Добрый день всем,
Я новичок в Active Directory. После обновления функционального уровня нашей AD с 2003 до 2008 R2 (мне нужно, чтобы установить детальную политику паролей), я затем начинаю реорганизовывать свои OU. Я помню, что хорошая организация OU облегчает применение GPO (и, возможно, GPP), но, в конце концов, мне кажется более естественным использовать фильтрацию группы безопасности (из вкладки Scope) для применения моих политик вместо прямого OU .
Как вы думаете, это хорошая практика, или мне следует придерживаться OU?
Мы небольшая организация с 20 пользователями и 30-35 компьютерами. Итак, у нас есть простое дерево OU, но более тонкое разделение на группы безопасности.
Дерево OU не содержит никаких объектов, кроме нижнего уровня. Каждое подразделение нижнего уровня содержит компьютеры, пользователей и, конечно же, группы безопасности. Эти группы безопасности содержат пользователей и компьютеры одного подразделения.
Спасибо за советы, Оливье
Проще сразу увидеть обработанный набор объектов
Меньше накладных расходов, чем при управлении дополнительными группами безопасности
Меньше репликации на другие контроллеры домена и меньшие токены пользователей, поскольку вам не нужна куча дополнительных групп безопасности (это, вероятно, не имеет большого значения для меньшей инфраструктуры, как вы описываете)
В большинстве организаций почти все политики могут применяться на уровне подразделения в хорошо спроектированной AD.
Более легкое делегирование
Более гибкий
Решает where should I put this object?
проблема, с которой сталкиваются сотрудники, которые могут "переваливать" между отделами
Вы можете делегировать возможность добавлять участников в группы, что позволит сотрудникам службы поддержки определять, какие политики и где применяются, без предоставления доступа к изменению объектов групповой политики.
На самом деле большинство организаций, с которыми я имел дело, используют гибридный подход. GPO, который может применяться на основе OU, обычно назначается OU, и все, что «пересекает» OU или должно быть отфильтровано в подмножество OU, использует фильтрацию безопасности или таргетинг на уровне элементов.
Фактически, я просто развернул один объект групповой политики для сопоставления 50 принтеров с различными отделами, и он был связан на уровне домена и использует таргетинг на уровне элементов, но почти все другие объекты групповой политики, которые у нас есть, связаны с подразделением со значением по умолчанию. защитные фильтры.
TL; DR - делайте то, что имеет смысл для вашей организации.
Я думаю, все зависит от сложности среды, которую вы пытаетесь настроить с помощью групповой политики. Помните, что объект может находиться только в одном OU, тогда как объект может быть в нескольких группах безопасности. В простых средах (вроде ваших) я бы посоветовал сделать ваши политики и применение этих политик простыми.