在我的家庭实验室,我试图减less执行的PowerShell脚本的范围。
我的Active Directory组织单位(OU)结构如下所示:
Customers Customer1 users groups servers Customer2 users groups servers 执行命令:
wmic useraccount get name
列出我的Active Directory中的所有用户帐户。
我想缩小OU的范围。 OU“Customer1> users”中的用户应该只能够在同一个OU中检索用户。
OU安全设置的修改导致不应用多个GPO。
我怎样才能做到这一点? 有最佳做法吗?
这听起来像你需要委托你的OU的控制。 为此,请不要直接调整安全选项卡,而应使用控制向导委派。
https://technet.microsoft.com/en-us/library/dd145344(v=ws.11).aspx
控制向导委派将允许您委派您的OU所需的所有访问权限。 您还需要确保限制对操作员组和pipe理员组的访问。
最后一个说明,如果这些OU是针对不同的客户,我会build议每个客户获得他们自己的森林。 AD森林不是多租户。 完全隔离同一个森林内的每个客户将是非常困难的。 另外,如果你失去了一个客户,他们将失去他们的AD域。 通过给每个客户自己的森林,你将得到完全的隔离,如果你松了一个客户,他们可以保留他们的AD森林。