我可以将安全组放入 OU 内吗?
如果我将特定用户放入 OU,则应用于该 OU 的 GPO 可以正常工作。如果我将安全组(包含用户)放入 OU,则 GPO 不起作用。
如果我不能(正如我所相信的),我该如何将大量用户添加到 OU 中?
干杯!
答案1
我不清楚您要完成什么,但您无法将组策略应用于安全组(尽管名称如此)。组策略可以根据安全组成员身份进行过滤,但 GPO 本身适用于计算机和用户。话虽如此,您的 GPO 需要链接到用户对象所在的 OU。
答案2
您可以将安全组放在 OU 内,但这不会导致链接的 GPO 应用于该安全组内的用户和计算机。GPO 仅适用于直接包含在 OU-域-站点层次结构中的用户和计算机。
其中一个原因可能是想将安全组置于 OU 之下意味着委托对整个 OU 的控制,包括其中包含的安全组。
答案3
您可以将 GPO 应用于安全组。GPO 的计算机配置部分将应用于 OU 下的直接计算机对象。用户配置将应用于已链接 OU 下的直接用户对象。
如果您需要将 GPO 应用于不基于 OU 结构的用户组,您可以通过安全过滤来实现,但不建议这样做。安全过滤会导致组策略效率低下。