在具有 Active Directory 的分支众多的组织中,我正在与 IT 部门主管合作,并将对分支 OU 各部分的控制权委托给相应的分支管理员。
我们的委派概念目前以这样一种方式处理组策略,我们为每个分支机构创建一个由总 IT 控制的组策略对象,并委派给分支机构管理员一个组策略对象,两者都链接到分支机构 OU 的同一级别,GPO-head
获取Enforced
标志和链接顺序 1。
在定义本地组(通常只是预定义的组,如管理员或远程桌面用户)时,我们面临的问题是委派相当棘手。最终目标是将 GPO-head
中定义的所有内容合并到组中并合并-branch
成员资格定义中。我们通过 GPP 定义本地组,-head
如下所示:
我们正在清除组成员身份,以确保曾经通过 GPP 添加但后来被删除的组成员实际上已从客户端的本地组中删除。
同一组可能具有通过 GPP 进行的成员资格定义-branch
:
现在的结果是,-head
受影响的客户端最终只存在 的定义。使用Restricted Groups
而不是 GPP 时,我们得到的结果几乎相同,因为Enforced
链接标志赋予了-head
GPO 优先权-branch
。当将 和 上的 GPP 混合时Restricted Groups
,-head
我们-branch
会看到不一致的结果 - 取决于哪个 CSE 首先运行(显然 CSE 的执行顺序未定义),组可能包含也可能不包含来自 的 GPP 定义成员-branch
。
那么,在允许将权限委托给分支机构管理员的同时,集中强制执行某些成员资格的最明智方法是什么?