在我看来,如果我有一个 GPO 并且想要应用它,我有 2 个选择:
- 将 GPO 链接到域,然后限定范围到安全组和用户
- 将 GPO 链接到包含我的目标用户(可能还有安全组)的 OU
例如:如果我有一个名为 Administration 的 OU,其中包含一个同名的安全组和 4 个属于该安全组的用户,并且我希望将 GPO 应用于这 4 个用户,则可以:
- 将 GPO 链接到域,然后在范围选项卡 > 安全过滤下选择管理安全组或其成员
- 链接到管理 OU
我对么?
是否有更好的选择?如果有,请解释一下。谢谢
答案1
在大型环境中,将 GPO 链接到域的顶层很少见。这是因为可能会产生影响。它还会增加需要为仅过滤掉 GPO 的机器/用户处理的 GPO 数量。
如果可能的话,应该在 OU 级别进行。即使在较小的环境中,您也会发现大多数 GPO 都链接到 OU 而不是整个域。
如果您拥有一个强化的管理跳转服务器,大多数管理活动都可以在该服务器上执行,则可以将 GPO 链接到该服务器所在的 OU,并指定环回处理以将用户设置应用于登录到该服务器的帐户。
实施安全管理主机
http://technet.microsoft.com/en-us/library/dn487449.aspx