В настоящее время я пытаюсь разработать дизайн подразделения и группы для нового развертывания AD. Во-первых, таксономия сложна. В качестве первого предположения мы пытаемся объединить все объекты User в OU=Users
, и некоторые дочерние подразделения ниже этого.
У нас есть несколько подразделений Team и Subteam, а также несколько подразделений Toolset, которые группируются по функциональным группам, в которые входят люди, а также по инструментам, к которым им нужен доступ.
Мы хотели бы сохранить пользователей в OU Users, и каждое подразделение Team OU содержит объект Security Group, в который мы можем добавлять пользователей, когда они присоединяются к командам или нуждаются в доступе к набору инструментов.
Вот как устроен AD:
Domain Root
|
|
\--OU=Users
| |
| \--OU=Staff
| | \-Username=Tom.OConnor, MemberOf=RedTeam
| |
| \--OU=Contractors
| |
| \--OU=Visitors
|
|
\--OU=Teams
| |
| \--OU=RedTeam
| | \-GroupName=RedTeam
| |
| \--OU=BlueTeam
| | \-GroupName=BlueTeam
| |
| |
| \--OU=GreenTeam
| | \-GroupName=GreenTeam
|
|
|
\--OU=Toolsets
| |
| \--OU=DevTools
| | \-GroupName=DevTool_CITool
| |
| |
| \--OU=InternetAccess
| | \-GroupName=InternetAccess
Пользователь Tom.OConnor
входит в группу RedTeam.
GPO применяется к OU=RedTeam,OU=Teams
.
Мастер результатов GPO показывает, что этот GPO имеет не был применен к Tom.OConnor
пользователь.
И наоборот, GPO применяется к OU=Staff,OU=Users
применяется к Tom.OConnor
пользователь.
Итак, возможно ли применить GPO к OU, содержащему группу, и впоследствии GPO просочиться вниз и применяться ко всем членам группы?
Объекты групповой политики применяются только к объектам пользователей и объектам компьютеров.
Вам нужно будет применить GPO к OU Users и использовать фильтрацию группы безопасности, чтобы гарантировать, что она применяется только к пользователям группы RedTeam.