标签: organizational-unit

我添加这个 Q/A 是因为我今天偶然发现了这个限制，我找不到任何关于它的文档；还有 就是对这个问题的老知识库文章，但它目前还没有被谷歌索引（可能是因为它在数年前出版的，从来没有更新），并且该问题从来没有提到其他地方。

是否可以在父域中创建与子域同名的 OU？
是否可以创建与父域中的 OU 同名的子域？

我们有一个批处理文件 ( logon.bat )，它在用户登录时映射驱动器。

此脚本由组策略应用于整个域。

最初，这工作得很好，因为我们一直希望应用这个脚本。但是，现在我们在远程站点有 PC 通过 VPN 链接访问域。由于驱动器映射脚本和缓慢的 VPN 链接，这些 PC 可能需要长达 5 分钟的时间才能登录。我通过从“默认域策略”GPO 中删除“logon.bat”进行了试验，远程站点的用户可以更快地登录几分钟。这是完美的 - 我可以在远程站点为需要网络访问的少数用户手动映射驱动器。

然后我尝试做的是创建两个 OU：“主办公室”（我们要继续使用驱动器映射脚本的地方）和“异地”（用于远程站点，以及属于域的笔记本电脑）加入）。

唯一的问题是，当我从“默认域策略”GPO 中删除对“logon.bat”的引用，并将其添加到应用于“主办公室”的“登录时映射驱动器”GPO 时，它不再被应用到总公司。我不能有选择地只对主站点的用户应用驱动器映射。

我们不能再对这个登录脚本使用全有或全无的方法，因为它会对远程工作的用户产生性能影响。

有谁知道为什么当我尝试使用不同的 GPO 来处理驱动器映射时会停止工作？

我不确定在我的每个组织单位下嵌套组还是直接在根 DN 下为组创建一个组织单位更好。一个被认为是最佳实践吗？我想保持我的配置尽可能简单，以最大限度地提高与 LDAP 感知应用程序的兼容性。

我的迫切需求包括：

1. 与 Atlassian Crowd 的单点登录
2. Google Apps Directory Sync（LDAP 组 -> 邮件列表）
3. 用于 Windows 身份验证的 pGina

这是一张图表，显示了我正在考虑的两种策略：

我们使用 System Center 2012 Virtual Machine Manager 将 VM 部署到我们的 Hyper-V 服务器。我们开始使用 VM 和服务模板来自动化我们的系统部署，但我们需要自动化的一个步骤是将服务器添加到特定组织单位下的 Active Directory 域。我能够创建使用运行方式帐户将服务器加入域的来宾操作系统配置文件，但没有用于指定 OU 的选项：

如何指定加入域时要使用的 OU？

我有这个 cmdlet，我想将结果限制为只有一个 OU：

Get-ADUser -Filter  {(Enabled -eq $false)} | ? { ($_.distinguishedname -notlike '*Disabled Users*') } 

现在我尝试使用

-searchbase "ou=FirstOU,dc=domain,dc=com"

但是如果我使用-SearchBase我会收到这个错误：

Where-Object : A parameter cannot be found that matches parameter name 'searchb
ase'.
At line:1 char:114
+ Get-ADUser -Filter  {(Enabled -eq $false)} | ? { ($_.distinguishedname -notli
ke '*Disabled Users*') } -searchbase <<<<  "ou=FirstOU,dc=domain,dc=com"
    + CategoryInfo          : InvalidArgument: (:) [Where-Object], ParameterBi
   ndingException
    + FullyQualifiedErrorId : NamedParameterNotFound,Microsoft.PowerShell.Comm
   ands.WhereObjectCommand

我试图做的是从特定的 OU 中获取所有禁用的用户，但是，我想排除的 FirstOU 内部有一个 OU：“禁用的用户”OU。

正如您可能已经猜到的那样，我想在特定 OU 中查找不在该 OU 内的“禁用用户”OU …

如果有一个 GPO 应用于所有禁用某些内容的域计算机，是否有办法为域中的某些主机重新启用禁用的内容，而无需将这些主机从默认域计算机组中删除？

换句话说，是否可以将另一个重新启用已禁用功能的 GPO 应用于子 OU，其成员计算机仍然是域计算机的成员？如果是这样，那么应该在域层次结构中的哪个位置创建该 OU，以及应该如何应用这两个 GPO？

我有一个组织，在一个城市有总部（大约 150 个用户），在不同城市有 16 个分支机构（高中，每个 300-400 个用户）。

我要做的是在 AD 中为企业网络创建一个域。

有人建议我执行以下操作：

• 为每所学校创建 OU，并将管理控制委托给本地管理员。
• 为每所学校创建站点并控制复制（例如晚上复制）。
• 在每个位置（学校）有 1 个工作 DC 和 1 个重复（备份）DC 以备冗余

我的问题是

• 我是否需要为每个位置（如 city1.school.org、city2.school.org 等）创建一个子域？它有什么好处？

有人说这会引起更多的头痛，而且它更多地取决于组织的逻辑结构而不是物理结构。但是，我想听听它的利弊，以及在什么情况下它更合适。

正如标题所说，我必须找到用户所属的所有组，并从所有组中删除其成员资格。

我试过这个：

get-adgroup -filter * | where {(Get-ADGroupMember $_ | foreach {$_.PrimarySmtpAdress}) -contains "user1@domain.com"}

但它不返回任何东西（虽然有一些必须返回的项目）

至于删除我发现没有办法做到这一点，有人可以给我一个执行此操作的代码示例吗？

我在谈论安全组。

我正在编写一个 Powershell 脚本，以将所有公司用户从 CSV 文件填充到 Active Directory。

该脚本使用 Powershell 命令New-ADUser，它应该知道，对于每个用户，添加它们的路径在哪里，例如：

"OU=IT Dept,OU=Users,DC=local,DC=contoso"

问题是：这个 Active Directory 还没有任何用户，所以没有创建组织单位，每当我运行脚本时，如果路径不存在，则不会创建用户。

我已经查找了创建组织单位的命令，例如New-ADOrganizationalUnit或dsadd，但是它们不支持递归创建，例如

"OU=Helpdesk,OU=IT Dept,OU=Users,DC=local,DC=contoso"    

如果

"OU=IT Dept,OU=Users,DC=local,DC=contoso"    

还不存在。

有没有办法使用New-ADOrganizationalUnit做到这一点？

谢谢

所以它们都是用来组织其他对象的对象。您可以向其中添加用户、组和计算机。

1. 它们之间有什么区别？
2. 划分公司中不同部门（OU或组）的用户和计算机的最佳方式是什么？