我正在尝试在我的networking的Active Directory和组策略中使用OU。 但是,我有点困难,想办法组织我的组织单位,这样我可以有单独的部门,而且有一个更高层次的pipe理层,用户可以获得组织层次较低的部门的所有权利。
假设我有4个组织单位
每个部门都有自己的驱动器映射,这是我通过部门OU中的单个组策略设置的。 但是,这个结构的一个例外是执行部门。 这些是公司的领导者,所以我希望这个OU的用户能够访问所有的驱动器映射,而不仅仅是一个驱动器。 但是,由于一个单位只能有一个家长,所以我不知道该如何设置,以便行政单位可以inheritance各个部门的驾驶制图政策。
一个想法是每个驱动器映射都有单独的策略,然后将驱动器映射策略简单地链接到我想要访问的每个部门。 在这种情况下,Executive OU将有4个链接,每个驱动器映射一个。 虽然这在某种程度上是有道理的,但听起来并不是最可维护的解决scheme。 每次添加一个部门,或者如果给现有部门增加额外的政策,我也需要在执行部门的OU中复制这个链接。
另一个想法是将安全组作为每个OU中的对象,并将部门用户分配给安全组而不是OU(例如DOMAIN \ Marketing)。 但是,这看起来并不像我所期望的那样工作。 一旦添加到相应的OU,组策略似乎只应用于用户,并且它们所属的安全组无关紧要。
我能想到的唯一的其他解决scheme是简单地将部门策略从OU中移出,并依靠安全筛选将策略应用于不同的组。 但是,这似乎并不是大多数示例和教程处理其策略对象的方式,而是像上面列出的那样支持这些部门OU。
什么是我组织我的组策略对象来完成我所追求的正确方法?
处理这种情况的正确方法是使用组策略首选项的单组策略用于组织内的驱动器映射。
然后,您可以根据您自己的安全scheme在每个驱动器映射上设置目标规则。 我可能会避免使用OU作为目标规则,因为无论如何你都需要安全组。