Применение групповой политики на уровне домена и определение объема и применение на уровне OU
На мой взгляд, если у меня есть объект групповой политики и я хочу его применить, у меня есть 2 варианта:
- Связывание объекта групповой политики с доменом, а затем определение области безопасности для групп безопасности и, возможно, пользователей.
- Связывание объекта групповой политики с подразделением, в котором находятся мои целевые пользователи (и, возможно, группы безопасности)
Пример: если у меня есть подразделение под названием Администрирование, содержащее группу безопасности с тем же именем и 4 пользователя, которые являются членами группы безопасности, и я хочу, чтобы объект групповой политики был применен к этим 4 пользователям, я могу:
- свяжите объект групповой политики с доменом, а затем выберите группу безопасности Администрирование или ее членов на вкладке области действия> фильтрация безопасности
- ссылка на Администрацию OU
я прав?
Один вариант лучше; если да, пожалуйста, объясните, как. Спасибо
1 ответ
В большой среде связывание объекта групповой политики с верхним уровнем домена встречается редко. Это связано с возможностью воздействия. Это также увеличило бы количество объектов групповой политики, которые должны обрабатываться для машин / пользователей, которые будут фильтровать только объект групповой политики.
Если возможно, это должно быть сделано на уровне OU. Даже в небольших средах вы обнаружите, что большинство объектов групповой политики связаны с подразделением по всему домену.
Если у вас есть усиленный сервер административных переходов, на котором будет выполняться большинство действий администратора, объект групповой политики можно связать с подразделением, в котором находится этот сервер, и указать обработку обратной связи для применения пользовательских настроек к учетным записям, которые входят в систему на этом сервере.
Реализация безопасных административных хостов
http://technet.microsoft.com/en-us/library/dn487449.aspx