Владелец леса назначает владельцев всех подразделений, создаваемых в домене. Владельцы подразделений являются диспетчерами данных и управляют поддеревом объектов в доменных службах Active Directory. Владельцы подразделений могут управлять способами делегирования администрирования и применения политики к объектам в своем подразделении. Они также могут создавать новые поддеревья и делегировать администрирование подразделений в этих поддеревьях.

Поскольку владельцы подразделений не владеют службой каталогов и не управляют ее работой, можно отделить владение службой каталогов и ее администрирование от владения объектами и их администрирования, сократив тем самым количество администраторов с высоким уровнем доступа.

Подразделения обеспечивают автономность администрирования и предоставляют средства управления видимостью объектов в каталоге. Также они обеспечивают изоляцию от других администраторов данных, но не от администраторов служб. Тот факт, что владельцы подразделений управляют поддеревом объектов, не лишает владельца леса возможности полностью контролировать все поддеревья. Благодаря этому владелец леса может исправлять различные ошибки, например ошибки в списке управления доступом, а также возвращать себе делегированные поддеревья, если администратор данных лишается полномочий.

Подразделения учетных записей содержат объекты пользователей, групп и компьютеров. Владелец леса должен создать структуру подразделений, позволяющую управлять этими объектами, а затем передать управление структурой владельцу подразделения. Развертывая новый домен доменных служб Active Directory, создайте в нем подразделение учетных записей, чтобы можно было передать управление ими в домен.

Подразделения ресурсов содержат ресурсы и все учетные записи, необходимые для управления этими ресурсами. Владелец леса также должен создать структуру подразделения, позволяющую управлять этими ресурсами и передать управление этой структурой владельцу подразделения. Подразделения ресурсов следует создавать по мере необходимости, когда какой-то группе в организации потребуется независимо управлять данными и оборудованием.

Соберите рабочую группу для разработки структуры подразделений, позволяющей делегировать управление ресурсами в лесу. Владелец леса может принимать участие в процессе разработки и должен утвердить структуру подразделений. Кроме того, можно привлечь хотя бы одного администратора служб, чтобы убедиться в правильности схемы. Другими участниками рабочей группы по созданию структуры подразделений могут быть администраторы данных, которые будут работать в подразделениях, и владельцы подразделений, которые будут отвечать за управление подразделениями.

Схему подразделений важно задокументировать. Составьте список подразделений, которые будут созданы. Внесите в документацию тип каждого подразделения, сведения о его владельце, укажите родительское подразделение (при его наличии), а также происхождение подразделения.

В документировании схемы подразделений поможет документ DSSLOGI_9.doc (раздел "Identifying OUs for Each Domain" (определение подразделений в каждом домене)) из руководства по развертыванию Windows Server 2003, которое можно загрузить в виде архива Job_Aids_Designing_and_Deploying_Directory_and_Security_Services.zip по адресу http://go.microsoft.com/fwlink/?LinkID=102558.

• Обзор концепций структуры подразделений
  
  
• Делегирование администрирования с помощью объектов подразделений