我所在的大学有将近一千名用户(包括教职员工)。许多教职员工也兼职教学,许多教职员工在不同院系任教。
知道用户和/或计算机只能存在于单个 OU 中,什么样的策略可以实现良好的层次结构,并且仍然足够灵活,以允许不同部门的组策略应用于同一个用户。
这种情况并不罕见,但我只是还没有看到最简单或最干净的布局。
答案1
如果不对您正在寻找的特定场景进行一些解释,就很难给您提供任何“分步说明”。
用户组策略应用受以下因素影响:
- Active Directory 中用户对象的可分辨名称 (DN) 以及用户对象 DN 父路径中的组织单位对象中的 GPlink 对象
- AD 站点对象中的 GPlink 对象包含用户登录计算机的 IP 地址
- 用户对象 DN 的父路径或 AD 站点对象的 OU 的“阻止继承”属性
- 链接到用户对象父路径或 AD 站点对象中的 OU 的 GPlink 对象的“强制”/“无覆盖”属性
- 用户帐户的安全组成员身份以及在应用 GPO 或应用 GPO 内可能附加有 ACL 的特定策略或首选项设置方面授予他们的权限(例如,软件安装策略和组策略首选项设置在 GPO 内具有 ACL)
- 在计算机上启用环回组策略处理(以合并或替换模式)
这些都是控制用户组策略应用的机制。在所有这些功能之间,您可以创建相当复杂的部署场景。
您的 OU 层次结构应该总是首先根据计划的控制委派进行设计。您只能获得一个 OU 层次结构,并且没有良好的机制将控制委派与 OU 层次结构分离开来。首先设计控制委派,其次设计组策略应用程序。
我专注于使用安全组成员身份来过滤用户组策略应用程序。永远不要忘记,GPO 中的某些设置具有与 GPO 本身分开的 ACL。“阻止继承”和“强制”/“不覆盖”功能应谨慎使用,通常表明设计有问题。环回组策略处理可能是一个非常强大和有用的工具,但理解起来有点复杂。
您关注的是用户,但我也想花点时间谈谈计算机。计算机组策略应用程序具有与用户组策略相同的所有过滤功能,但还包括 WMI 过滤。WMI 过滤可以让您将 GPO 定位到计算机的特定硬件或操作系统相关属性。我经常看到在过滤计算机组策略时忽略了安全组过滤。
您可以使用 WMI 筛选和计算机组策略的安全组筛选来完成某些任务。WMI 筛选具有根据每个组策略应用程序动态计算的附加功能(而安全组成员身份必须手动更改才能影响筛选)。如果您的计算机位于不同的 OU 中且没有 WMI 可筛选属性,并且需要应用通用组策略对象,则安全组筛选仍然很有用。我经常对计算机使用安全组筛选来控制软件安装策略(其中我有一个分配了多个软件包的 GPO,每个软件包都有一个唯一的 ACL,其中包含一个用于控制软件安装的组)。
抛开我上面所说的一切,你能做的最重要的事情是确保你完全理解组策略客户端如何计算策略结果集,并利用这些知识集思广益,在将可能的设计投入生产之前对其进行测试。我坚信测试应该从笔和纸(白板等)开始,而不是从软件开始。你需要有足够的组织知识才能设计出真实的场景并进行测试。让 IT 组织中的其他团队(如果需要,也可以让 IT 组织之外的团队)参与进来。例如,你的帮助台团队将有控制委托需求,这将推动物理 OU 层次结构。你的桌面支持团队可能有软件安装需求,以推动计算机组策略过滤。在投入生产之前,有许多可能的场景需要讨论、在纸上制定,并最终在实验室场景中进行测试。