复杂的组策略继承

复杂的组策略继承

我目前正在尝试为新的 AD 部署设计 OU 和 Group 设计。首先,分类很难。作为第一次猜测尝试,我们尝试将所有用户对象放在一起OU=Users,并在其下放置一些子 OU。

我们有许多团队和子团队 OU,以及一些工具集 OU,它们根据人员所在的职能团队以及他们需要访问的工具进行分组。

我们希望将用户保留在用户 OU 中,并且每个团队 OU 包含一个安全组对象,当用户加入团队或需要工具集访问时,我们可以将用户添加到该对象中。

AD 的布局如下:

Domain Root
|
|
\--OU=Users
|   |
|   \--OU=Staff
|   |   \-Username=Tom.OConnor, MemberOf=RedTeam
|   |
|   \--OU=Contractors
|   |
|   \--OU=Visitors
|
|
\--OU=Teams
|   |
|   \--OU=RedTeam
|   |   \-GroupName=RedTeam
|   |
|   \--OU=BlueTeam
|   |   \-GroupName=BlueTeam
|   |
|   |
|   \--OU=GreenTeam
|   |   \-GroupName=GreenTeam
|
|
|
\--OU=Toolsets
|   |
|   \--OU=DevTools
|   |   \-GroupName=DevTool_CITool
|   |
|   |
|   \--OU=InternetAccess
|   |   \-GroupName=InternetAccess

用户Tom.OConnor位于 RedTeam 组中。

GPO 已应用于OU=RedTeam,OU=Teams

GPO 结果向导显示此 GPO 具有不是已应用于Tom.OConnor用户。

相反,应用于的 GPOOU=Staff,OU=Users会应用于用户Tom.OConnor

那么,是否可以将 GPO 应用于包含组的 OU,然后让 GPO 随后向下渗透并应用于该组的所有成员?

答案1

GPO 仅适用于用户对象和计算机对象。

您需要将 GPO 应用于用户 OU,并使用安全组过滤以确保它仅适用于 RedTeam 组的用户。

相关内容