Active-Directory

跨多個域管理組策略

  • December 13, 2019

我正在尋找一種跨多個域管理組策略的方法,其中一些在同一個林中,而另一些在不同的林中。我以前從未見過這樣做過,並且在 DevOps 空間中找不到任何東西可以說它可以通過 DSC 或其他一些工具來完成。

本質上,我想要做的是在多個域之間獲得一致性,並以統一的方式將其應用於所有域。這是為了準備將一組與 CIS 相關的調整應用到大約 6 個域。

DSC 會是理想的選擇嗎?

這是一個很好的問題。我們維護一組基線組策略對象,其中包含在多個域之間共享的設置,並使用我們的配置管理流程來確保在測試和批准更改後一起更新它們。每個域中的 GPO 更新不是自動的。在導出設置並導入每個域之前,首先測試更改。

根據預期的影響,我們可能希望系統地部署變更,而不是一次全部部署。我們可能需要與下層客戶協調變更。擁有這種自動化會很好,但我們不會對部署進行太多控制。在穩定的生產環境中進行這樣的更改是非常罕見的,但是當你這樣做時,應該小心控制。

我很想知道其他人是如何管理它的。DSC 幾乎可以做任何事情,只要您開發它。

引用自:https://serverfault.com/questions/995293