容器用于分割和组织网络,其设计考虑了特定用途和限制。这是我们不能将 GPO 链接到容器而只能链接到 OU 的唯一原因吗?容器和 OU 之间还有其他区别吗?
答案1
为什么我们不能将 GPO 链接到 AD 容器?
主要是因为容器对象缺少将组策略对象链接到它所需的必要gpLink
属性gpOptions
。Active Directory 使用 LDAP 数据库,该 LDAP 数据库中有不同类型的对象和继承层次结构,因此某些对象可以从其上方的父对象继承属性。有些对象具有某些属性,有些则没有。例如,用户对象和计算机对象都从同一个更高级别的对象继承,称为user
。(令人困惑吧?)计算机本质上是一种特殊类型的用户。
容器用于分割和组织网络,设计时考虑了特定的用途和限制。
不明白你在说什么。
这是我们不能将 GPO 链接到容器而只能链接到 OU 的唯一原因吗?
请参阅上面的第一个问题。
容器和 OU 之间还有其他区别吗?
您无法将 GPO 链接到容器,并且通常永远不应尝试移除或删除容器。容器和 OU 是两个不同(但相似)的对象类别。通常,当您安装 AD 或 AD 集成应用程序时,系统会放置容器,并且通常不应在没有充分理由的情况下对其进行干扰。另一方面,OU 供您(管理员)随心所欲地使用。您可以创建、移动和删除 OU,并以对您的组织有意义的任何方式对您的用户和计算机进行分类。此外,通常会systemFlags
分配给容器的某些内容禁止您移动或删除它们。
答案2
将 GPO 链接到 Active Directory 容器 这篇文章的第一段是这么说的:
GPO 可以关联(链接)到一个或多个 Active Directory 容器,例如地点,领域, 或者组织单位。多个容器可以链接到同一个 GPO,单个容器可以链接到多个 GPO。如果多个 GPO 链接到一个容器,则可以对 GPO 的应用顺序进行优先排序。
为了补充信息,这篇文章说: Active Directory 结构和组策略
无法将组策略对象链接到通用 Active Directory 容器。(通用 Active Directory 容器可通过 Active Directory 用户和计算机控制台中的普通文件夹图标来识别。组织单位的图标与之类似,只是文件夹上叠加了一本小书。)但是,通用 Active Directory 容器中的用户和计算机确实通过继承从链接在更高级别的 Active Directory 中的组策略对象来接收策略。例如,您在 Active Directory 用户和计算机中看到的用户和计算机容器不能直接链接组策略对象,但它们确实通过继承接收域链接的组策略对象。