背景:我最近一直在帮助进行 GP 简化(阅读大修) 工作。我正在根据主管要求使用组策略完成的一系列事项来加强我们的安全性。由于我们的 GP 结构发生变化,最好将域控制器移到另一个 OU(具体来说是移到该 OU 的两层深处)。环境包括 Windows 7、Server 2008 R2 和 Server 2012,包括物理机和虚拟机的混合。在所讨论的 DC 中,一个是物理的,另一个是虚拟的。两者都使用 Server 2008 R2。
。
通过我在 Google-fu 上的不懈努力,我只找到了一篇非微软的帖子对此发出警告(参见 John Savill 链接)。
问题:正如标题所说,如果我将域控制器机器帐户从默认 OU 移动到另一个 OU,假设策略已链接,会发生什么情况?
我问的不是最佳实践。我是问如果做出相关改变,会出现什么问题。
链接:John Savill Windows IT Pro 问答 2009 年 7 月 8 日发布(我真心怀疑微软支持会因为这样的改变而出现问题,我们不使用 Exchange,操作系统更新是假的,等等。)
组策略概述(这警告下面默认存在的组策略对象引用正确链接政策,这已经完成了。
保护 Active Directory 管理组和帐户(这重要的下面将管理工作站帐户移至管理工作站 OU再次引用正确链接的政策,这已经完成了。)
答案1
移动域控制器对象起初可能不会造成任何问题,但您可能会后悔。看起来您已经掌握了组策略链接,并且没有提到任何自定义委派或 OU ACL。但是,有一个主要问题:可分辨名称。在 Active Directory 的配置分区中,可以引用域控制器,特别是如果您使用 Exchange 或 SQL Server 之类的东西。这些引用是通过可分辨名称(即对象的完整路径)进行的。如果移动对象,这些引用显然会中断。
让我再多说一下 SQL Server 部分。如果 Microsoft 产品在某个配置下出现问题,那么你不应该使用该配置因为他们不打算让你这么做。域控制器 OU 始终具有特定的记录 GUID,因此从逻辑上讲,查找域控制器是所有产品都应做的合理的事情。我还听说过(但未经证实)有关(adprepADDS 升级过程的一部分)移动域控制器对象时出现问题的故事。
当然,将域控制器 OU 保留在根目录中并将任何必要的 GPO 链接到那里并不会太碍眼。