Oli*_*aix 7 active-directory group-policy best-practices
大家下午好,
我对 Active Directory 的东西很陌生。在将我们的 AD 的功能级别从 2003 升级到 2008 R2(我需要它来放置细粒度的密码策略)之后,我开始重新组织我的 OU。我记得一个好的 OU 组织会促进 GPO(可能还有 GPP)的应用。但最后,我觉得使用安全组过滤(从 Scope 选项卡)来应用我的策略更自然,而不是直接 OU .
你认为这是一个好习惯还是我应该坚持 OU ?
我们是一个拥有 20 个用户和 30-35 台计算机的小型组织。因此,我们得到了一个简单的 OU 树,但使用安全组进行了更微妙的拆分。
除了底层之外,OU 树不包含任何对象。每个底层 OU 都包含计算机、用户,当然还有安全组。这些安全组包含同一 OU 的用户和计算机。
谢谢你的建议,奥利维尔
更容易立即看到受影响的对象集
比管理额外的安全组所涉及的开销更少
较少复制到其他 DC 和较小的用户令牌,因为您不需要一堆额外的安全组(这对于像您描述的较小的基础架构可能无关紧要)
在大多数组织中,几乎所有策略都可以应用于设计良好的 AD 中的 OU 级别
更轻松的委派
更灵活
解决where should I put this object?可能“跨越”部门的员工出现的问题
您可以委派将成员添加到组的能力,这将允许帮助台工作人员管理在何处应用哪些策略,而无需授予更改 GPO 的访问权限
实际上,我接触过的大多数组织都采用混合方法。可基于 OU 应用的 GPO 通常分配给 OU,任何“跨”OU 或需要过滤到 OU 子集的任何内容都使用安全过滤或项目级目标。
事实上,我实际上只是部署了一个 GPO 将 50 台打印机映射到各个部门,它在域级别链接并使用项目级别目标 - 但我们拥有的几乎所有其他 GPO 都链接到一个 OU 并使用默认设置安全过滤器。
TL;DR - 做对您的组织有意义的事情。
| 归档时间: |
|
| 查看次数: |
8072 次 |
| 最近记录: |