[免责声明:这个问题是基于错误的印象。非常一小粒盐,或者根本没有盐。
作为一名 Linux 管理员,在近十年没有接触过 Windows 服务器之后,我又不情愿地被推回到 Windows 管理领域,与过去的组策略相比,我对现在组策略的某些方面感到有些困惑。
我还记得 ADUC 中的某些对象(例如 Windows Server 2003)上有一个组策略选项卡(如果我没记错的话),但现在 ADUC 和组策略似乎已被隔离到不同的管理控制台中并解除链接,GPMC 现在是 GPO 的位置。我相信这其中有很多原因。但是,我现在有几个问题。
为什么 OU 的结构和名称以及 GPO 与 ADUC 中实际 AD 对象的关联似乎与 GPMC 中的对应方完全隔离?似乎 GP 管理员也必须警惕模仿 GPMC 中对 ADUC 中 OU 的命名或结构所做的任何更改,但我认为这不可避免地会出错,因为错误和疏忽不可避免地会不时发生。
显然,IT 管理员应该足够聪明和警惕,以确保不存在任何不一致,但将 ADUC 和 GPMC 分离如何真正带来改进技术上说话?似乎自动化和匹配验证检查两者之间的一致性不仅是可能的,而且也是微不足道的。回到 Windows Server 2003,似乎 GPO 直接与 AD 对象本身相关联,因此无论您对它们做了什么,GPO 都会跟随对象;而我读到过现在 GPO 在直接关联和链接方面“不属于 AD 对象”。这种变化背后的原因是什么?
但也许我只是读了错误的文档并完全误解了情况[编辑:是的]。
感谢您耐心地向 Linux 管理员解释这一点。
答案1
您在 GPMC 中看到的 OU 实际上与您在 ADUC 中看到的 OU 相同。在其中一个中重命名,刷新视图后,它会在另一个中重命名(如果未连接到同一 DC,则等待复制)。
简而言之,它们仍然像以前一样保持着联系。您只是在 GPMC 中看不到任何非 GPO 子对象,因为应用程序选择不显示它们。
答案2
由于组策略 OU 不直接与 ADUC 中的 OU 绑定
组策略与 AD 紧密集成,并与 OU 相连。
- 组策略的物理文件存储在 SYSVOL 中
\\example.org\SYSVOL\example.org\Policies) - 策略的主要存储位置是
CN=Policies,CN=System,DC=example,DC=org容器中 gPLink策略通过给定 OU 的属性 链接到 OU 。- 看
Get-ADObject 'OU=Domain Controllers,DC=example,DC=org' -Properties DistinguishedName, gpLink
- 看
您的许多问题似乎与这两个工具不匹配有关。如果您同时打开这两个工具,则这两个工具可能会过期。或者您可能以某种方式连接到了不同的域控制器,并且您保存的内容的复制尚未完成。但 GPMC 肯定会将有关策略的信息直接存储到 AD。如果您强制刷新或等待几分钟,您所做的更改应该会同步。
答案3
需要注意的一点是,在 GPMC 中你不会看到默认的电脑或者用户容器,因为它们是容器而不是 OU。GPO 不能链接到这些容器。链接到域根的 GPO 和链接到站点级别的 GPO 将应用于这两个默认容器中的对象。