我正在尝试在网络的 Active Directory 和组策略中使用 OU。但是,我在确定 OU 的正确结构方面遇到了一些麻烦,这样我不仅可以拥有单独的部门,还可以让更高级别的管理用户获得组织层级较低部门的所有权限。
假设我有 4 个组织部门
- 销售量
- 营销
- 会计
- 管理人员
每个部门都有自己的驱动器映射,我通过部门 OU 内的单独组策略进行设置。但是,此结构的一个例外是管理人员部门。他们是公司的领导,所以我希望此 OU 中的用户可以访问所有驱动器映射,而不仅仅是单个驱动器。但是,由于 OU 只能有一个父级,我不知道如何设置它,以便 Executive OU 可以继承所有部门的驱动器映射策略。
一个想法是为每个驱动器映射设置单独的策略,然后简单地将驱动器映射策略链接到我想要访问的每个部门。在这种情况下,Executive OU 将有 4 个链接,每个驱动器映射一个。虽然这在一定程度上是有意义的,但它听起来并不是最可维护的解决方案。每次添加一个部门,或者如果向现有部门授予额外的策略,我也需要在 Executive OU 中复制此链接。
我的另一个想法是简单地使用安全组作为每个 OU 中的对象,并将部门用户分配给安全组而不是 OU(例如 DOMAIN\Marketing)。但是,这似乎并没有按我预期的方式工作。组策略似乎仅在将用户添加到适当的 OU 后才应用于用户,而他们位于哪个安全组并不重要。
我能想到的唯一其他解决方案是简单地将部门策略移出 OU,而是依靠安全过滤将策略应用于不同的组。然而,这似乎不是大多数示例和教程处理其策略对象的方式,而是倾向于我上面列出的这些部门 OU。
我应如何正确构建组策略对象以实现我所追求的目标?
答案1
处理此问题的正确方法是使用组策略首选项,在整个组织内对驱动器映射使用单一组策略。
然后,您可以根据自己的安全方案在每个驱动器映射上设置定位规则。我可能会避免使用 OU 作为定位规则,因为无论如何您都需要安全组。