到目前为止,我刚刚将域中的所有用户和计算机都保留在域根目录中。
我一直在考虑如何更好地组织我的广告,但是我还没有看到使用OU的好处。
现在,我使用安全组来组织所有内容,然后使用安全筛选来应用GPO。
如果我组织所有的OU,在我看来,所有它将允许我做的是删除几个GPO的安全筛选。 但它似乎也会使得构造和inheritance更加复杂。
我在这里错过了什么?
我发现了这两个线程,似乎其他人对如何更好地使用OU也有类似的困惑:
组织一个OU来正确build模一个组织层次结构
将组策略应用于特定计算机上的特定用户(在OU中)(不在OU中)
大部分将用户放在OU上的原因是以组织为名称目的。
主要是最重要的原因是GPO。 OU帮助您隔离GPO,您可以使用安全选项或WMI筛选器来引导GPO,但是WMI筛选器是真正的性能杀手,并且通常会导致login缓慢。
其他重要的好处是可以委托OU的控制给用户。 这样,您可以使您的安全性更强,并将function委托给非pipe理员用户。 用户拥有的权限越less越好。
我想你是问,为什么在使用安全组时,为什么要使用OU? 我可以想到几个原因:
1)清晰。 如果你创build一个逻辑的OU结构(例如创build“计算机”和“用户”基OU,在“计算机”下创build“服务器”和“PC”子OU,在PC等下创build“pipe理员”和“记账”OU)并在不更改安全filter的情况下将GPO链接到相应的OU,您将能够一目了然地了解哪些GPO正在影响用户或计算机组。 如果仅使用安全组过滤,则需要检查每个GPO的安全filter,或使用其他耗时的方法来查看正在发生的事情。 如果您只有几个GPO,并且您是pipe理GPO的唯一人员,那么这可能并不重要,但是随着GPO数量和pipe理GPO的人数的增加,仅安全组过滤的方法就会变得非常迅速。
2)效率和可pipe理性。 链接到更高级OU的GPO适用于所有下级OU。 通过精心devise的OU结构,您可以有效应用组策略,精确度高,冗余度低。 例如,适用于计算机和服务器的更通用的计算机策略应链接到计算机OU(例如,通用IE /边缘设置,通用安全证书部署,PowerShell环境设置等),专门应用于PC的策略客户端只有Windows防火墙规则,MS Office相关规则,客户端软件部署规则)应链接到PC OU,自定义规则应链接到较低级别的OU(例如,特定文件共享映射,特殊权限等)。 如果您的所有GPO都链接到同一个OU,则需要记住每次更改GPO优先级顺序,以便更重要/特定的策略优先于更通用的策略(这非常容易忘记)。 我认为,如果您拥有最小化安全组筛选的逻辑OU结构,则认为排除“GPO不能应用”问题的疑难解答变得更加容易。 (注意:如果使用安全组过滤,则某些组策略(例如组策略回送策略)可能会以意外的方式运行)。
3)速度。 使用安全组过滤的GPO需要稍长的时间来处理。 使用WMI筛选的GPO需要更长的时间。 只有几个GPO可能并不重要,但是当您的GPO开始以数百个数字开始编号时,您需要考虑优化。 如果您希望最小化GPO处理时间,那么基于OU的GPO分配将是您的select。