我现在所在的公司正在设置一台新服务器。它将运行 Microsoft Server 2008 并用作域控制器,DNS 指向 OpenDNS 进行过滤等。
该组织是一家医疗机构,拥有以下常规级别的员工:
- 公司董事
- 医生
- 护士
- 接待人员
- 办公室/行政人员
- 工作经验用户
- 承包商
我已经在 Microsoft Server 2003 上设置了服务器,但在进行进一步的操作之前,我们决定应该升级/重新安装到 Microsoft Server 2008。我认为这是澄清设置用户的“正常”方式的理想时机。
目前,上述每个员工级别都是组织单位。我这样做是因为看起来我可以从组织单位级别设置 GPO 等,而不是选择组内的所有用户,然后以此方式应用 GPO。
这是正确的吗?组织单位可以用于用户级别的组织吗?或者它们是否用于基于位置的组织,例如办公室 1、接待处等?
谢谢,
丹尼
答案1
根据您希望他们拥有的组策略将人员放在不同的 OU 中,您的想法是正确的。通常,OU 用于区分人员和计算机,以便更轻松地确定对每个 OU 应用哪些组策略。
例如,我的 AD 结构大致如下,顶部有一些非常通用的 GPO,越往下,GPO 越细化。例如,在/Acme WidgetsOU 中,我设置了从我们的 WSUS 服务器下载更新之类的内容(因为这适用于所有计算机),并且在/Acme Widgets/Internal/Computers/Internet CafeOU 中我有一个 GPO,它限制了用户可以执行的几乎所有操作。
基本上,OU 可以帮助您管理 GPO,但如何管理最终取决于您。
corp.acme-widgets.local
----Acme Widgets
--------内部
------------计算机
----------------财务 ----------------
人力资源
----------------网吧
----------------IT
----------------销售
--------------------------------区域 1
--------------------------------区域 2
------------用户
----------------财务
----------------人力资源
----------------IT
----------------销售
--------------------------------区域 1
--------------------------------区域 2
--------外部
------------计算机
------------用户
答案2
对此问题实际上没有正确答案,答案是“视情况而定”。
您可以将 GPO 应用于 OU、用户或计算机组或者组合,即仅限位于给定 OU 中的某个组的成员。
一切归结为“视情况而定”。