На какой OU мы должны делегировать разрешения на добавление компьютера в домен - уточнить документы Microsoft

Следуя принципу Административная модель с наименьшими привилегиями Я создаю пользовательскую группу для управления доменом, которая будет менее привилегирована, чем администратор домена. Для начала у него должно быть разрешение на добавление компьютера в домен.

Я тестирую много разных способов добиться этого и наткнулся на эту статью от Microsoft: https://docs.microsoft.com/en-us/troubleshoot/windows-server/identity/access-denied-when-joining-computers

Здесь утверждается:

Найдите и щелкните правой кнопкой мыши подразделение, которое вы хотите изменить, а затем выберите «Делегировать управление».

Но я не уверен, какую именно OU мне следует выбрать, и я не смог найти никакого объяснения в статье (или я слепой?).

Итак, какое ОУ должно быть? Встроенные компьютеры? Подразделение, в котором я хочу, чтобы в конечном итоге находился компьютер (например, пользовательское подразделение «Серверы» или «Рабочие станции»)? Что-то другое?

В настоящее время я делегировал контроль над всем доменом (в моей среде есть один домен), и он работает, но я не уверен, что это безопасно или является хорошей практикой?

Ваша среда AD должна быть организована таким образом, чтобы наилучшим образом соответствовать потребностям вашей компании.

Обычный подход заключается в создании подразделений для отдельных отделов и вложенных подразделений для компьютеров и пользователей.

Затем, например, если вы хотите делегировать кому-либо управление только одним отделом, вы должны выбрать OU, представляющую этот отдел, и делегировать ему управление.