В компании, в которой я работаю, сейчас устанавливаю новый сервер. Он будет работать под управлением Microsoft Server 2008 и использоваться в качестве контроллера домена с DNS, указывающим на OpenDNS для фильтрации и т. Д.
Организация - это медицинская практика с обычными уровнями сотрудников, такими как:
Я настроил сервер на Microsoft Server 2003, но с тех пор было решено, что прежде чем мы продолжим, мы должны обновить / переустановить до Microsoft Server 2008. Я подумал, что это идеальное время, чтобы прояснить «нормальный» способ настройки. пользователи вверх.
В настоящее время сотрудники каждого из вышеперечисленных уровней являются организационными единицами. Я сделал это, потому что казалось, что я могу установить объект групповой политики и т. Д. На уровне организационной единицы, вместо того, чтобы выбирать всех пользователей в группе и затем применять объект групповой политики таким образом.
Верно ли это, могут ли организационные единицы использоваться для организации на уровне пользователя - или - они предназначены для организации на основе местоположения, такой как офис 1, приемная и т. Д.?
Спасибо,
Дэнни
На самом деле нет правильного ответа, ответ - «это зависит от обстоятельств».
Вы можете применить GPO либо к OU, либо к группе пользователей или компьютеров, либо к комбинации, то есть только к членам определенной группы, которые также находятся в данном OU.
Все возвращается к «какому-то».
У вас есть правильная идея размещать людей в разных OU в зависимости от того, какие групповые политики вы хотите, чтобы они имели. Как правило, подразделения используются для разделения людей и компьютеров, чтобы упростить детализацию того, какие групповые политики вы применяете к каждому подразделению.
Например, моя структура AD выглядит примерно так: наверху находятся довольно общие объекты групповой политики, а по мере продвижения вниз - более подробные. Например, на /Acme Widgets OU, я установил такие вещи, как загрузка обновлений с нашего сервера WSUS (поскольку это относится ко ВСЕМ компьютерам) и в /Acme Widgets/Internal/Computers/Internet Cafe OU У меня есть объект групповой политики, который ограничивает почти все, что может делать пользователь.
По сути, подразделения предназначены для помощи в управлении объектами групповой политики, но как вы это делаете, в конечном итоге зависит от вас.
corp.acme-widgets.local
---- Виджеты Acme
-------- Внутренний
------------ Компьютеры
---------------- Финансы
----------------Отдел кадров
----------------Интернет-кафе
----------------ЭТО
----------------Продажи
-------------------- Область 1
-------------------- Зона 2
------------ Пользователи
---------------- Финансы
----------------Отдел кадров
----------------ЭТО
----------------Продажи
-------------------- Область 1
-------------------- Зона 2
-------- Внешний
------------ Компьютеры
------------ Пользователи