到目前为止,我只是将域中的所有用户和计算机留在域根目录中。
我一直在考虑如何更好地组织我的 AD,但我还没有看到使用 OU 的优势。
现在,我使用安全组组织一切,然后使用安全过滤应用 GPO。
如果我按 OU 组织所有内容,在我看来,它允许我做的只是删除一些 GPO 上的安全过滤。但它似乎也会使确定成员资格和继承性总体上变得更加复杂。
我在这里遗漏了什么?
我发现这两个帖子似乎其他人也对如何充分利用 OU 感到困惑:
答案1
将用户放在 OU 上的主要原因是为了组织的名称目的。
主要,最重要的原因是 GPO。OU 可帮助您隔离 GPO,您可以使用安全选项或 WMI 过滤器来指导 GPO,但 WMI 过滤器是真正的性能杀手,通常会导致登录速度缓慢。
另一个重要的好处是可以将 OU 的控制权委托给用户。这样,您可以增强安全性并将功能委托给非管理员用户。用户的权限越少越好。
答案2
我想您会问,如果我可以使用安全组,为什么要将 OU 与 GPO 一起使用?我能想到几个原因:
1) 清晰度。如果您创建逻辑 OU 结构(例如,创建“计算机”和“用户”基础 OU、在“计算机”下创建“服务器”和“PC”子 OU、在 PC 下创建“管理员”和“会计”OU 等)并将 GPO 链接到其相应的 OU,而无需更改安全过滤器,您将能够一目了然地了解哪些 GPO 影响了哪些用户或计算机组。如果您仅使用安全组过滤,则需要检查每个 GPO 的安全过滤器或使用其他耗时的方法来查看发生了什么。如果您只有几个 GPO,并且您是唯一管理 GPO 的人,这可能并不重要,但随着 GPO 数量和管理 GPO 的人数增加,仅使用安全组过滤的方法很快就会变得非常混乱。
2) 效率和可管理性。链接到更高级别 OU 的 GPO 适用于所有下属 OU。通过精心设计的 OU 结构,您可以有效地应用精确且冗余度最小的组策略。例如,适用于计算机和服务器的更通用的计算机策略应链接到计算机 OU(例如通用 IE/Edge 设置、通用安全证书部署、powershell 环境设置等),专门应用于 PC 的策略(例如仅限客户端的 Windows 防火墙规则、MS Office 相关规则、客户端软件部署规则)应链接到 PC OU,自定义规则应链接到较低级别的 OU(例如特定文件共享映射、特殊权限等)。如果您的所有 GPO 都链接到同一个 OU,则每次都需要记住更改 GPO 优先级顺序,以便更重要/更具体的策略优先于更通用的策略(这很容易忘记)。我认为,如果您拥有具有最小化安全组过滤的逻辑 OU 结构,您会发现解决“GPO 不适用”问题会变得容易得多。 (注意:如果使用安全组过滤,某些组策略(例如组策略环回策略)可能会出现意外行为)。
3) 速度。使用安全组过滤的 GPO 处理时间稍长。使用 WMI 过滤的 GPO 处理时间更长。如果 GPO 数量很少,这可能无关紧要,但当您的 GPO 数量开始达到数百个时,您就需要考虑优化了。如果您想最大限度地缩短 GPO 处理时间,基于 OU 的 GPO 分配是最佳选择。