Назад | Перейти на главную страницу

Наследование сложной групповой политики

В настоящее время я пытаюсь разработать дизайн подразделения и группы для нового развертывания AD. Во-первых, таксономия сложна. В качестве первого предположения мы пытаемся объединить все объекты User в OU=Users, и некоторые дочерние подразделения ниже этого.

У нас есть несколько подразделений Team и Subteam, а также несколько подразделений Toolset, которые группируются по функциональным группам, в которые входят люди, а также по инструментам, к которым им нужен доступ.

Мы хотели бы сохранить пользователей в OU Users, и каждое подразделение Team OU содержит объект Security Group, в который мы можем добавлять пользователей, когда они присоединяются к командам или нуждаются в доступе к набору инструментов.

Вот как устроен AD:

Domain Root
|
|
\--OU=Users
|   |
|   \--OU=Staff
|   |   \-Username=Tom.OConnor, MemberOf=RedTeam
|   |
|   \--OU=Contractors
|   |
|   \--OU=Visitors
|
|
\--OU=Teams
|   |
|   \--OU=RedTeam
|   |   \-GroupName=RedTeam
|   |
|   \--OU=BlueTeam
|   |   \-GroupName=BlueTeam
|   |
|   |
|   \--OU=GreenTeam
|   |   \-GroupName=GreenTeam
|
|
|
\--OU=Toolsets
|   |
|   \--OU=DevTools
|   |   \-GroupName=DevTool_CITool
|   |
|   |
|   \--OU=InternetAccess
|   |   \-GroupName=InternetAccess

Пользователь Tom.OConnor входит в группу RedTeam.

GPO применяется к OU=RedTeam,OU=Teams.

Мастер результатов GPO показывает, что этот GPO имеет не был применен к Tom.OConnor пользователь.

И наоборот, GPO применяется к OU=Staff,OU=Users применяется к Tom.OConnor пользователь.

Итак, возможно ли применить GPO к OU, содержащему группу, и впоследствии GPO просочиться вниз и применяться ко всем членам группы?

Объекты групповой политики применяются только к объектам пользователей и объектам компьютеров.

Вам нужно будет применить GPO к OU Users и использовать фильтрацию группы безопасности, чтобы гарантировать, что она применяется только к пользователям группы RedTeam.