Делегирование администрирования подразделений и контейнеров по умолчанию
Область применения: Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012
Каждый домен Active Directory содержит стандартный набор контейнеров и подразделений ,созданных во время установки служб домен Active Directory (AD DS). следующие основные параметры.
Контейнер домена, который служит корневым контейнером иерархии
Встроенный контейнер, содержащий учетные записи администратора службы по умолчанию
Контейнер пользователей, который является расположением по умолчанию для новых учетных записей пользователей и групп, созданных в домене
Контейнер компьютеров, который является расположением по умолчанию для новых учетных записей компьютеров, созданных в домене
Подразделение контроллеров домена, которое является расположением по умолчанию для учетных записей компьютера для учетных записей компьютеров контроллеров домена.
Владелец леса управляет этими контейнерами по умолчанию и подразделениями.
Контейнер домена
Контейнер домена является корневым контейнером иерархии домена. Изменения политик или списка управления доступом (ACL) в этом контейнере могут повлиять на область домена. Не делегировать управление этим контейнером; он должен контролироваться администраторами служб.
Пользователи и контейнеры компьютеров
При обновлении домена на месте с Windows Server 2003 до Windows Server 2008 существующие пользователи и компьютеры автоматически помещаются в пользователей и контейнеры компьютеров. Если вы создаете новый домен Active Directory, пользователи и контейнеры компьютеров являются расположениями по умолчанию для всех новых учетных записей пользователей и учетных записей компьютеров, отличных от домена.
Внимание
Если вам нужно делегировать управление пользователями или компьютерами, не изменяйте параметры по умолчанию на контейнерах пользователей и компьютеров. Вместо этого создайте новые подразделения (по мере необходимости) и переместите объекты пользователя и компьютера из контейнеров по умолчанию и в новые подразделения. При необходимости делегировать контроль над новыми подразделениями. Рекомендуется не изменять, кто управляет контейнерами по умолчанию.
Кроме того, нельзя применять параметры групповой политики к контейнерам пользователей и компьютеров по умолчанию. Чтобы применить групповую политику к пользователям и компьютерам, создайте новые подразделения и переместите объекты пользователей и компьютеров в эти подразделения. Примените параметры групповой политики к новым подразделениям.
При необходимости можно перенаправить создание объектов, размещенных в контейнерах по умолчанию, которые будут помещены в контейнеры по своему усмотрению.
Известные пользователи и группы и встроенные учетные записи
По умолчанию в новом домене создаются несколько известных пользователей и групп и встроенных учетных записей. Мы рекомендуем управлять этими учетными записями под контролем администраторов служб. Не делегировать управление этими учетными записями отдельным лицам, которые не являются администратором службы. В следующей таблице перечислены известные пользователи и группы и встроенные учетные записи, которые должны оставаться под контролем администраторов служб.
| Известные пользователи и группы | Встроенные учетные записи |
|---|---|
| Издатели сертификатов Контроллеры доменов Владельцы-создатели групповой политики KRBTGT Гости домена Администратор Администраторы домена Администратор схемы (только корневой домен леса) Корпоративные Администратор (только корневой домен леса) Пользователи домена |
Администратор Гость Гости Операторы учета Администраторы Операторы архива Построитель доверия входящего леса Операторы печати Доступ, совместимый с Windows 2000 Операторы сервера Пользователи |
Подразделение контроллера домена
Когда контроллеры домена добавляются в домен, их объекты компьютера автоматически добавляются в подразделение контроллера домена. Этот подразделение имеет набор политик по умолчанию, примененных к нему. Чтобы эти политики применялись равномерно ко всем контроллерам домена, рекомендуется не перемещать объекты компьютера контроллеров домена из этого подразделения. Сбой применения политик по умолчанию может привести к сбою работы контроллера домена.
По умолчанию администраторы служб управляют этим подразделением. Не делегировать управление этим подразделением отдельным лицам, кроме администраторов служб.