До сих пор я оставил всех пользователей и компьютеры в моем домене в корне домена.
Я размышлял, как лучше организовать свою AD, но пока не вижу преимуществ использования OU.
Прямо сейчас я организовываю все с помощью групп безопасности, а затем применяю GPO с помощью фильтрации безопасности.
Если я организую все по подразделениям, мне кажется, что все, что это позволит мне сделать, - это удалить фильтрацию безопасности для нескольких объектов групповой политики. Но также кажется, что это усложнит определение членства и наследования в целом.
Что мне здесь не хватает?
Я нашел эти две темы, где кажется, что другие тоже не понимают, как правильно использовать OU:
Структурирование OU для правильного моделирования организационной иерархии
Применение групповой политики к определенным пользователям (в OU) на определенных компьютерах (не в OU)
В основном причина для включения пользователей в OU - это название организации.
В основном, самая важная причина - это объекты групповой политики. Подразделения помогают изолировать объекты групповой политики, вы можете направлять объекты групповой политики с помощью параметров безопасности или фильтров WMI, но фильтры WMI действительно убивают производительность и обычно вызывают медленный вход в систему.
Другое важное преимущество - возможность делегировать управление OU пользователям. Таким образом вы можете усилить свою безопасность и делегировать функции пользователям, не являющимся администраторами. Чем меньше у пользователя прав, тем лучше.
Я думаю, вы спрашиваете, зачем использовать подразделения с объектами групповой политики, если я могу использовать группы безопасности? Я могу назвать несколько причин:
1) Ясность. Если вы создаете логическую структуру OU (например, создаете базовые OU «компьютер» и «пользователь», создаете дочерние OU «server» и «PC» в разделе «computer», создайте подразделения «administrators» и «бухгалтерский учет» на ПК и т. Д.) и связать объекты групповой политики с соответствующими подразделениями без изменения фильтра безопасности, вы сможете сразу понять, какие объекты групповой политики влияют на пользователей или группы компьютеров. Если вы используете только фильтрацию группы безопасности, вам нужно будет проверить фильтр безопасности каждого объекта групповой политики или использовать другой трудоемкий метод, чтобы увидеть, что происходит. Если у вас всего несколько объектов групповой политики, и вы единственный человек, управляющий объектами групповой политики, это может не иметь большого значения, но по мере увеличения количества объектов групповой политики и количества людей, управляющих объектами групповой политики, метод фильтрации только группы безопасности очень быстро становится запутанным.
2) Оперативность и управляемость. Объекты групповой политики, связанные с подразделениями более высокого уровня, применяются ко всем подчиненным подразделениям. Благодаря хорошо спроектированной структуре подразделений вы можете эффективно применять групповые политики с максимальной точностью и минимальной избыточностью. Например, более общие компьютерные политики, которые применяются как к компьютерам, так и к серверам, должны быть связаны с компьютерным OU (например, общие параметры IE / Edge, развертывание общего сертификата безопасности, параметры среды PowerShell и т. Д.), Политики, которые должны применяться конкретно к ПК (например, Только клиентские правила брандмауэра Windows, правила, связанные с MS Office, правила развертывания клиентского программного обеспечения) должны быть связаны с подразделениями ПК, а настраиваемые правила должны быть связаны с подразделениями более низкого уровня (например, конкретное сопоставление общих файловых ресурсов, специальные разрешения и т. д.). Если все ваши GPO связаны с одним и тем же OU, вам нужно каждый раз помнить об изменении порядка приоритета GPO, чтобы более важные / конкретные политики имели приоритет над более общими политиками (это очень легко забыть). Я думаю, вы обнаружите, что устранение неполадок, связанных с "не применяемыми объектами групповой политики", становится намного проще, если у вас есть логическая структура подразделений с минимальной фильтрацией групп безопасности. (ПРИМЕЧАНИЕ: некоторые групповые политики, такие как политика обратной связи групповой политики, могут вести себя неожиданным образом, если вы используете фильтрацию группы безопасности).
3) Скорость. Для обработки объектов групповой политики, использующих фильтрацию групп безопасности, требуется немного больше времени. Объекты групповой политики, использующие фильтрацию WMI, занимают гораздо больше времени. Это может не иметь значения с несколькими объектами групповой политики, но когда ваши объекты групповой политики начнут исчисляться сотнями, вам нужно будет подумать об оптимизации. Если вы хотите свести к минимуму время обработки GPO, назначение GPO на основе OU - лучший вариант.