Windows-Server-2008

建構 OU 以正確建模組織層次結構

  • April 26, 2014

我正在嘗試在我的網路的 Active Directory 和組策略中使用 OU。但是,我在找出建構我的 OU 的正確方法時遇到了一點麻煩,這樣我就可以擁有單獨的部門,但也可以讓更高級別的管理使用者獲得組織層次結構中較低部門的所有權限。

假設我有 4 個組織單位

  • 銷售量
  • 行銷
  • 會計
  • 管理人員

每個部門都有自己的驅動器映射,這是我通過部門 OU 中的各個組策略設置的。但是,這種結構的一個例外是執行部門。這些是公司的領導者,所以我希望這個 OU 中的使用者能夠訪問所有驅動器映射,而不僅僅是單個驅動器。但是,由於 OU 只能有一個父級,我不知道如何設置它,以便執行 OU 可以從所有部門繼承驅動器映射策略。

一種想法是為每個驅動器映射設置單獨的策略,然後簡單地將驅動器映射策略連結到我想要訪問的每個部門。在這種情況下,Executive OU 將有 4 個連結,每個連結對應一個驅動器映射。雖然這在一定程度上是有道理的,但它聽起來並不是最可維護的解決方案。每次添加部門時,或者如果向現有部門授予額外的政策,我也需要在執行 OU 中複製此連結。

我的另一個想法是簡單地將安全組用作每個 OU 中的對象,並將部門使用者分配給安全組而不是 OU(例如 DOMAIN\Marketing)。但是,這似乎並不像我期望的那樣工作。組策略似乎僅在將使用者添加到適當的 OU 後才應用於使用者,他們所在的安全組無關緊要。

我能想到的唯一其他解決方案是將部門策略簡單地移出 OU,而是依靠安全過濾將策略應用於不同的組。但是,這似乎不是大多數範例和教程處理管理其策略對象的方式,而是喜歡我上面列出的這些部門 OU。

我建構組策略對像以完成我所追求的目標的正確方法是什麼?

處理此問題的正確方法是使用單個組策略在整個組織中使用驅動器映射,並使用組策略首選項。

然後,您可以根據自己的安全方案在每個驅動器映射上設置目標規則。我可能會避免使用 OU 作為目標規則,因為無論如何您都需要安全組。

引用自:https://serverfault.com/questions/591543