Mendelegasikan Administrasi Kontainer dan OU Default
Berlaku untuk: Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012
Setiap domain Direktori Aktif berisi sekumpulan kontainer standar dan unit organisasi (OU) yang dibuat selama penginstalan Active Directory Domain Services (AD DS). Manfaatnya meliputi:
Kontainer domain, yang berfungsi sebagai kontainer akar ke hierarki
Kontainer bawaan, yang menyimpan akun administrator layanan default
Kontainer pengguna, yang merupakan lokasi default untuk akun pengguna dan grup baru yang dibuat di domain
Kontainer komputer, yang merupakan lokasi default untuk akun komputer baru yang dibuat di domain
Domain Controllers OU, yang merupakan lokasi default untuk akun komputer untuk akun komputer pengendali domain
Pemilik forest mengontrol kontainer dan OU default ini.
Kontainer domain
Kontainer domain adalah kontainer akar hierarki domain. Perubahan pada kebijakan atau daftar kontrol akses (ACL) pada kontainer ini berpotensi memiliki dampak di seluruh domain. Jangan mendelegasikan kontrol kontainer ini; itu harus dikontrol oleh administrator layanan.
Kontainer pengguna dan komputer
Ketika Anda melakukan peningkatan domain di tempat dari Windows Server 2003 ke Windows Server 2008 , pengguna dan komputer yang ada secara otomatis ditempatkan ke dalam pengguna dan kontainer komputer. Jika Anda membuat domain Direktori Aktif baru, kontainer pengguna dan komputer adalah lokasi default untuk semua akun pengguna baru dan akun komputer non-pengendali domain di domain.
Penting
Jika Anda perlu mendelegasikan kontrol atas pengguna atau komputer, jangan ubah pengaturan default pada kontainer pengguna dan komputer. Sebagai gantinya, buat OU baru (sesuai kebutuhan) dan pindahkan objek pengguna dan komputer dari kontainer default mereka dan ke OU baru. Mendelegasikan kontrol atas OU baru, sesuai kebutuhan. Kami menyarankan agar Anda tidak mengubah siapa yang mengontrol kontainer default.
Selain itu, Anda tidak dapat menerapkan pengaturan Kebijakan Grup ke kontainer pengguna dan komputer default. Untuk menerapkan Kebijakan Grup ke pengguna dan komputer, buat OU baru dan pindahkan objek pengguna dan komputer ke dalam OU tersebut. Terapkan pengaturan Kebijakan Grup ke OU baru.
Secara opsional, Anda dapat mengalihkan pembuatan objek yang ditempatkan dalam kontainer default untuk ditempatkan dalam kontainer pilihan Anda.
Pengguna dan grup terkenal dan akun bawaan
Secara default, beberapa pengguna dan grup dan akun bawaan terkenal dibuat di domain baru. Kami menyarankan agar manajemen akun ini tetap berada di bawah kendali administrator layanan. Jangan mendelegasikan manajemen akun ini kepada individu yang bukan administrator layanan. Tabel berikut ini mencantumkan pengguna dan grup dan akun bawaan terkenal yang perlu tetap berada di bawah kendali administrator layanan.
Pengguna dan grup terkenal | Akun bawaan |
---|---|
Penerbit Sertifikat Pengendali domain Pemilik Pembuat Kebijakan Grup KRBTGT Tamu Domain Administrator Admin Domain Admin Skema (hanya domain akar hutan) Admin Perusahaan (hanya domain akar hutan) Pengguna Domain |
Administrator Tamu Tamu Operator Akun Administrator Operator Azure Backup Pembangun Kepercayaan Hutan Masuk Operator Cetak Akses Kompatibel Pra-Windows 2000 Operator Server Pengguna |
Unit Organisasi Pengendali Domain
Ketika pengontrol domain ditambahkan ke domain, objek komputer mereka secara otomatis ditambahkan ke Unit Organisasi Pengendali Domain. Unit organisasi ini memiliki serangkaian kebijakan default yang diterapkan padanya. Untuk memastikan bahwa kebijakan ini diterapkan secara seragam ke semua pengontrol domain, kami sarankan Anda tidak memindahkan objek komputer pengendali domain dari unit organisasi ini. Kegagalan menerapkan kebijakan default dapat menyebabkan pengendali domain gagal berfungsi dengan baik.
Secara default, administrator layanan mengontrol unit organisasi ini. Jangan mendelegasikan kontrol unit organisasi ini kepada individu selain administrator layanan.