Новинка в объектах групповой политики и наличие домена с несколькими подсетями, в котором есть серверы сайтов с WSUS для каждой подсети. Также есть пользователи VPN, которые переходят на другой сервер WSUS. Уловка в том, что мне нужно, чтобы пользователи VPN получали доступ к серверам WSUS сайта, когда пользователи находятся на месте, а не удаленно.
У меня есть все GPO, отфильтрованные по подсети с использованием WMI Filtering, и это, похоже, работает в моем тестировании. Вопрос в том, при применении объекта групповой политики следует ли применять все объекты групповой политики WSUS с фильтрацией в домене, чтобы, когда бы пользователь ни вошел в систему, он получил локальный WSUS, или я должен просто применить к отдельным подразделениям с VPN, являющейся единственной в Уровень домена или я могу добавить его также к каждому отдельному OU?
Также нужно ли использовать принудительное применение на любом из них?
РЕДАКТИРОВАТЬ: Также, если пользователь привязан к сайту A, а затем переезжает на сайт B на какое-то время. Они хотят, чтобы пользователь имел доступ к серверу WSUS Сайта B, чтобы минимизировать трафик WAN.
Вот что я сделал для многонационального клиента:
Убедитесь, что сайты и службы Active Directory настроены для всех ваших сайтов.
Убедитесь, что у вас созданы соответствующие подсети и связаны с соответствующими сайтами.
Создайте объект групповой политики WSUS для каждого сайта, нацеленного на клиентов этих сайтов на локальный сервер WSUS.
Свяжите каждый объект групповой политики с соответствующим сайтом.
Затем клиенты WSUS будут «возвращаться» на локальный сайт WSUS на основе связи подсети с сайтом.
Для ваших VPN-клиентов, предполагая, что они будут использовать VPN в каждом месте, когда это необходимо, они также будут подключаться к локальному серверу WSUS для любого местоположения, в которое они подключены к VPN.
Нет необходимости в фильтрации безопасности в объектах групповой политики и нет необходимости связывать их ни с чем другим, кроме каждого сайта. Вам не нужно применять GPO.