Chúng tôi nên ủy quyền cho đơn vị tổ chức nào để thêm máy tính vào miền - làm rõ tài liệu microsoft

Theo nguyên tắc của Mô hình quản trị ít đặc quyền nhất Tôi đang tạo nhóm tùy chỉnh để quản lý miền, nhóm đó sẽ ít đặc quyền hơn Quản trị viên miền. Để bắt đầu, nó phải có quyền thêm máy tính vào một miền.

Tôi đang thử nghiệm nhiều cách khác nhau để đạt được điều này và tôi đã xem qua bài viết này từ Microsoft: https://docs.microsoft.com/en-us/troubleshoot/windows-server/identity/access-denied-when-joining-computers

Nó nói:

Xác định vị trí và bấm chuột phải vào OU mà bạn muốn sửa đổi, sau đó chọn Kiểm soát đại diện.

Nhưng tôi không chắc mình thực sự nên chọn đơn vị tổ chức nào và tôi không thể tìm thấy bất kỳ lời giải thích nào trong bài viết (hay tôi mù quáng?).

Vậy nó nên là OU nào? Máy tính tích hợp? Đơn vị tổ chức nơi tôi muốn máy tính cư trú cuối cùng (chẳng hạn như "Máy chủ" hoặc "Máy trạm") đơn vị tổ chức tùy chỉnh? Thứ gì khác?

Hiện tại tôi đã ủy quyền kiểm soát toàn bộ miền (tôi có một miền duy nhất trong môi trường của mình) và nó đang hoạt động, nhưng tôi không chắc nó có an toàn hay thực hành tốt không?

Môi trường AD của bạn nên được tổ chức theo cách phù hợp nhất với nhu cầu của bạn/công ty của bạn.

Một cách tiếp cận phổ biến là tạo OU cho từng phòng ban và có OU phụ cho Máy tính và Người dùng.

Sau đó, ví dụ: nếu bạn muốn ủy quyền kiểm soát chỉ một bộ phận cho ai đó, bạn sẽ chọn OU đại diện cho bộ phận đó và ủy quyền kiểm soát ở đó.