我对 Active Directory 还比较陌生,无法理解以下场景:
- 我在人力资源部有一组用户
- 我在市场部有一组用户
- 有几个用户既属于人力资源部门,又属于市场营销部门
- 我正在设置一个共享文件夹,仅供市场部使用
- 我正在设置一台共享打印机,仅供人力资源部门使用
我原本想做以下事情:
- 将 HR 用户添加到 HR OU
- 将营销用户添加到营销 OU
- 向两个 OU 添加一些用户
- 将组策略应用于 HR OU,以便只有那些用户可以使用该打印机进行打印
- 将组策略应用到营销 OU,以仅允许那些用户访问该文件夹。
但是,我被困在上面的第 3 步,因为我似乎无法将用户添加到多个 OU。我曾考虑过使用域本地组而不是 OU,但后来我认为我无法将 GPO 应用于组。
我知道有办法做到这一点。我的理解哪里出了问题?处理这种情况的好方法是什么?
答案1
一个用户对象只能位于一个 OU 中。但是,可以将 GPO 应用于安全组:
- 从列表中选择 GPO,然后单击“属性”
- 选择“安全”选项卡
- 修改权限,以便只有所需的用户才具有读取和应用权限,而需要修改 GPO 的管理员则具有读取和写入权限。
要求:
- 您必须对两个 OU 应用 GPO。
- 两个 OU 中的所有必需用户也必须是安全组的成员。