Delegieren der Verwaltung mithilfe von Organisationseinheitsobjekten

Sie können Organisationseinheiten (OUs) verwenden, um die Verwaltung von Objekten, z. B. Benutzern oder Computern, innerhalb der Organisationseinheit an eine bestimmte Person oder Gruppe zu delegieren. Um die Verwaltung mithilfe einer Organisationseinheit zu delegieren, nehmen Sie die Person oder die Gruppe, an die Sie Administratorrechte delegieren möchten, in eine Gruppe auf, fügen Sie den Satz der zu steuernden Objekte einer Organisationseinheit hinzu, und delegieren Sie dann administrative Aufgaben für die Organisationseinheit an diese Gruppe.

Mithilfe von Active Directory Domain Services (AD DS) können Sie die administrativen Aufgaben, die delegiert werden können, sehr detailliert steuern. Sie können z. B. eine Gruppe so zuweisen, dass sie die vollständige Kontrolle über alle Objekte in einer Organisationseinheit erhält. Einer anderen Gruppe können Sie nur die Rechte zum Erstellen, Löschen und Verwalten von Benutzerkonten in der Organisationseinheit zuweisen. Schließlich können Sie einer dritten Gruppe nur das Recht zum Zurücksetzen von Kennwörtern für Benutzerkonten zuweisen. Sie können diese Berechtigungen als vererbbar festlegen, sodass sie für alle Organisationseinheiten gelten, die sich in Unterstrukturen der ursprünglichen Organisationseinheit befinden.

Standardbetriebseinheiten und -container werden während der Installation von AD DS erstellt und von Dienstadministratoren gesteuert. Diese Container sollten auch weiterhin von Dienstadministratoren gesteuert werden. Wenn Sie die Steuerung von Objekten im Verzeichnis delegieren müssen, erstellen Sie zusätzliche Organisationseinheiten, und platzieren Sie die Objekte in diese Organisationseinheiten. Delegieren Sie die Steuerung dieser Organisationseinheiten an die entsprechenden Datenadministratoren. So können Sie die Steuerung von Objekten im Verzeichnis delegieren, ohne die Standardsteuerung zu ändern, die den Dienstadministratoren zugewiesen ist.

Der Gesamtstrukturbesitzer legt die Berechtigungsebene fest, die an einen Organisationseinheitsbesitzer delegiert wird. Dies kann die Erstellung und Bearbeitung von Objekten innerhalb der Organisationseinheit bis hin zum Steuern eines einzigen Attributs eines einzigen Objekttyps in der Organisationseinheit umfassen. Wenn einem Benutzer die Möglichkeit gewährt wird, ein Objekt in der Organisationseinheit zu erstellen, wird diesem Benutzer implizit die Berechtigung erteilt, jedes Attribut eines beliebigen Objekts zu bearbeiten, das der Benutzer erstellt. Wenn es sich bei dem erstellten Objekt um einen Container handelt, kann der Benutzer implizit alle Objekte erstellen und bearbeiten, die dem Container hinzugefügt werden.

In diesem Abschnitt