На мой взгляд, если у меня есть объект групповой политики и я хочу его применить, у меня есть 2 варианта:
Пример: Если у меня есть подразделение под названием Administration, содержащее группу безопасности с тем же именем и 4 пользователя, которые являются членами группы безопасности, и я хочу, чтобы GPO применялся к этим 4 пользователям, я могу:
я прав?
Один вариант лучше; если да, пожалуйста, объясните как. Спасибо
В большой среде привязка объекта групповой политики к верхнему уровню домена редко. Это связано с потенциальным воздействием. Это также увеличит количество объектов групповой политики, которые необходимо обработать для компьютеров / пользователей, которые будут фильтровать только объекты групповой политики.
Если возможно, это следует делать на уровне OU. Даже в небольших средах вы обнаружите, что большинство GPO связаны с OU, а не со всем доменом.
Если у вас есть защищенный административный сервер перехода, на котором будет выполняться большая часть административных действий, объект групповой политики можно связать с подразделением, в котором находится этот сервер, и указать обработку обратной связи для применения настроек пользователя к учетным записям, которые входят на этот сервер.
Внедрение безопасных административных хостов
http://technet.microsoft.com/en-us/library/dn487449.aspx