我为一所拥有近千名用户(教职员工)的大学工作。许多教职员工还兼职任教,许多教职员工在不同部门任教。
知道用户和/或计算机只能存在于单个 OU 中,什么样的策略将允许良好的层次结构,并且仍然足够灵活以允许不同的部门组策略应用于同一用户。
这在场景中并不少见,但我还没有看到最简单或最干净的布局。
Eva*_*son 10
如果没有对您正在寻找的特定场景进行一些解释,就很难为您提供任何“逐步”。
用户组策略应用程序受以下因素影响:
这些都是控制用户组策略应用程序的机制。在所有这些功能之间,您可以创建相当复杂的部署场景。
您的 OU 层次结构应始终首先基于计划的控制委派进行设计。您只能获得一个 OU 层次结构,并且没有将控制委派与 OU 层次结构分离的良好机制。首先设计控制委派,然后是组策略应用程序。
我专注于使用安全组成员身份来过滤用户组策略应用程序。永远不要忘记 GPO 中的某些设置具有独立于 GPO 本身的 ACL。“块继承”和“强制”/“无覆盖”功能应谨慎使用,通常表示设计已损坏。环回组策略处理可以是一个非常强大和有用的工具,但理解起来有点复杂。
您关注的是用户,但我也会花点时间提及计算机。计算机组策略应用程序具有与用户组策略相同的所有过滤功能,但还包括 WMI 过滤。WMI 筛选可以让您将 GPO 定位到计算机的特定硬件或操作系统相关属性。在过滤计算机组策略时,我经常看到安全组过滤被忽略。
您可以使用 WMI 过滤和计算机组策略的安全组过滤来完成一些事情。WMI 筛选具有在每个组策略应用程序上动态计算的附加功能(相对于安全组成员身份,必须手动更改才能影响筛选)。如果您的计算机位于不同的 OU 中,而没有 WMI 可过滤属性且需要应用公共组策略对象,则安全组过滤仍然很有用。我经常对计算机使用安全组过滤来控制软件安装策略(其中我有一个 GPO,其中分配了多个软件包,每个软件包都有一个唯一的 ACL,其中包括一个用于控制软件安装的组)。
您可以做的最重要的事情是,将我上面所说的放在一边,是确保您完全了解组策略客户端如何计算策略的结果集,并根据这些知识,在将它们投入生产之前集思广益并测试可能的设计。我坚信测试应该从笔和纸(白板等)而不是软件开始。您需要有足够的组织知识才能设计真实的场景并对其进行测试。让您的 IT 组织中的其他团队(以及 IT 组织外的团队,如果需要的话)参与进来。例如,您的帮助台团队将有控制需求的委派,这将推动物理 OU 层次结构。您的桌面支持团队可能有驱动计算机组策略过滤的软件安装需求。
| 归档时间: |
|
| 查看次数: |
2765 次 |
| 最近记录: |