我是一名初级 MS System 管理员。一位资深朋友建议我对 Active Directory 结构进行修改,因此我想听听您的建议/意见。
当前情况
目前,所有 PC 都安装在林中的一个 OU 内。因此,我们无法分辨哪台计算机或打印机属于哪个部门、单位、科室甚至员工。这种混乱的方法在过去给我们带来了很多问题,因此,我们最近创建了一个 IT 资产控制器功能来填补这一空白,并在单独的数据库中盘点所有 PC 及其各自的部门、单位、科室和员工。
现在我的老朋友建议如下
为这些 PC 创建一个域,并根据访问和策略需求提供适当的 OU、组策略和帐户委派。
他澄清说,这将使管理更加容易,并能够对许多关键电脑和系统(如电话电脑、安全系统和一些技术电脑)进行监控和跟踪。
出于某种原因,我觉得我可以用不同的方式解决这个问题。
你怎么认为?
答案1
良好的 OU 结构对于将策略和设置应用于系统的难易程度有着很大的影响。
但请记住有关组策略的一个关键点。可以应用于群组。默认情况下,策略将应用于经过身份验证的用户,但您可以修改策略的权限,使其仅适用于特定组。您可以将计算机和用户添加到适当的组中。
记住这一点很重要,因为在创建 OU 结构时,您真的不应该过度为每个模糊的配置创建大量 OU。您希望构建 OU 来处理大多数情况,但如果您有一个针对单个系统的 OU,那么最好修改策略以不适用于特殊系统,而不是创建单独的 OU。
如果您确实想坚持默认设置,您可以跳过 OU,并将所有策略置于根目录并创建组,然后通过组成员身份应用策略。
如果您根本不打算使用组策略,那么您可以使用像 WPKG 这样的包管理器将设置部署到您的系统,但这样做需要更多的努力。