Active Directory 中的机器/计算机组

Active Directory 中的机器/计算机组

我很好奇什么时候应该在 Active Directory 中使用计算机组?它们的常见用例是什么?当计算机被多层 IT 操作打乱时,如何保持它们的最新状态?如果一个人无权访问用户对象以在应用策略等方面移动,这对计算机组有什么影响吗?

答案1

当发生某些本地系统事件并且您希望此类事件影响机器外的资源(例如在中央位置记录由 GPO 推送的软件安装)时,计算机组非常有用。如果您有一个执行安装的计算机组,并且您将该计算机组设置为允许写入日志目录,则这些软件安装将被集中记录。

启动脚本也是如此。如果您在该脚本中进行数据收集并希望将文件放在某个中心位置,那么机器组就很方便。

需要记住的是,用户不会从他们登录的机器继承任何权限。AD 将它们视为两个独立的实体。这可能有利也可能不利,具体取决于您要执行的操作,但您确实需要记住这一点。

答案2

我偶尔会使用多台机器来应用组策略。对于一些更高级的策略,仅基于 OU 进行应用是行不通的。我有策略,这些策略应该适用于一组应用了大约 40 个策略的服务器。但是其中一些策略只应用于一个子集,在某些情况下,这些机器子集会重叠,因此纯粹在 OU 上执行会导致像这样的丑陋的 OU 结构(我在客户网络的生产中看到过这种情况)。

  • foo\policya
  • foo\policyb
  • foo\policyc
  • foo\policya+policyb
  • foo\policyb+policyc
  • foo\policya+policyc
  • foo\policya+policyb+policyc

这样更简洁,只需将策略留在顶部,并让策略仅适用于特定组,并且组成员包括应应用该策略的机器。

当我看到有人试图让政策发挥作用,却使用极其丑陋的 OU 结构时,我真的很恼火。微软称这项技术集团政策,而不是 OU 政策,这是有原因的。

答案3

老实说,我发现 AD 中计算机组的唯一用途是限制应用于工作站的组策略的范围。Microsoft 的最佳实践建议您应该将策略应用于 OU,然后将工作站放入所述 OU...但我发现这通常不太理想...组允许我对其进行进一步优化,以便我可以在特定机器上设置角色。

相关内容