Délégation de l’administration des unités d’organisation de comptes et de ressources
S’applique à : Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012
Les unités d’organisation de comptes contiennent des objets utilisateur, groupe et ordinateur. Les unités d’organisation de ressources contiennent des ressources et les comptes chargés de les gérer. Le propriétaire de la forêt est chargé de créer une structure d’unité d’organisation pour gérer ces objets et ressources, ainsi que de déléguer le contrôle de cette structure au propriétaire de l’unité d’organisation.
Délégation de l’administration des unités d’organisation de comptes
Déléguez une structure d’unité d’organisation de comptes aux administrateurs de données s’ils doivent créer et modifier des objets utilisateur, groupe et ordinateur. La structure d’unité d’organisation de comptes est une sous-arborescence d’unités d’organisation pour chaque type de compte qui doit être contrôlé indépendamment. Par exemple, le propriétaire de l’unité d’organisation peut déléguer un contrôle spécifique à différents administrateurs de données sur les unités d’organisation enfants dans une unité d’organisation de comptes pour les utilisateurs, les ordinateurs, les groupes et les comptes de service.
L’illustration suivante montre un exemple de structure d’unité d’organisation de comptes.
Le tableau suivant répertorie et décrit les unités d’organisation enfants possibles que vous pouvez créer dans une structure d’unité d’organisation de comptes.
| OU | Objectif |
|---|---|
| Utilisateurs | Contient des comptes d’utilisateur pour le personnel sans rôle d’administrateur. |
| Comptes de service | Certains services qui nécessitent l’accès aux ressources réseau s’exécutent en tant que comptes d’utilisateur. Cette unité d’organisation est créée pour séparer les comptes d’utilisateur de services des comptes d’utilisateur contenus dans l’unité d’organisation des utilisateurs. En outre, le fait de placer les différents types de comptes d’utilisateur dans des unités d’organisation distinctes permet de les gérer en fonction des besoins administratifs spécifiques. |
| Ordinateurs | Contient des comptes pour les ordinateurs autres que les contrôleurs de domaine. |
| Groupes | Contient des groupes de tous types, à l’exception des groupes d’administration, qui sont gérés séparément. |
| Administrateurs | Contient des comptes d’utilisateur et de groupe pour les administrateurs de données dans la structure d’unité d’organisation de comptes qui permettent de les gérer séparément des utilisateurs standard. Activez l’audit pour cette unité d’organisation afin de pouvoir suivre les modifications apportées aux utilisateurs et groupes administratifs. |
L’illustration suivante montre un exemple de conception de groupe d’administration pour une structure d’unité d’organisation de comptes.
Les groupes qui gèrent les unités d’organisation enfants bénéficient d’un contrôle total uniquement sur la classe d’objets spécifique qu’ils sont chargés de gérer.
Les types de groupes que vous utilisez pour déléguer le contrôle au sein d’une structure d’unité d’organisation sont basés sur l’emplacement des comptes par rapport à la structure d’unité d’organisation qui doit être gérée. Si les comptes d’utilisateur administrateur et la structure d’unité d’organisation existent tous au sein d’un domaine unique, les groupes que vous créez pour la délégation doivent être globaux. Si votre organisation dispose d’un service qui gère ses propres comptes d’utilisateur et existe dans plusieurs régions géographiques, un groupe d’administrateurs de données peut être chargé de la gestion des unités d’organisation de comptes dans plusieurs domaines. Si les comptes des administrateurs de données existent tous dans un domaine unique et que vous devez déléguer le contrôle à des structures d’unité d’organisation dans plusieurs domaines, faites de ces comptes d’administration des membres de groupes globaux et déléguez le contrôle des structures d’unité d’organisation de chaque domaine à ces groupes globaux. Si les comptes d’administrateurs de données auxquels vous déléguez le contrôle d’une structure d’unité d’organisation font partie de plusieurs domaines, vous devez utiliser un groupe universel. Les groupes universels peuvent contenir des utilisateurs de différents domaines. Par conséquent, ils peuvent être utilisés pour déléguer le contrôle dans plusieurs domaines.
Délégation de l’administration des unités d’organisation de ressources
Les unités d’organisation de ressources sont utilisées pour gérer l’accès aux ressources. Le propriétaire de l’unité d’organisation de ressources crée des comptes d’ordinateur pour les serveurs qui sont joints au domaine comprenant des ressources comme des partages de fichiers, des bases de données et des imprimantes. Le propriétaire de l’unité d’organisation de ressources crée également des groupes pour contrôler l’accès à ces ressources.
L’illustration suivante montre les deux emplacements possibles pour l’unité d’organisation de ressources.
L’unité d’organisation de ressources peut se trouver sous la racine du domaine ou en tant qu’unité d’organisation enfant de l’unité d’organisation de comptes correspondant dans la hiérarchie administrative de l’unité d’organisation. Les unités d’organisation de ressources n’ont pas d’unités d’organisation enfants standard. Les ordinateurs et les groupes sont placés directement dans l’unité d’organisation de ressources.
Le propriétaire de l’unité d’organisation de ressources est propriétaire des objets au sein de l’unité d’organisation, mais pas du conteneur d’unité d’organisation lui-même. Les propriétaires de l’unité d’organisation de ressources gèrent uniquement les objets d’ordinateur et de groupe. Ils ne peuvent pas créer d’autres classes d’objets au sein de l’unité d’organisation ni d’unités d’organisation enfants.
Remarque
Le créateur ou le propriétaire d’un objet peut définir la liste de contrôle d’accès (ACL) sur l’objet, quelles que soient les autorisations héritées du conteneur parent. Si un propriétaire d’unité d’organisation de ressources peut réinitialiser la liste de contrôle d’accès sur une unité d’organisation, il peut créer toute classe d’objet dans l’unité d’organisation, notamment des utilisateurs. C’est pourquoi les propriétaires d’unité d’organisation de ressources ne sont pas autorisés à créer des unités d’organisation.
Pour chaque unité d’organisation de ressources dans le domaine, créez un groupe global pour représenter les administrateurs de données qui sont chargés de gérer le contenu de l’unité d’organisation. Ce groupe dispose d’un contrôle total sur les objets de groupe et d’ordinateur dans l’unité d’organisation, mais pas sur le conteneur d’unité d’organisation lui-même.
L’illustration suivante montre la conception de groupe d’administration pour une unité d’organisation de ressources.
En plaçant les comptes d’ordinateur dans une unité d’organisation de ressources, le propriétaire de l’unité d’organisation peut contrôler les objets de compte, mais il ne devient pas un administrateur des ordinateurs. Dans un domaine Active Directory, le groupe Administrateurs de domaine est placé par défaut dans le groupe Administrateurs local sur tous les ordinateurs. Autrement dit, les administrateurs de services contrôlent ces ordinateurs. Si les propriétaires de l’unité d’organisation de ressources ont besoin d’un contrôle administratif sur les ordinateurs de leurs unités d’organisation, le propriétaire de la forêt peut appliquer une stratégie de groupe Groupes restreints pour que le propriétaire de l’unité d’organisation de ressources devienne membre du groupe Administrateurs sur les ordinateurs de cette unité d’organisation.