限制用户使用 Active Directory 中的打印机和共享

限制用户使用 Active Directory 中的打印机和共享

我对 Active Directory 还比较陌生,无法理解以下场景:

  • 我在人力资源部有一组用户
  • 我在市场部有一组用户
  • 有几个用户既属于人力资源部门,又属于市场营销部门
  • 我正在设置一个共享文件夹,仅供市场部使用
  • 我正在设置一台共享打印机,仅供人力资源部门使用

我原本想做以下事情:

  1. 将 HR 用户添加到 HR OU
  2. 将营销用户添加到营销 OU
  3. 向两个 OU 添加一些用户
  4. 将组策略应用于 HR OU,以便只有那些用户可以使用该打印机进行打印
  5. 将组策略应用到营销 OU,以仅允许那些用户访问该文件夹。

但是,我被困在上面的第 3 步,因为我似乎无法将用户添加到多个 OU。我曾考虑过使用域本地组而不是 OU,但后来我认为我无法将 GPO 应用于组。

我知道有办法做到这一点。我的理解哪里出了问题?处理这种情况的好方法是什么?

答案1

一个用户对象只能位于一个 OU 中。但是,可以将 GPO 应用于安全组

  1. 从列表中选择 GPO,然后单击“属性”
  2. 选择“安全”选项卡
  3. 修改权限,以便只有所需的用户才具有读取和应用权限,而需要修改 GPO 的管理员则具有读取和写入权限。

要求:

  • 您必须对两个 OU 应用 GPO。
  • 两个 OU 中的所有必需用户也必须是安全组的成员。

相关内容