Tom*_*nor 1 active-directory group-policy organizational-unit
我目前正在尝试为新的 AD 部署设计 OU 和组设计。首先,分类学很难。作为第一个猜测尝试,我们试图将所有 User 对象放在一起OU=Users,并在其下放置一些子 OU。
我们有一堆团队和子团队 OU,以及一些工具集 OU,它们按人员所在的职能团队以及他们需要访问的工具进行分组。
我们希望将用户保留在用户 OU 中,每个团队 OU 都包含一个安全组对象,当他们加入团队或需要工具集访问权限时,我们可以将用户添加到该对象中。
以下是 AD 的布局方式:
Domain Root
|
|
\--OU=Users
| |
| \--OU=Staff
| | \-Username=Tom.OConnor, MemberOf=RedTeam
| |
| \--OU=Contractors
| |
| \--OU=Visitors
|
|
\--OU=Teams
| |
| \--OU=RedTeam
| | \-GroupName=RedTeam
| |
| \--OU=BlueTeam
| | \-GroupName=BlueTeam
| |
| |
| \--OU=GreenTeam
| | \-GroupName=GreenTeam
|
|
|
\--OU=Toolsets
| |
| \--OU=DevTools
| | \-GroupName=DevTool_CITool
| |
| |
| \--OU=InternetAccess
| | \-GroupName=InternetAccess
用户Tom.OConnor在 RedTeam 组中。
GPO 应用于OU=RedTeam,OU=Teams.
该GPO结果向导显示,此GPO已不被应用到Tom.OConnor用户。
相反,GPO施加到OU=Staff,OU=Users被施加到Tom.OConnor用户。
那么是否有可能将 GPO 应用于包含组的 OU,然后让 GPO 向下传递,并应用于组的所有成员?
GPO 仅适用于用户对象和计算机对象。
您需要将 GPO 应用于用户 OU,并使用安全组过滤来确保它仅适用于 RedTeam 组的用户。