我是初级MS系统pipe理员。 一位资深朋友build议我对Active Directory结构进行修改,因此我需要您的build议/意见。
当前场景
所有PC都安装在森林中的一个OU内。 因此,我们不能确定哪台计算机或打印机属于哪个部门,单位,部门甚至员工。 这种混乱的做法在过去引起了我们的一个问题,因此最近创build了一个IT资产pipe理员职能来填补这个空白,并把所有的个人电脑和他们各自的部门,单位,科室和工作人员盘点在一个单独的数据库上。
现在我的老朋友build议如下
为这些PC创build一个域,并根据访问和策略需求提供适当的OU,组策略和帐户委派。
他澄清说,这将使pipe理变得更简单,并能够监视和跟踪许多重要的PC和系统,如电话PC,安全系统和一些技术PC。
出于某种原因,我觉得我可以用不同的方式解决它。
你怎么看?
一个好的OU结构可以在将策略和设置应用到系统上变得非常简单。
但是请记住关于组策略的一个关键点。 可以应用于组 。 默认情况下,策略将应用于已通过身份validation的用户,但您可以修改策略的权限,使其仅适用于某个组。 您可以将计算机和用户添加到适当的组中。
这一点很重要,因为在创build你的OU结构时,你真的不应该为每个模糊的configuration去创build大量的OU。 您希望构build您的OU以处理大多数情况,但是如果您有一个单一系统,则最好将策略修改为不适用于特殊系统,而不是创build单独的OU。
如果您确实想坚持使用默认设置,您可以跳过OU,并将所有策略放在根目录下并创build组,并通过组成员身份应用策略。
如果您不打算使用组策略,那么您可以使用像WPKG这样的软件包来将设置部署到您的系统,但这样做需要更多的努力。