Мне было любопытно, когда человеку следует использовать группы машин в Active Directory? Каковы их общие варианты использования? Как поддерживать их в актуальном состоянии, когда машины перетасовываются в рамках многоуровневой ИТ-операции? Будут ли какие-либо последствия для групп машин, если у человека нет доступа к объектам пользователя для перемещения в связи с применением политики и т. Д.
Иногда использую группы машин, чтобы применить Групповые политики. С некоторыми более продвинутыми политиками применение только на основе OU не сработает. У меня есть политики, это должен быть набор серверов, к которым применено около 40 политик. Но пара из этих политик применяется только к подмножеству, и в некоторых случаях эти подмножества машин перекрываются, поэтому выполнение этого исключительно на OU приведет к уродливой структуре OU, подобной этой (я видел это в производстве на клиентах сеть).
Гораздо проще просто оставить политики наверху и просто применить политики только к определенным группам, а членство в группе включает машины, к которым должна применяться политика.
Меня действительно беспокоит, когда я вижу людей с безумно уродливой структурой подразделений, потому что они пытаются заставить политики работать. Microsoft назвала технологию Групповая политика, а не политики OU по какой-то причине.
Группы компьютеров полезны, когда происходят определенные события в локальной СИСТЕМЕ, и вы хотите, чтобы такие события влияли на ресурсы вне компьютера, например, для регистрации установок программного обеспечения, отправленных GPO в центральное расположение. Если у вас есть группа компьютеров, которая выполняет установку, и вы настроили эту группу компьютеров, чтобы разрешить запись в каталог журнала, эти установки программного обеспечения будут регистрироваться централизованно.
То же самое и для сценария запуска. Если вы собираете данные в этом скрипте и хотите разместить файлы в каком-то центральном месте, для этого подойдет группа компьютеров.
Следует помнить, что пользователи не наследуют никаких привилегий от машины, на которую они входят. AD считает их двумя отдельными объектами. Это может быть как хорошо, так и плохо, в зависимости от того, что вы пытаетесь сделать, но вам нужно помнить об этом.
Честно говоря, единственное использование групп в AD для компьютеров, которое я нашел, - это ограничение области применения групповых политик к рабочим станциям. Лучшие практики Microsoft предполагают, что вы должны применять политики к организационным единицам, а затем размещать рабочие станции в указанных организационных единицах ... но я нахожу, что часто это далеко не идеально ... Группы позволяют мне немного улучшить его, чтобы я мог устанавливать роли на конкретных машинах.