委派帳戶 OU 與資源 OU 的管理
適用於: Windows Server 2022、Windows Server 2019、Windows Server 2016、Windows Server 2012 R2、Windows Server 2012
帳戶組織單位 (OU) 包含使用者、群組和電腦物件。 資源 OU 包含資源及負責管理這些資源的帳戶。 樹系擁有者會負責建立 OU 結構來管理這些資源,並將該結構的控制權委派給 OU 擁有者。
委派帳戶 OU 的管理
如果需要建立和修改使用者、群組和電腦物件,請將帳戶 OU 結構委派給資料管理員。 帳戶 OU 結構是每個必須獨立控制的帳戶類型的 OU 樹狀子目錄。 例如,OU 擁有者可以針對使用者、電腦、群組和服務帳戶,透過帳戶 OU 中的子 OU,將特定控制權委派給各種資料管理員。
下圖顯示了帳戶 OU 結構的範例。
下表列出並描述您可以在帳戶 OU 結構中建立的可能子 OU。
| OU | 目標 |
|---|---|
| 使用者 | 包含非管理人員的使用者帳戶。 |
| 服務帳戶 | 需要存取網路資源的某些服務會以使用者帳戶身分執行。 系統會建立此 OU,以將服務使用者帳戶與使用者 OU 中包含的使用者帳戶分開。 此外,將不同類型的使用者帳戶放在不同的 OU 中,可讓您根據其特定的系統管理需求來管理它們。 |
| 電腦 | 包含網域控制站以外的電腦帳戶。 |
| 群組 | 包含除了系統管理群組之外的所有類型的群組,系統管理群組會分開管理。 |
| 管理員 | 包含帳戶 OU 結構中資料管理員的使用者和群組帳戶,以允許他們與一般使用者分開管理。 啟用此 OU 的稽核,以便追蹤系統管理使用者和群組的變更。 |
下圖顯示了帳戶 OU 結構的系統管理群組設計的一個範例。
管理子 OU 的群組只會授與其負責管理的特定物件類別的完整控制權。
您用來委派 OU 結構內控制項的群組類型,取決於帳戶相對於要管理的 OU 結構的位置。 如果系統管理員使用者帳戶和 OU 結構全都存在於單一網域內,您建立以用來委派的群組必須是全域群組。 如果您的組織有管理自己的使用者帳戶且存在於多個地理區域中的部門,您可能會有一組負責管理多個網域中帳戶 OU 的資料管理員。 如果資料管理員的帳戶全都存在於單一網域中,且您在多個網域中擁有需要委派控制的 OU 結構,請將這些管理帳戶設為全域群組的成員,並將每個網域中的 OU 結構的控制委派給這些全域群組。 如果您委派 OU 結構控制權的資料管理員帳戶來自多個網域,則必須使用通用群組。 通用群組可以包含來自不同網域的使用者,因此,它們可用來委派多個網域中的控制項。
委派資源 OU 的管理
資源 OU 可用來管理資源的存取權。 資源 OU 擁有者會為加入網域的伺服器建立電腦帳戶,包括檔案共用、資料庫和印表機等資源。 資源 OU 擁有者也會建立群組來控制這些資源的存取權。
下圖顯示資源 OU 的兩個可能位置。
資源 OU 可以位於網域根目錄下,或作為 OU 系統管理階層中對應帳戶 OU 的子 OU。 資源 OU 沒有任何標準子 OU。 電腦和群組會直接放在資源 OU 中。
資源 OU 擁有者擁有 OU 內的物件,但並不擁有 OU 容器本身。 資源 OU 擁有者只管理電腦和群組物件;它們無法在 OU 中建立其他物件的類別,而且無法建立子 OU。
注意
無論繼承自父容器的權限為何,物件的建立者或擁有者能夠在物件上設定存取控制清單 (ACL)。 如果資源 OU 擁有者可以在 OU 上重設 ACL,該擁有者可以在 OU 中建立任何類別的物件,包括使用者。 因此,不允許資源 OU 擁有者建立 OU。
針對網域中的每個資源 OU,建立全域群組來代表負責管理 OU 內容的資料管理員。 此群組可完全控制 OU 中的群組和電腦物件,但無法控制 OU 容器本身。
下圖顯示資源 OU 的系統管理群組設計。
將電腦帳戶放入資源 OU 可讓 OU 擁有者控制帳戶物件,但不會讓 OU 擁有者成為電腦的系統管理員。 在 Active Directory 網域中,Domain Admins 群組預設會放在所有電腦上的本機 Administrators 群組中。 也就是說,服務管理員可控制這些電腦。 如果資源 OU 擁有者需要對其 OU 中的電腦進行系統管理控制,樹系擁有者可以套用受限制群組的群組原則,讓資源 OU 擁有者成為該 OU 中電腦上的系統管理員群組成員。