完成 Active Directory 重新设计和 GPO 应用

tag-icon tag-icon active-directory group-policy
完成 Active Directory 重新设计和 GPO 应用

经过多次测试、数百次尝试和数小时的投入后,我决定在此咨询各位专家。

概述:

我想将一些 GPO 应用于我们的用户,这将为所有用户的 Internet Explorer 设置中的受信任站点添加一些特定站点。但是,我尝试得越多,结果就越令人困惑。GPO 要么应用于一个用户组,要么应用于另一个用户组。最后,我得出结论,这种奇怪的行为是由 Active Directory 中的用户和组组织不当造成的。因此,我想从根源上解决问题:重新设计 Active Directory 用户和组。

设想:

有一个域控制器,我们使用终端服务(因此也有一个终端服务器)。用户通常使用远程桌面登录到终端服务器来执行日常任务。我将按以下方式对用户进行分类:

  • IT:管理员、软件开发
  • 商科:行政、管理

Active Directory 用户和组的当前结构是以前 IT 管理的结果。该公司使用了 Small Business Server,它创建了多个默认用户组和容器。

不幸的是,在我之前工作的人根本没有做任何文档。现在,当我继承了这个结构时,我处于无人区。不知道首先要往哪个方向走。

在此处输入图片描述

如您所见,Active Directory 用户和组变得有点混乱。不再有 SBS,但在从 SBS 迁移到当前 Windows Server 2008 R2 环境时,我之前的人员只是复制了相同的结构。

真正的问题是:

我应该从哪里开始清理,以确保不会完全破坏当前的基础设施?对于我上面解释的场景,什么样的组织方式比较好?

关于当前结构的可能有用信息:

  1. Computers文件夹包含Terminal Services Computers用户组

    • 成员:TerminalServer位于Server -> TerminalserverOU 的计算机
    • 成员:无

  2. Foreign Security Principals: 空的

  3. Managed Service Accounts: 空的

  4. Microsoft Exchange Security Groups:不确定是否需要,我们的电子邮件由外部服务提供商管理

  5. Distribution Groups:不确定是否需要

  6. Security Groups:有几个组是需要的

  7. SBS users:包含所有用户

  8. Terminalserver:仅包含 TerminalServer 计算机

答案1

我以前处理过类似的问题。

话虽如此,您的组织看起来也并不普通。许多小企业都是按照您概述的方式建立的。

如果您确实想重组,我发现最好的解决方案是在域的根目录下设置一个具有阻止组策略继承的 OU。在此 OU 下构建新结构并在那里应用组策略。然后,您可以以受控的方式移动计算机和用户对象。

至于设计,只要有用就用。不要试图过于紧密地模仿企业的物理布局。对系统进行分组,使其易于管理。

编辑澄清:

“阻止继承”是一个选项,允许您设置一个不接受在其上定义的任何策略的 OU。这允许完全空白。任何后来移到这里的对象都将具有没有任何现有政策将不再适用,即使它们本来应该适用。留在原处的任何对象仍将适用其当前政策。

虽然逻辑建模有点过时这里为整体 AD 结构提供了一些极好的指导。

另外一点,非常重要 - 文件一切你正在做的事情。包括为什么这样做以及如何配置。你为此选择的具体方法并不重要,但我个人更喜欢各种方法之一维基在那里。为你的环境建立详细的历史记录是天赐之物。

针对 Joe Qwerty 的补充编辑

我并不一定提倡重组。这样做会耗费大量时间,而且非常痛苦。我只是建议如果 OP 选择这种方式,应该如何做。就我个人而言,这将是最后的手段。我曾与一些地方签订合同,那里的每个人都是域管理员,而帐户/组策略一片混乱,重组是最可行的选择。

如果可以选择,我会选择在现有的 AD 结构中工作。如果命名约定等让您感到困扰,您可以随时更改它们。OU、组名等都有 GUID,重命名不会破坏它们。SBS 条目很可能不是从旧 SBS 服务器复制。SBS 包括 Active Directory。组织扩展时常见的迁移路径是添加 2008 R2 / 2012 服务器,将其提升为域控制器,移动 FSMO 角色,然后降级原始 SBS 服务器。如果旧管理员在原始 SBS AD 控制台上花费了大量时间,我就能理解为什么你不想更改命名约定。

答案2

我不同意 Tim 的回答,我认为您应该通过找出您预期的 GPO 设置不起作用的原因来解决问题,而不是通过“重组”您当前的设置。如果您一开始就配置了错误的 GPO,那么重组当前设置并不能解决您的问题。除了几个额外的 OU 之外,“结构”看起来是 SBS 的典型结构。仅仅因为您不再拥有 SBS 并不意味着您需要将孩子和洗澡水一起倒掉。询问您是否可以删除 OUMicrosoft Exchange Security Groups让我相信您缺乏进行重新设计的适当知识和经验。

我怀疑您真正的问题是,您尝试在用户登录终端服务器时为他们配置某些设置,但您是在链接到用户 OU 的 GPO 中配置设置,而不是在链接到终端服务器 OU 的 GPO 中配置设置并使用环回策略处理,如果这是您的情况,这将是执行此操作的方法。

那么,您是否尝试为用户配置登录终端服务器时的设置?如果是,您在哪个 GPO 中配置这些设置?

相关内容