我目前正在尝试为新的AD部署deviseOU和组devise。 首先,分类很难。 作为第一次猜测,我们试图将所有的用户对象保留在OU=Users和一些子OU之下。
我们有许多Team和Subteam OU以及一些Toolset OU,这些工具集通过人们所在的function团队进行分组,以及他们需要访问哪些工具。
我们希望将用户保留在用户OU中,并且每个Team OU都包含一个安全组对象,我们可以在用户join团队时添加用户,或需要工具集访问权限。
以下是AD的布局:
Domain Root | | \--OU=Users | | | \--OU=Staff | | \-Username=Tom.OConnor, MemberOf=RedTeam | | | \--OU=Contractors | | | \--OU=Visitors | | \--OU=Teams | | | \--OU=RedTeam | | \-GroupName=RedTeam | | | \--OU=BlueTeam | | \-GroupName=BlueTeam | | | | | \--OU=GreenTeam | | \-GroupName=GreenTeam | | | \--OU=Toolsets | | | \--OU=DevTools | | \-GroupName=DevTool_CITool | | | | | \--OU=InternetAccess | | \-GroupName=InternetAccess
用户Tom.OConnor位于组RedTeam中。
GPO应用于OU=RedTeam,OU=Teams 。
GPO结果向导显示此GPO尚未应用于Tom.OConnor用户。
相反,应用于OU=Staff,OU=Users的GPO将应用于Tom.OConnor用户。
那么是否有可能将一个GPO应用到一个包含一个集团的OU中,然后让GPO逐渐stream下来并适用于所有的集团成员?
GPO仅适用于用户对象和计算机对象。
您将需要将GPO应用到用户OU,并使用安全组过滤来确保它仅适用于RedTeam组的用户。