大家下午好,
我很新的Active Directory的东西。 从2003年到2008年R2(我需要它把细粒度的密码策略)升级到我们AD的function级别之后,我开始重新组织我的OU。 我记住,一个好的OU组织可以帮助应用GPO(也可能是GPP)。但是最终,使用Security-group过滤(从Scope选项卡)来应用我的策略,而不是直接的OU 。
你认为这是一个好的做法,还是应该坚持OU?
我们是一个拥有20个用户和30-35台电脑的小型机构。 所以,我们得到了一个简单的OU树,但与安全组更细微地分离。
OU树不包含除底层以外的任何对象。 每个底层OU都包含计算机,用户,当然还有安全组。 这些安全组包含同一个OU的用户和计算机。
感谢您的build议,Olivier
更容易立即看到受影响的一组对象
pipe理额外的安全组所涉及的开销较less
减less到其他DC和更小的用户令牌的复制,因为你不需要一堆额外的安全组(这对你描述的较小的基础设施来说可能并不重要)
在大多数组织中,几乎所有的政策都可以在devise良好的广告中应用于OU级别
更容易的授权
更灵活
解决where should I put this object? 可能会“跨越”部门的员工面临的问题
您可以委派将成员添加到组的function,这将允许帮助台人员pipe理应用的策略,而无需访问更改的GPO
事实上,我所处理的大多数组织都采取混合方式。 可以基于OU应用的GPO通常分配给OU,任何“穿过”OU或需要过滤到OU的子集的任何操作都使用安全筛选或项目级目标。
实际上,我实际上只部署了一个GPO,将50台打印机映射到各个部门,并且在域级别进行了链接,并使用了项目级目标 – 但是几乎所有其他GPO都使用缺省值链接到OU安全filter。
TL; DR – 做你的组织有意义的事情。
我想这一切都取决于您尝试使用组策略configuration的环境的复杂性。 请记住,一个对象可以只在一个OU中,而一个对象可以在多个安全组中。 在简单的环境中(就像你似乎),我build议保持你的政策和这些政策的应用简单。