Mendelegasikan Administrasi OU Akun dan OU Sumber Daya
Berlaku untuk: Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012
Unit organisasi akun (OU) berisi objek pengguna, grup, dan komputer. OU sumber daya berisi sumber daya dan akun yang bertanggung jawab untuk mengelola sumber daya tersebut. Pemilik forest bertanggung jawab untuk membuat struktur OU untuk mengelola objek dan sumber daya ini dan untuk mendelegasikan kontrol struktur tersebut kepada pemilik OU.
Mendelegasikan administrasi OU akun
Mendelegasikan struktur unit organisasi akun ke administrator data jika mereka perlu membuat dan memodifikasi objek pengguna, grup, dan komputer. Struktur OU akun adalah subtree OU untuk setiap jenis akun yang harus dikontrol secara independen. Misalnya, pemilik unit organisasi dapat mendelegasikan kontrol tertentu ke berbagai administrator data melalui OU anak di OU akun untuk pengguna, komputer, grup, dan akun layanan.
Ilustrasi berikut menunjukkan salah satu contoh struktur unit organisasi akun.
Tabel berikut ini mencantumkan dan menjelaskan kemungkinan OU anak yang bisa Anda buat dalam struktur unit organisasi akun.
| OU | Kegunaan |
|---|---|
| Pengguna | Berisi akun pengguna untuk personel nonadministratif. |
| Akun Layanan | Beberapa layanan yang memerlukan akses ke sumber daya jaringan berjalan sebagai akun pengguna. Unit organisasi ini dibuat untuk memisahkan akun pengguna layanan dari akun pengguna yang terkandung dalam OU pengguna. Selain itu, menempatkan berbagai jenis akun pengguna di OU terpisah memungkinkan Anda mengelolanya sesuai dengan persyaratan administratif spesifik mereka. |
| Komputer | Berisi akun untuk komputer selain pengendali domain. |
| Grup | Berisi grup semua jenis kecuali untuk grup administratif, yang dikelola secara terpisah. |
| Admin | Berisi akun pengguna dan grup untuk administrator data dalam struktur unit organisasi akun untuk memungkinkan mereka dikelola secara terpisah dari pengguna reguler. Aktifkan audit untuk unit organisasi ini sehingga Anda dapat melacak perubahan pada pengguna dan grup administratif. |
Ilustrasi berikut menunjukkan salah satu contoh desain grup administratif untuk struktur unit organisasi akun.
Grup yang mengelola OU anak diberikan kontrol penuh hanya atas kelas objek tertentu yang bertanggung jawab untuk mereka kelola.
Jenis grup yang Anda gunakan untuk mendelegasikan kontrol dalam struktur OU didasarkan pada tempat akun berada relatif terhadap struktur OU yang akan dikelola. Jika akun pengguna admin dan struktur unit organisasi semuanya ada dalam satu domain, grup yang Anda buat untuk digunakan untuk delegasi harus merupakan grup global. Jika organisasi Anda memiliki departemen yang mengelola akun penggunanya sendiri dan ada di lebih dari satu wilayah geografis, Anda mungkin memiliki sekelompok administrator data yang bertanggung jawab untuk mengelola OU akun di lebih dari satu domain. Jika akun administrator data semuanya ada dalam satu domain dan Anda memiliki struktur OU di beberapa domain tempat Anda perlu mendelegasikan kontrol, buat akun administratif tersebut anggota grup global dan delegasikan kontrol struktur OU di setiap domain ke grup global tersebut. Jika akun administrator data tempat Anda mendelegasikan kontrol struktur OU berasal dari beberapa domain, Anda harus menggunakan grup universal. Grup universal dapat berisi pengguna dari domain yang berbeda, dan oleh karena itu, mereka dapat digunakan untuk mendelegasikan kontrol di beberapa domain.
Mendelegasikan administrasi OU sumber daya
OU sumber daya digunakan untuk mengelola akses ke sumber daya. Pemilik unit organisasi sumber daya membuat akun komputer untuk server yang digabungkan ke domain yang menyertakan sumber daya seperti berbagi file, database, dan printer. Pemilik unit organisasi sumber daya juga membuat grup untuk mengontrol akses ke sumber daya tersebut.
Ilustrasi berikut menunjukkan dua lokasi yang mungkin untuk unit organisasi sumber daya.
Unit organisasi sumber daya dapat terletak di bawah akar domain atau sebagai unit organisasi anak dari OU akun yang sesuai dalam hierarki administratif OU. OU sumber daya tidak memiliki OU anak standar. Komputer dan grup ditempatkan langsung di unit organisasi sumber daya.
Pemilik unit organisasi sumber daya memiliki objek dalam unit organisasi tetapi tidak memiliki kontainer OU itu sendiri. Pemilik Unit Organisasi Sumber Daya hanya mengelola objek komputer dan grup; mereka tidak dapat membuat kelas objek lain dalam OU, dan mereka tidak dapat membuat OU anak.
Catatan
Pembuat atau pemilik objek memiliki kemampuan untuk mengatur daftar kontrol akses (ACL) pada objek terlepas dari izin yang diwariskan dari kontainer induk. Jika pemilik unit organisasi sumber daya dapat mengatur ulang ACL pada unit organisasi, pemilik tersebut dapat membuat kelas objek apa pun di OU, termasuk pengguna. Untuk alasan ini, pemilik unit organisasi sumber daya tidak diizinkan untuk membuat OU.
Untuk setiap unit organisasi sumber daya di domain, buat grup global untuk mewakili administrator data yang bertanggung jawab untuk mengelola konten unit organisasi. Grup ini memiliki kontrol penuh atas objek grup dan komputer di OU tetapi tidak melalui kontainer OU itu sendiri.
Ilustrasi berikut menunjukkan desain grup administratif untuk unit organisasi sumber daya.
Menempatkan akun komputer ke dalam unit organisasi sumber daya memberi pemilik unit organisasi kontrol atas objek akun tetapi tidak menjadikan pemilik unit organisasi sebagai administrator komputer. Di domain Direktori Aktif, grup Admin Domain adalah, secara default, ditempatkan di grup Administrator lokal di semua komputer. Artinya, administrator layanan memiliki kontrol atas komputer tersebut. Jika pemilik unit organisasi sumber daya memerlukan kontrol administratif atas komputer di OU mereka, pemilik forest dapat menerapkan Kebijakan Grup Grup Terbatas untuk menjadikan pemilik OU sumber daya sebagai anggota grup Administrator di komputer di unit organisasi tersebut.