现在,我已将 GPO 链接到 OU,但用户位于安全组中,以便策略生效,将它们保留在 OU 中还是保留在安全策略中更好?不使用安全组是否有最佳实践?
答案1
您所描述的没有任何问题。您可以使用 OU 结构、安全过滤或 WMI 过滤器来微调谁应用您的 GPO 设置。我会尽可能避免阻止 OU 上的 GPO 继承。
您可以根据使用情况,在应用 GPO 时采用包容式或排他式的安全过滤。例如,您可以将 GPO 应用于 OU 中的所有“经过身份验证的用户”(即用户/计算机),但仅使用安全组进行排除。这样,您就可以轻松指向一个组来识别谁不受该策略的约束。想想安全设置覆盖。
另一方面,您可能有多个用户/计算机组共享同一个 OU,并且您希望某些设置应用于一个组而不应用于另一个组。在这种情况下,您可以仅将 GPO 过滤为安全组的成员,并从经过身份验证的用户中删除“应用组策略”权限。
我建议制定一个组命名约定,这样就可以轻松识别哪些组与安全过滤域 GPO 相关联。例如“GPO 应用 - [GPO 名称]”或“GPO 拒绝 - [GPO 名称]”。
您还可以创建 OU 来应用策略。我倾向于仅在委派管理访问权限时创建 OU。保持目录结构简单且易于管理。WMI 过滤器会稍微增加 GPO 处理时间,应谨慎使用。因此,我仅使用 WMI 过滤器来定位主要的 Windows 操作系统版本,以应用该版本独有的安全设置。