我很好奇,当一个人应该使用Active Directory中的机器组? 他们常见的用例是什么? 一个人如何随着机器被多层IT操作洗牌而保持最新? 如果一个人没有权限访问用户对象来应用策略等,是否会对机器组产生影响?
当某些本地系统事件发生时,机器组很有用,并且您希望此类事件影响非机器资源,例如将由GPO推送的软件安装logging在中央位置。 如果您有一个正在进行安装的计算机组,并且您将该计算机组设置为允许写入日志目录,则这些软件安装将集中logging。
这同样适用于启动脚本。 如果你在这个脚本中进行数据收集,并且想把这些文件放在一个中心位置,那么一个机器组就很方便。
要记住的是,用户不会从他们login的机器inheritance任何权限。 AD认为他们是两个独立的实体。 这可能是好的也可能是坏的,取决于你想要做什么,但你确实需要记住它。
说实话,我唯一使用AD的计算机组中find的用途是限制适用于工作站的组策略的范围。 微软的最佳实践表明,你应该将策略应用于OU,然后将工作站放入到OU中,但是我经常发现这种情况并不理想……群组允许我对它进行更精细的调整,以便可以设置angular色在特定的机器上。
我偶尔会使用一组机器来应用组策略 。 有了一些更高级的政策,单独依靠OU应用就行不通了。 我有一些政策,如果一套服务器有大约40个政策适用于他们。 但是有一些策略只适用于一个子集,在某些情况下,这些子集的机器是重叠的,所以纯粹在OU上做就会导致这样一个丑陋的OU结构(我在客户端看到过这种情况networking)。
把政策放在最前面,只把政策适用于特定群体,而群体成员包括政策应适用的机器,则更为清洁。
当我看到那些疯狂丑陋的OU组织,因为他们试图制定政策而工作的时候,这真的让我感到毛骨悚然。 微软称之为技术集团政策 ,而不是OU政策的原因。