Uwaga
Dostęp do tej strony wymaga autoryzacji. Może spróbować zalogować się lub zmienić katalogi.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Można użyć jednostek organizacyjnych (OU), aby delegować administrowanie obiektami, takimi jak użytkownicy lub komputery, w jednostkach organizacyjnych do wyznaczonej osoby lub grupy. Aby delegować administrację przy użyciu jednostki organizacyjnej, umieść jednostkę lub grupę, do której delegujesz uprawnienia administracyjne do grupy, umieść zestaw obiektów, które mają być kontrolowane w jednostki organizacyjnej, a następnie deleguj zadania administracyjne dla jednostki organizacyjnej do tej grupy.
Usługi Active Directory Domain Services (AD DS) umożliwiają kontrolowanie zadań administracyjnych, które można delegować na bardzo szczegółowym poziomie. Na przykład można przypisać jedną grupę, aby mieć pełną kontrolę nad wszystkimi obiektami w jednostki organizacyjnej; przypisz innej grupie prawa tylko do tworzenia, usuwania i zarządzania kontami użytkowników w jednostki organizacyjnej; a następnie przypisz trzeciej grupie prawo tylko do resetowania haseł konta użytkownika. Te uprawnienia mogą być dziedziczone, tak aby były stosowane do wszystkich jednostek organizacyjnych umieszczonych w poddrzewach oryginalnej jednostki organizacyjnej.
Domyślne jednostki organizacyjne i kontenery są tworzone podczas instalacji usług AD DS i są kontrolowane przez administratorów usług. Najlepiej, jeśli administratorzy usług będą nadal kontrolować te kontenery. Jeśli musisz delegować kontrolę nad obiektami w katalogu, utwórz dodatkowe jednostki organizacyjne i umieść obiekty w tych jednostkach organizacyjnych. Deleguj kontrolę nad tymi jednostkami organizacyjnymi do odpowiednich administratorów danych. Dzięki temu można delegować kontrolę nad obiektami w katalogu bez zmiany domyślnej kontrolki nadaną administratorom usługi.
Właściciel lasu określa poziom uprawnień delegowanych właścicielowi jednostki organizacyjnej. Może to obejmować możliwość tworzenia i manipulowania obiektami w jednostce organizacyjnej lub ograniczać się tylko do kontroli pojedynczego atrybutu pojedynczego typu obiektu w jednostce organizacyjnej. Przyznanie użytkownikowi możliwości utworzenia obiektu w jednostce organizacyjnej niejawnie przyznaje użytkownikowi możliwość manipulowania dowolnym atrybutem dowolnego obiektu tworzonego przez użytkownika. Ponadto jeśli tworzony obiekt jest kontenerem, użytkownik niejawnie ma możliwość tworzenia i manipulowania wszystkimi obiektami umieszczonymi w kontenerze.