我目前正在尝试为新的 AD 部署设计 OU 和 Group 设计。首先,分类很难。作为第一次猜测尝试,我们尝试将所有用户对象放在一起OU=Users,并在其下放置一些子 OU。
我们有许多团队和子团队 OU,以及一些工具集 OU,它们根据人员所在的职能团队以及他们需要访问的工具进行分组。
我们希望将用户保留在用户 OU 中,并且每个团队 OU 包含一个安全组对象,当用户加入团队或需要工具集访问时,我们可以将用户添加到该对象中。
AD 的布局如下:
Domain Root
|
|
\--OU=Users
| |
| \--OU=Staff
| | \-Username=Tom.OConnor, MemberOf=RedTeam
| |
| \--OU=Contractors
| |
| \--OU=Visitors
|
|
\--OU=Teams
| |
| \--OU=RedTeam
| | \-GroupName=RedTeam
| |
| \--OU=BlueTeam
| | \-GroupName=BlueTeam
| |
| |
| \--OU=GreenTeam
| | \-GroupName=GreenTeam
|
|
|
\--OU=Toolsets
| |
| \--OU=DevTools
| | \-GroupName=DevTool_CITool
| |
| |
| \--OU=InternetAccess
| | \-GroupName=InternetAccess
用户Tom.OConnor位于 RedTeam 组中。
GPO 已应用于OU=RedTeam,OU=Teams。
GPO 结果向导显示此 GPO 具有不是已应用于Tom.OConnor用户。
相反,应用于的 GPOOU=Staff,OU=Users会应用于用户Tom.OConnor。
那么,是否可以将 GPO 应用于包含组的 OU,然后让 GPO 随后向下渗透并应用于该组的所有成员?
答案1
GPO 仅适用于用户对象和计算机对象。
您需要将 GPO 应用于用户 OU,并使用安全组过滤以确保它仅适用于 RedTeam 组的用户。