AD：系统管理员帐户的 OU

正如其他回复中提到的那样，它可以很好地用于 GPO 链接——尽管我会绝不仅为此目的而进行此配置更改。

还要注意的是，Active Directory 确实有“一项保护措施（adminSDHolder 和 sdProp），用于防止控制委托活动危及特权账户“，但此保护措施仅处理直接或间接属于受保护组（域管理员、服务器操作员、帐户操作员、备份操作员等）的用户帐户；完整列表在此处：https://docs.microsoft.com/en-us/windows-server/identity/ad-ds/plan/security-best-practices/appendix-c--protected-accounts-and-groups-in-active-directory）。我认为，sdProp 过程虽然有益，但只是 Active Directory 安全性的一层保护，不足以作为保护敏感安全主体的唯一保护层。

虽然这是 Active Directory 的一大特色，但问题是，如果遵循（有时含糊不清的）最佳实践，这些组将大部分是空的。此外，选择遵循最佳实践必然会导致必须创建几个自定义组，并使用它们来保护环境中的不同访问权限 - 具有工作站管理员访问权限的组、具有服务器管理员访问权限的组、具有 Exchange 管理员访问权限的组、具有虚拟化环境管理员访问权限的组、具有共享文件系统管理员访问权限的组、具有其他应用程序和其他 LDAP 集成应用程序、服务和设备的管理员访问权限的组；被委派访问 Active Directory 本身的组。

这些组中的几个应该像“域管理员”或链接中详述的任何其他组一样受到尊重 - sdProp/adminSDHolder 就是这样的不是支持纳入其他组 - 仅排除（我上次检查时） 4 个预定义组。

为了正确轻松地实现对这些组的管理委托，应将这些组保留在一个单独的 OU 中，可以委托访问权限，或保留默认设置，域管理员保留修改组成员身份的唯一访问权限。由于此 OU 本质上是保护所讨论组所必需的，因此从逻辑上讲成员这些组（不同用户的专用二级、三级、甚至四级管理账户）也应该存在于此位置。

真正的答案 (tm) 是这样的：呃——也许吧，这取决于你想要实现什么。告诉我们更多关于为什么您正在考虑这样做，我们可以给您更具体的答案。您实际想要实现什么目标？

据我所知，没有特定的最佳实践。Active Directory 有一个保护措施（管理员SDHolder和sdProp) 以防止控制委派活动危及特权帐户。只需将特权帐户放入 OU，您就不会面临开放“域管理员”或其他特权组成员身份的重大风险。

如果您希望这样做只是为了直观地组织，您应该阅读“Active Directory 用户和计算机”中有关使用查询的内容。您可以以任何您能想到的方式创建 Active Directory 对象的“视图”。

如果您的目标超越了视觉，那么您需要考虑各种问题。

Active Directory 域分区的物理结构（OU 结构）的最佳结构首先是为了便于控制委派，其次是为了便于组策略部署。

如果这个提议的分离是基于对控制权委托的担忧，那么你最好阅读管理员SDHolder，sdProp，以及特权帐户的权限在 AD 中的工作原理。

如果您谈论的是控制组策略应用程序，那么当然，将帐户放在一个 OU 中。（哎呀，把它们放在两个 OU 中。）这其中也有一个“这取决于您要完成的任务”的组成部分。您是否在寻找一种简单的方法来为某一类用户隔离用户组策略？使用组成员身份过滤 GPO 可能会实现您想要的相同目标，并且可以防止您通过链接多个位置的通用 GPO（或者更糟的是，在多个 GPO 中重复相同的设置）来“重复自己”。

你的问题的性质让我认为你应该看看一些 Active Directory 设计文档（例如https://docs.microsoft.com/en-us/windows-server/identity/ad-ds/plan/ad-ds-design-and-planning）， 也。

是的，您需要这样做才能为其设置正确的策略。请参阅https://docs.microsoft.com/en-us/windows-server/identity/securing-privileged-access/securing-privileged-access了解这些政策的具体内容。

简单来说，是的，它增加了价值，我没有看到任何缺点。

在这种情况下，目标是如果您的组织使用大量用户组策略。

作为专用 OU，您可以轻松地将管理员帐户与所有用户 GPO 隔离。