我们的域中有一个 OU 设计,其中每个“系统”(Web 服务和类似服务)都有自己的 OU,其下嵌套有它使用的服务器和帐户:
...
+ System A
+ Servers
- SRV-A1
- SRV-A2
+ ServiceAccounts
- Svc-Foo
- Svc-Bar
+ System B
+ Servers
- SRV-B1
- SRV-B2
+ ServiceAccounts
- Svc-Baz
- Svc-Qux
我正在尝试构建一个 GPO,它将系统中的所有服务器上的“以服务身份登录”添加到相应服务帐户 OU 下的所有帐户。因此,Svc-Foo和Svc-Bar应该能够以服务身份登录SRV-A1和SRV-A2,而Svc-Baz和Svc-Qux应该能够以服务身份登录SRV-B1和SRV-B2。
我思考我应该能够使用项目级别定位来做到这一点,但我还没有弄清楚如何参数化它。我这样说对吗?这可能吗?
该域名目前处于 2008R2 功能级别,但如果需要的话,我们应该能够“很快”将其提升到 2012R2。
答案1
我不确定您是否可以做到这一点 - 项目级别定位是组策略首选项的一项功能,据我所知,没有 GPP 方式来分配“作为服务登录”权限。
如果您能找到等效的注册表项,您也许可以做到这一点,但快速的 Google 搜索却没有找到任何结果。
因此,除此之外,您还需要在每个“系统 [x]”级别或每个“服务器”级别上都有一个 GPO。