GPO 最佳实践:安全组过滤与 OU

GPO 最佳实践:安全组过滤与 OU

大家下午好,

我对 Active Directory 的东西还很陌生。将我们的 AD 的功能级别从 2003 升级到 2008 R2(我需要它来设置细粒度的密码策略)后,我开始重新组织我的 OU。我记住,良好的 OU 组织有助于应用 GPO(也许还有 GPP)。但最终,我觉得使用安全组过滤(从“范围”选项卡)来应用我的策略比直接使用 OU 更自然。

您认为这是一个好的做法还是我应该坚持使用 OU?

我们是一家小型组织,有 20 名用户和 30-35 台计算机。因此,我们有一个简单的 OU 树,但使用安全组进行更细致的划分。

OU 树不包含除底层之外的任何对象。每个底层 OU 包含计算机、用户,当然还有安全组。这些安全组包含同一 OU 的用户和计算机。

谢谢你的建议,Olivier

答案1

使用基于 OU 的 GPO 布局的好处

  • 更容易立即看到受影响的对象集

  • 比管理额外的安全组所涉及的开销更少

  • 由于您不需要一堆额外的安全组,因此较少复制到其他 DC 和较小的用户令牌(这对于您描述的较小的基础设施来说可能并不重要)

  • 在大多数组织中,几乎所有策略都可以在设计良好的 AD 中的 OU 级别应用

  • 更轻松的委派

使用基于范围的 GPO 布局的好处

  • 更加灵活

  • 解决where should I put this object?员工可能“跨部门”的问题

  • 您可以委派将成员添加到组的能力,这将允许服务台工作人员管理在何处应用哪些策略,而无需授予更改 GPO 的权限


实际上,我接触过的大多数组织都采用混合方法。基于 OU 应用的 GPO 通常分配给某个 OU,而“跨”OU 或需要过滤到某个 OU 子集的任何内容都使用安全过滤或项目级定位。

事实上,我实际上只是部署了一个 GPO 来将 50 台打印机映射到各个部门,并且它在域级别链接并使用项目级别定位 - 然而,我们拥有的几乎所有其他 GPO 都链接到具有默认安全过滤器的 OU。

TL;DR - 做对您的组织有意义的事情。

答案2

我认为这一切都取决于您尝试使用组策略配置的环境的复杂性。请记住,一个对象只能位于一个 OU 中,而一个对象可以位于多个安全组中。在简单的环境中(就像您的环境一样),我建议保持您的策略以及这些策略的应用也简单。

相关内容