Délégation de l’administration des conteneurs et unités d’organisation par défaut
S’applique à : Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012
Chaque domaine Active Directory contient un ensemble standard de conteneurs et d’unités d’organisation qui sont créés lors de l’installation d’AD DS. Elles sont associées aux limitations suivantes :
Conteneur de domaine, qui sert de conteneur racine à la hiérarchie
Conteneur intégré, qui contient les comptes d’administrateur de service par défaut
Conteneur Utilisateurs, qui est l’emplacement par défaut pour les nouveaux comptes d’utilisateur et les groupes créés dans le domaine
Conteneur Ordinateurs, qui est l’emplacement par défaut pour les nouveaux comptes d’ordinateurs créés dans le domaine
Unité d’organisation des contrôleurs de domaine, qui est l’emplacement par défaut pour les comptes d’ordinateur des contrôleurs de domaine
Le propriétaire de la forêt contrôle ces conteneurs et unités d’organisation par défaut.
Conteneur de domaine
Le conteneur de domaine est le conteneur racine de la hiérarchie d’un domaine. Les modifications apportées aux stratégies ou à la liste de contrôle d’accès (ACL) sur ce conteneur peuvent avoir un impact à l’échelle du domaine. Ne déléguez pas le contrôle de ce conteneur ; il doit être contrôlé par les administrateurs de service.
Conteneurs d’utilisateurs et d’ordinateurs
Lorsque vous effectuez une mise à niveau de domaine sur place de Windows Server 2003 vers Windows Server 2008 , les utilisateurs et ordinateurs existants sont automatiquement placés dans les conteneurs d’utilisateurs et d’ordinateurs. Si vous créez un nouveau domaine Active Directory, les conteneurs d’utilisateurs et d’ordinateurs sont les emplacements par défaut pour tous les nouveaux comptes d’utilisateur et comptes d’ordinateurs non-contrôleurs de domaine dans le domaine.
Important
Si vous devez déléguer le contrôle sur les utilisateurs ou les ordinateurs, ne modifiez pas les paramètres par défaut sur les conteneurs d’utilisateurs et d’ordinateurs. Au lieu de cela, créez de nouvelles unités d’organisation (si nécessaire) et déplacez les objets utilisateur et ordinateur de leurs conteneurs par défaut vers les nouvelles unités d’organisation. Déléguez le contrôle sur les nouvelles unités d’organisation, si nécessaire. Nous vous recommandons de ne pas modifier les personnes qui contrôlent les conteneurs par défaut.
En outre, vous ne pouvez pas appliquer les paramètres Stratégie de groupe aux conteneurs d’utilisateurs et d’ordinateurs par défaut. Pour appliquer Stratégie de groupe aux utilisateurs et aux ordinateurs, créez de nouvelles unités d’organisation et déplacez les objets utilisateur et ordinateur dans ces unités d’organisation. Appliquez les paramètres Stratégie de groupe aux nouvelles unités d’organisation.
Si vous le souhaitez, vous pouvez rediriger la création d’objets placés dans les conteneurs par défaut pour les placer dans les conteneurs de votre choix.
Utilisateurs et groupes connus et comptes intégrés
Par défaut, plusieurs utilisateurs et groupes connus, ainsi que des comptes intégrés, sont créés dans un nouveau domaine. Nous recommandons que la gestion de ces comptes reste sous le contrôle des administrateurs de service. Ne déléguez pas la gestion de ces comptes à une personne qui n’est pas administrateur de service. Le tableau suivant répertorie les utilisateurs et groupes connus et les comptes intégrés qui doivent rester sous le contrôle des administrateurs de service.
| Utilisateurs et groupes connus | Compte intégré |
|---|---|
| Éditeurs de certificats Contrôleurs de domaine Propriétaires créateurs de la stratégie de groupe KRBTGT Invités du domaine Administrateur Administrateurs du domaine Administrateurs de schéma (domaine racine de forêt uniquement) Administrateurs de schéma (domaine racine de forêt uniquement) Utilisateurs du domaine |
Administrateur Invité Invités Opérateurs de compte Administrateurs Opérateurs de sauvegarde Générateurs d’approbation de forêt entrante Opérateurs d'impression Accès compatible pré-Windows 2000 Opérateurs de serveur Utilisateurs |
Unité d’organisation du contrôleur de domaine
Lorsque des contrôleurs de domaine sont ajoutés au domaine, leurs objets ordinateur sont automatiquement ajoutés à l’unité d’organisation du contrôleur de domaine. Un ensemble de stratégies par défaut est appliqué à cette unité d’organisation. Pour vous assurer que ces stratégies sont appliquées uniformément à tous les contrôleurs de domaine, nous vous recommandons de ne pas déplacer les objets ordinateur des contrôleurs de domaine en dehors de cette unité d’organisation. Si vous n’appliquez pas les stratégies par défaut, vous risquez de causer le mauvais fonctionnement d’un contrôleur de domaine.
Par défaut, les administrateurs de service contrôlent cette unité d’organisation. Ne déléguez pas le contrôle de cette unité d’organisation à des personnes autres que les administrateurs de service.