Active-Directory

在 AD 中,向我解釋將使用者放入 OU 的好處

  • September 21, 2016

到目前為止,我剛剛將域中的所有使用者和電腦留在域根目錄中。

我一直在考慮如何更好地組織我的 AD,但我還沒有看到使用 OU 的優勢。

現在,我使用安全組組織所有內容,然後使用安全過濾應用 GPO。

如果我按 OU 組織所有內容,在我看來,它允許我做的就是刪除幾個 GPO 上的安全過濾。但它似乎也將使總體上計算成員資格和繼承變得更加複雜。

我在這裡想念什麼?

我發現這兩個執行緒似乎其他人對如何充分利用 OU 感到同樣困惑:

建構 OU 以正確建模組織層次結構

將組策略應用於特定電腦(不在 OU 中)上的特定使用者(在 OU 中)

將使用者放在 OU 上的主要原因是出於組織名稱的目的。

主要是,最重要的原因是 GPO。OU 可幫助您隔離 GPO,您可以使用安全選項或 WMI 過濾器來引導 GPO,但 WMI 過濾器是真正的性能殺手,通常會導致登錄緩慢。

另一個重要的好處是可以將 OU 的控制權委託給使用者。這樣,您可以增強安全性並將功能委託給非管理員使用者。使用者擁有的權限越少越好。

引用自:https://serverfault.com/questions/803058