Допустим, у меня есть два подразделения: одно для хранения компьютерных объектов, а другое - для хранения учетных записей пользователей. Если я создам объект групповой политики в подразделении «Компьютеры» и настрою пользовательские конфигурации, вступят ли они в силу?
Нужно ли мне на самом деле создавать объект групповой политики в подразделении учетных записей пользователей и настраивать конфигурации пользователей для их работы?
Применяются ли параметры «Конфигурация компьютера» только к компьютерам в подразделении, а параметры «Конфигурация пользователя» применяются только к учетным записям пользователей в подразделении?
Допустим, у меня есть два подразделения: одно для хранения компьютерных объектов, а другое - для хранения учетных записей пользователей. Если я создам объект групповой политики в подразделении «Компьютеры» и настрою пользовательские конфигурации, вступят ли они в силу?
Нет. Я имею в виду, если вы не сохранили объекты учетной записи пользователя в подразделении с именем Computers, что странно ...
Пользовательские настройки GPO будут влиять только на учетные записи пользователей, которые находятся в OU (-ах), которые находятся в области, где этот GPO связан.
Параметры компьютера будут влиять только на учетные записи компьютеров, которые находятся в подразделениях, которые находятся в области, к которой привязан этот объект групповой политики.
Вы можете отключить параметры компьютера или параметры пользователя в объекте групповой политики, если хотите оптимизировать обработку объектов групповой политики ... но я не часто вижу такую практику в дикой природе.
Вы можете сделать что-то вроде:
Toronto (OU)
|
+- Users (OU)
|
+- Computers (OU)
В организационном подразделении Торонто вы можете связать объект групповой политики, содержащий параметры пользователя и компьютера, которые должны применяться ко всем пользователям. и компьютерные объекты в Торонто. Затем вы можете связать объект групповой политики с подразделением «Пользователи», которое содержит только параметры пользователя, а другой объект групповой политики - с подразделением «Компьютеры», которое содержит только параметры компьютера. (Конечно, предполагается, что вы храните только объекты учетных записей пользователей в подразделении «Пользователи» и только объекты учетных записей компьютеров в подразделении «Компьютеры».)
Это, конечно, только пример. Есть сотня других способов разработать групповую политику и структуру подразделения.
Изменить: Грег Аскью поднимает хороший момент (спасибо), и это то, что теперь вы, возможно, захотите узнать об обработке ретроспективного анализа групповой политики. Проще говоря Microsoft:
Вы можете использовать функцию обратной связи групповой политики для применения объектов групповой политики (GPO), которые зависят только от того, на каком компьютере пользователь входит в систему. ... Эта политика предписывает системе применять набор объектов групповой политики для компьютера к любому пользователю, который входит в систему на компьютере, на который распространяется эта политика. Эта политика предназначена для компьютеров специального назначения, на которых вы должны изменить политику пользователя в зависимости от используемого компьютера. Например, компьютеры в общественных местах, в лабораториях и в классах.