在我的家庭实验室中,我正在尝试减少执行的 PowerShell 脚本的范围。
我的 Active Directory 组织单位 (OU) 结构如下所示:
Customers
Customer1
users
groups
servers
Customer2
users
groups
servers
执行命令:
wmic useraccount get name
列出我的 Active Directory 中的所有用户帐户。
我想缩小 OU 的范围。OU“Customer1 > users”中的用户只能检索同一 OU 中的用户。
修改 OU 安全设置导致无法应用多个 GPO。
我怎样才能做到这一点? 有最佳实践吗?
答案1
听起来您需要委派 OU 的控制权。为此,请不要直接调整安全选项卡,而是使用控制权委派向导。
https://technet.microsoft.com/en-us/library/dd145344(v=ws.11).aspx
控制委派向导将允许您委派您的 OU 所需的所有访问权限。您还需要确保限制对操作员组以及管理员组的访问。
最后要说明的是,如果这些 OU 是为不同的客户准备的,我建议每个客户都拥有自己的林。AD 林不是多租户。将每个客户完全隔离在同一个林内非常困难。此外,如果您失去了一个客户,他们就会失去他们的 AD 域。通过为每个客户提供自己的林,您将获得完全隔离,如果您失去一个客户,他们可以保留他们的 AD 林。