Назад | Перейти на главную страницу

Применение групповой политики на уровне домена и область действия по сравнению с применением на уровне подразделения

На мой взгляд, если у меня есть объект групповой политики и я хочу его применить, у меня есть 2 варианта:

  1. Связывание объекта групповой политики с доменом с последующим определением групп безопасности и, возможно, пользователей
  2. Связывание GPO с OU, которое содержит моих целевых пользователей (и, возможно, группы безопасности)

Пример: Если у меня есть подразделение под названием Administration, содержащее группу безопасности с тем же именем и 4 пользователя, которые являются членами группы безопасности, и я хочу, чтобы GPO применялся к этим 4 пользователям, я могу:

  1. свяжите объект групповой политики с доменом, а затем выберите группу безопасности «Администрирование» или ее членов на вкладке «Область действия»> «Фильтрация безопасности».
  2. ссылка на административное подразделение

я прав?

Один вариант лучше; если да, пожалуйста, объясните как. Спасибо

В большой среде привязка объекта групповой политики к верхнему уровню домена редко. Это связано с потенциальным воздействием. Это также увеличит количество объектов групповой политики, которые необходимо обработать для компьютеров / пользователей, которые будут фильтровать только объекты групповой политики.

Если возможно, это следует делать на уровне OU. Даже в небольших средах вы обнаружите, что большинство GPO связаны с OU, а не со всем доменом.

Если у вас есть защищенный административный сервер перехода, на котором будет выполняться большая часть административных действий, объект групповой политики можно связать с подразделением, в котором находится этот сервер, и указать обработку обратной связи для применения настроек пользователя к учетным записям, которые входят на этот сервер.

Внедрение безопасных административных хостов
http://technet.microsoft.com/en-us/library/dn487449.aspx