服务器 Gind.cn
  1. 服务器 Gind.cn
  3. 完整的Active Directory重新devise和GPO应用程序
Intereting Posts
自己的木偶function 新鲜的红帽企业Linux无法使用yum安装httpd 在debian中使用dynamicIP,但使用路由器的静态本地IP 什么是一个更好,更便宜,替代完全负载均衡的专用服务器? 为什么这个服务器redirect到另一个页面? 我应该select语言节点还是Python来自动化AWS? StrongSwan主机无法访问客户端(双NAT) OpenVPN与几个服务器 在QLogic交换机上运行状态停止 0.1.2.3是一个有效的IP地址吗? 有关如何捕获networking连接/stream量以确定浏览器/ SSL版本的build议? 拥有文件夹的域用户应该能够创build子文件夹(Windows Server 2008 R2) 基本的NGINX,本地运行的uWSGIconfiguration只提供404 在IIS 7上安装WordPress的ASP.NET应用程序 IIS事件日志错误

完整的Active Directory重新devise和GPO应用程序

经过多次testing和数百次的尝试和投入,我决定在这里咨询你的专家。

概述:

我想将一些GPO应用于我们的用户,这将为所有用户在Internet Explorer设置中向“受信任的站点”添加一些特定的站点。 但是,越多的尝试结果越容易混淆。 GPO既可以应用于一组用户,也可以应用于另一组用户。 最后,我得出这样的结论:这种奇怪的行为是由Active Directory中的用户和组中糟糕的组织造成的。 因此,我想从根本上解决问题:重新deviseActive Directory用户和组。

场景:

有一个域控制器,我们使用terminal服务(所以也有一个terminal服务器)。 用户通常使用远程桌面loginterminal服务器来执行其日常任务。 我将按以下方式对用户进行分类:

  • IT:pipe理员,软件开发
  • 业务:行政,pipe理

Active Directory用户和组的当前结构是以前ITpipe理的结果。 该公司已经使用Small Business Server创build了多个默认的用户组和容器。

不幸的是,在我之前工作的人没有任何文件。 现在,当我inheritance这种结构时,我就在无人地带。 不知道哪个方向先行。

在这里输入图像说明

如您所见,Active Directory用户和组已变得有点混乱。 再也没有SBS了,但是从SBS迁移到当前的Windows Server 2008 R2环境之前,我之前的人只是复制了相同的结构。

真正的问题是:

我应该从哪里开始清理,确保我不会完全打破目前的基础设施? 上面已经解释过的场景是一个不错的组织?

关于当前结构的可能有用的信息:

  1. Computers文件夹包含Terminal Services Computers用户组

    • 成员: TerminalServer Server计算机位于Server -> Terminalserver Server OU
    • 成员:NONE

  2. Foreign Security Principals :EMPTY

  3. Managed Service Accounts :空

  4. Microsoft Exchange Security Groups :不确定是否需要,我们的电子邮件由外部服务提供商pipe理

  5. Distribution Groups :不确定是否需要

  6. Security Groups :有几个需要的组

  7. SBS users :包含所有的用户

  8. Terminalserver :只包含TerminalServer机器

过去我也遇到类似的问题。

这就是说你的组织看起来不太平常。 很多小企业都像你概述一样build立起来。

如果你真的想重组我发现的最好的解决scheme是在你的域的根上设置一个带有块组策略inheritance的OU。 在此OU下构build新的结构,并在其中应用您的组策略。 然后,您可以以受控的方式移动您的计算机和用户对象。

至于devise – 使用任何作品。 不要试图模仿业务的实际安排。 将您的系统分组以使其易于pipe理。

编辑澄清:

“阻止inheritance”是一个选项,允许您设置不接受任何上面定义的策略的OU。 这允许一个完全空白的石板。 任何后来移到这里的对象将不会应用任何现有的策略,即使它们不是这样。 遗留在原有家园中的任何物品仍将适用其当前的政策。

虽然有点过时了逻辑build模这里提供了一些关于整体AD结构的优秀指导。

还有一点非常重要 – logging你正在做的一切 。 包括为什么这样做,以及如何configuration。 你select的确切的方法并不重要,但我个人更喜欢其中的各种Wiki 。 为你的环境build立详细的历史是一个天赐之物。

针对Joe Qwerty的附加编辑

我没有必要主张重组。 这样做可能是时间密集的,严重的痛苦在***。 我只是build议如何做,如果这是OPselect的路线。 就个人而言,这是最后的手段。 我签约的地方,每个人都是域pipe理员和帐户/组政策是彻底的混乱,重组是最可行的select。

鉴于select,我会select在现有的AD结构内工作。 如果命名约定等打扰你,他们总是可以改变。 OU,组名等所有的GUID不会被重命名破坏。 SBS条目可能不是从旧的SBS服务器复制的。 SBS包含Active Directory。 组织扩展的常见迁移path是添加2008 R2 / 2012服务器,将其推广到域控制器,移动FSMOangular色,然后降级原始SBS服务器。 如果旧的pipe理员花了很多时间在原来的SBS AD控制台,我可以看到为什么你不想改变命名约定。

我会和Tim的回答有所不同,并说你应该考虑解决你的问题,找出你的GPO设置不工作的原因,而不是“重组”你的当前设置。 如果您开始configuration错误的GPO,则重构当前的设置不会解决您的问题。 除了一些额外的OU外,“结构”对于SBS来说是典型的。 只是因为你没有SBS了,并不意味着你需要用洗澡水把婴儿扔掉。 询问您是否可以删除Microsoft Exchange Security Groups OU,使我相信您缺乏适当的知识和经验来进行重新devise。

我怀疑你真正的问题是你试图为你的用户configuration一些设置,当他们login到terminal服务器,但你configuration的GPO链接到用户OU的设置,而不是configuration在链接的GPO的设置到terminal服务器OU,并使用环回策略处理,这将是如果这是你的情况下做到这一点。

那么,您是否尝试为用户loginterminal服务器时configuration设置? 如果是这样,您在哪个GPOconfiguration这些设置?