chaque unité d’organisation, documentez son type, son propriétaire, l’unité d’organisation parente (le cas échéant) et l’origine de cette unité d’organisation.
Pour obtenir une feuille de calcul qui vous aide à documenter votre conception d’unité d’organisation, téléchargez Job_Aids_Designing_and_Deploying_Directory_and_Security_Services.zip à partir du Kit d’aides de tâches de déploiement pour Windows Server 2003 et ouvrez « Identification des unités d’organisation pour chaque domaine » (DSSLOGI_9.doc).