Sel*_*ott 3 windows active-directory group-policy
[免责声明:这个问题是基于有缺陷的印象。与以非常盐的小颗粒,或根本没有盐。]
作为一名 Linux 管理员,在将近十年没有接触 Windows 服务器之后,他不情愿地重新回到 Windows 管理中.
我仍然记得在 ADUC 中的某些对象(比如 Windows Server 2003)上有一个组策略选项卡的日子,比如 OU(如果我没记错的话),但现在 ADUC 和组策略现在看起来已经被隔离到不同的管理中控制台并取消链接,现在 GPMC 是 GPO 的地方。我相信这有一些很好的原因。但是,我现在有几个问题。
为什么 OU 的结构和名称,以及 GPO 与 ADUC 中实际 AD 对象的关联似乎与其对应的 GPMC 完全隔离?似乎 GP 管理员必须保持警惕,以模仿对 GPMC 中 ADUC 中 OU 的命名或结构所做的任何更改,但我可以看到这不可避免地会出错,因为错误和疏忽将不可避免地不时发生。
显然,IT 管理员应该足够聪明和警惕以确保没有任何不一致之处,但是从技术上讲,如何将 ADUC 和 GPMC 分离是一种实际的改进?似乎自动化和匹配验证检查两者之间的一致性不仅应该是可能的,而且是微不足道的。在 Windows Server 2003 中,GPO 似乎直接与 AD 对象本身相关联,因此无论您对它们做什么,GPO 都会跟随对象;而我在某处读到,就直接关联和链接而言,现在 GPO“不属于 AD 对象”。这种变化背后的原因是什么?
但也许我只是阅读了错误的文档并完全误解了情况[编辑:是]。
感谢您耐心地向 Linux 管理员解释这一点。
Rya*_*ger 10
您在 GPMC 中看到的 OU 实际上与您在 ADUC 中看到的 OU 相同。重命名其中一个,刷新视图后,它在另一个中重命名(如果未连接到同一 DC,则等待复制)。
简而言之,他们仍然像往常一样联系在一起。您只是在 GPMC 中看不到任何非 GPO 子对象,因为应用程序选择不显示它们。
由于组策略 OU 不直接绑定到 ADUC 中的 OU
组策略非常紧密地集成到 AD 中,并链接到 OU。
\\example.org\SYSVOL\example.org\Policies)CN=Policies,CN=System,DC=example,DC=org容器中gPLink给定 OU的属性链接到OU。
Get-ADObject 'OU=Domain Controllers,DC=example,DC=org' -Properties DistinguishedName, gpLink您的许多问题似乎都与两种工具之间的不匹配有关。如果您同时打开这两个工具,则这两个工具可能会过时。或者,您可能以某种方式连接到不同的域控制器,而您保存的内容的复制尚未完成。但是 GPMC 肯定会将有关策略的信息直接存储到 AD。如果您强制刷新或等待几分钟,您所做的更改应该会同步。
| 归档时间: |
|
| 查看次数: |
632 次 |
| 最近记录: |