Condividi tramite


Delega dell'amministrazione di unità organizzative e contenitori predefiniti

Si applica a: Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012

Ogni dominio di Active Directory contiene un set standard di contenitori e unità organizzative create durante l'installazione di Active Directory Domain Services (AD DS). Di seguito sono elencate le quattro opzioni disponibili.

  • Contenitore di dominio, che funge da contenitore radice alla gerarchia

  • Contenitore predefinito, che contiene gli account amministratore del servizio predefiniti

  • Contenitore Utenti, ovvero il percorso predefinito per i nuovi account utente e i gruppi creati nel dominio

  • Contenitore computer, ovvero il percorso predefinito per i nuovi account computer creati nel dominio

  • Unità organizzativa controller di dominio, ovvero il percorso predefinito per gli account computer per gli account computer dei controller di dominio

Il proprietario della foresta controlla questi contenitori e unità organizzative predefiniti.

Contenitore di dominio

Il contenitore di dominio è il contenitore radice della gerarchia di un dominio. Le modifiche apportate ai criteri o all'elenco di controllo di accesso (ACL) in questo contenitore possono potenzialmente avere un impatto a livello di dominio. Non delegare il controllo di questo contenitore; deve essere controllato dagli amministratori del servizio.

Contenitori di utenti e computer

Quando si esegue un aggiornamento sul posto del dominio da Windows Server 2003 a Windows Server 2008, gli utenti e i computer esistenti vengono inseriti automaticamente negli utenti e nei contenitori dei computer. Se si sta creando un nuovo dominio di Active Directory, gli utenti e i contenitori dei computer sono i percorsi predefiniti per tutti i nuovi account utente e per gli account computer non controller di dominio nel dominio.

Importante

Se è necessario delegare il controllo su utenti o computer, non modificare le impostazioni predefinite nei contenitori di utenti e computer. Creare invece nuove unità organizzative (in base alle esigenze) e spostare gli oggetti utente e computer dai contenitori predefiniti nelle nuove unità organizzative. Delegare il controllo sulle nuove unità organizzative, in base alle esigenze. È consigliabile non modificare gli utenti che controllano i contenitori predefiniti.

Inoltre, non è possibile applicare le impostazioni di Criteri di gruppo ai contenitori predefiniti di utenti e computer. Per applicare Criteri di gruppo a utenti e computer, creare nuove unità organizzative e spostare gli oggetti utente e computer in tali unità organizzative. Applicare le impostazioni di Criteri di gruppo alle nuove unità organizzative.

Facoltativamente, è possibile reindirizzare la creazione di oggetti inseriti nei contenitori predefiniti in contenitori di propria scelta.

Utenti e gruppi noti e account predefiniti

Per impostazione predefinita, diversi utenti e gruppi noti e account predefiniti vengono creati in un nuovo dominio. È consigliabile che la gestione di questi account rimanga sotto il controllo degli amministratori del servizio. Non delegare la gestione di questi account a un individuo che non è un amministratore del servizio. La tabella seguente elenca gli utenti e i gruppi noti e gli account predefiniti che devono rimanere sotto il controllo degli amministratori del servizio.

Utenti e gruppi noti Account predefiniti
Cert Publishers

Controller di dominio

Proprietari autori criteri di gruppo

KRBTGT

Domain Guests

Amministratore

Domain Admins

Amministratori schema (solo dominio radice foresta)

Amministratori azienda (solo dominio radice foresta)

Domain Users

Amministratore

Ospite

Utenti guest

Account Operators

Amministratori

Backup Operators

Generatori di trust di foreste in ingresso

Print Operators

Accesso compatibile precedente a Windows 2000

Server Operators

Utenti

Unità organizzativa controller di dominio

Quando i controller di dominio vengono aggiunti al dominio, i relativi oggetti computer vengono aggiunti automaticamente all'unità organizzativa controller di dominio. A questa unità organizzativa è applicato un set predefinito di criteri. Per assicurarsi che questi criteri vengano applicati in modo uniforme a tutti i controller di dominio, è consigliabile non spostare gli oggetti computer dei controller di dominio dall'unità organizzativa. Se non si applicano i criteri predefiniti, un controller di dominio non funziona correttamente.

Per impostazione predefinita, gli amministratori del servizio controllano questa unità organizzativa. Non delegare il controllo di questa unità organizzativa a utenti diversi dagli amministratori del servizio.