Active Directory 中的机器/计算机组

Question 1

当发生某些本地系统事件并且您希望此类事件影响机器外的资源（例如在中央位置记录由 GPO 推送的软件安装）时，计算机组非常有用。如果您有一个执行安装的计算机组，并且您将该计算机组设置为允许写入日志目录，则这些软件安装将被集中记录。

启动脚本也是如此。如果您在该脚本中进行数据收集并希望将文件放在某个中心位置，那么机器组就很方便。

需要记住的是，用户不会从他们登录的机器继承任何权限。AD 将它们视为两个独立的实体。这可能有利也可能不利，具体取决于您要执行的操作，但您确实需要记住这一点。

Answer

当发生某些本地系统事件并且您希望此类事件影响机器外的资源（例如在中央位置记录由 GPO 推送的软件安装）时，计算机组非常有用。如果您有一个执行安装的计算机组，并且您将该计算机组设置为允许写入日志目录，则这些软件安装将被集中记录。

启动脚本也是如此。如果您在该脚本中进行数据收集并希望将文件放在某个中心位置，那么机器组就很方便。

需要记住的是，用户不会从他们登录的机器继承任何权限。AD 将它们视为两个独立的实体。这可能有利也可能不利，具体取决于您要执行的操作，但您确实需要记住这一点。

Question 2

我偶尔会使用多台机器来应用组策略。对于一些更高级的策略，仅基于 OU 进行应用是行不通的。我有策略，这些策略应该适用于一组应用了大约 40 个策略的服务器。但是其中一些策略只应用于一个子集，在某些情况下，这些机器子集会重叠，因此纯粹在 OU 上执行会导致像这样的丑陋的 OU 结构（我在客户网络的生产中看到过这种情况）。

富
foo\policya
foo\policyb
foo\policyc
foo\policya+policyb
foo\policyb+policyc
foo\policya+policyc
foo\policya+policyb+policyc

这样更简洁，只需将策略留在顶部，并让策略仅适用于特定组，并且组成员包括应应用该策略的机器。

当我看到有人试图让政策发挥作用，却使用极其丑陋的 OU 结构时，我真的很恼火。微软称这项技术集团政策，而不是 OU 政策，这是有原因的。

Answer

我偶尔会使用多台机器来应用组策略。对于一些更高级的策略，仅基于 OU 进行应用是行不通的。我有策略，这些策略应该适用于一组应用了大约 40 个策略的服务器。但是其中一些策略只应用于一个子集，在某些情况下，这些机器子集会重叠，因此纯粹在 OU 上执行会导致像这样的丑陋的 OU 结构（我在客户网络的生产中看到过这种情况）。

富
foo\policya
foo\policyb
foo\policyc
foo\policya+policyb
foo\policyb+policyc
foo\policya+policyc
foo\policya+policyb+policyc

这样更简洁，只需将策略留在顶部，并让策略仅适用于特定组，并且组成员包括应应用该策略的机器。

当我看到有人试图让政策发挥作用，却使用极其丑陋的 OU 结构时，我真的很恼火。微软称这项技术集团政策，而不是 OU 政策，这是有原因的。

Question 3

老实说，我发现 AD 中计算机组的唯一用途是限制应用于工作站的组策略的范围。Microsoft 的最佳实践建议您应该将策略应用于 OU，然后将工作站放入所述 OU...但我发现这通常不太理想...组允许我对其进行进一步优化，以便我可以在特定机器上设置角色。

Answer

老实说，我发现 AD 中计算机组的唯一用途是限制应用于工作站的组策略的范围。Microsoft 的最佳实践建议您应该将策略应用于 OU，然后将工作站放入所述 OU...但我发现这通常不太理想...组允许我对其进行进一步优化，以便我可以在特定机器上设置角色。

Active Directory 中的机器/计算机组

答案1

答案2

答案3

相关内容