我的目标是将我们庞大的“用户”OU(不是默认的 OU!)划分为来自各个部门的不同子 OU。然后,我想将 GPO 链接到不同的部门,但以某种方式“限制”它们的应用到 RD 会话主机。我想知道是否有办法实现这一点,而无需将大约 15 个 GPO 仅链接到“RD 会话主机”OU,而没有链接到部门 OU。此外,能够尽可能少地进行项目级别定位会很好。
原因是:看起来更漂亮、管理更快、概览更好。
我希望不使用第三方软件来实现这一点,即:
https://www.policypak.com/resources/pp-blog/group-policy-loopback/
如果您也遇到了同样的问题,您能发表评论吗?
如果您知道这是不可能的,请告诉我。
答案1
您可以创建一个包含 RD 会话主机 OU 中的所有计算机的安全组,然后在您的 GPO 上使用委派或安全筛选,使得域计算机没有读取权限,只有 RD 会话主机组具有读取权限,而域用户(或其他更有针对性的组)具有读取和应用权限。可以说,您可以将两个组都放入 GPO 的安全筛选中,这将实现相同的目的(尽管会向计算机授予应用权限 - 只要 GPO 未链接到其 OU,这应该不会产生任何影响)。由于 GPO 是由计算机帐户检索的,因此确保只有所需的计算机才能检索策略意味着 GPO 只应在登录这些计算机时应用于用户。
评论/想法:
- 您不能/不应该阻止域控制器读取这些 GPO,这会导致意想不到的后果 - 因此使用这种技术,如果用户登录域控制器,GPO 可能会适用。话虽如此 - 无论如何,有权访问 DC 的管理帐户应该位于完全独立的 OU 中。
- 根据“外观”设计 GPO(在我看来)会导致故障排除的潜在复杂性,尤其是在引入外部合作者、熟练的新员工以及寻求社区帮助(例如 Server Fault)时
- 我认为你列出的原因都是主观的——这没关系,我不需要管理你的环境
答案2
由于超过 95% 的 GPO 都是基于注册表的,因此您可以使用以下易于应用的解决方案:找到 GPO 使用的注册表项。使用组策略首选项(“GPP”)项(而不是使用标准 GPO)部署它们。在 GPP 中,您可以使用“项目级别定位”,这是一组预定义的 WMI 过滤器,允许区分在何处应用这些 GPP。