В AD объясните мне преимущества помещения пользователей в OU
До сих пор я просто оставлял всех пользователей и компьютеры в моем домене в корне домена.
Я думал о том, как лучше организовать свою AD, но пока не вижу преимущества использования OU.
Прямо сейчас я организую все, используя группы безопасности, а затем применяю GPO, используя фильтрацию безопасности.
Если я организую все по OU, мне кажется, все, что мне нужно сделать, это удалить фильтрацию безопасности на нескольких объектах групповой политики. Но, похоже, это также усложнит определение членства и наследования в целом.
Что мне здесь не хватает?
Я обнаружил, что эти два потока, похоже, что другие так же не понимают, как правильно использовать подразделения:
Структурирование подразделения для правильного моделирования организационной иерархии
Примените групповую политику к определенным пользователям (в подразделении) на определенных компьютерах (не в подразделении)
2 ответа
Главным образом причина размещения пользователей в подразделениях заключается в названии организации.
Главным образом, самая важная причина - это объекты групповой политики. Подразделения помогают изолировать объекты групповой политики, вы можете управлять объектами групповой политики, используя параметры безопасности или фильтры WMI, но фильтры WMI действительно снижают производительность и обычно вызывают медленный вход в систему.
Другим важным преимуществом является возможность делегировать контроль OU пользователям. Таким образом, вы можете усилить свою безопасность и делегировать функции пользователям, не являющимся администраторами. Чем меньше привилегий у пользователя, тем лучше.
Я думаю, что вы спрашиваете, зачем использовать OU с GPO, если я могу использовать группы безопасности? Я могу придумать несколько причин:
1) Ясность. При создании логической структуры подразделений (например, создание базовых подразделений "компьютер" и "пользователь", создание дочерних подразделений "сервер" и "ПК" в разделе "компьютер", создание подразделений "администраторы" и "учет" в ПК и т. Д.) и связать объекты групповой политики с соответствующими подразделениями без изменения фильтра безопасности, вы сможете сразу понять, какие объекты групповой политики влияют на группы пользователей или компьютеров. Если вы используете только фильтрацию групп безопасности, вам нужно проверить фильтр безопасности каждого объекта групповой политики или использовать какой-либо другой трудоемкий метод, чтобы увидеть, что происходит. Если у вас есть только несколько объектов групповой политики, и вы являетесь единственным человеком, управляющим объектами групповой политики, это может не иметь большого значения, но, поскольку количество объектов групповой политики и количество людей, управляющих объектами групповой политики, увеличивается, метод только фильтрации групп безопасности очень быстро сбивает с толку.
2) Эффективность и управляемость. Объекты групповой политики, связанные с подразделениями более высокого уровня, применяются ко всем подчиненным подразделениям. Благодаря хорошо спроектированной структуре OU вы можете эффективно применять групповые политики с высокой точностью и минимальной избыточностью. Например, более общие компьютерные политики, которые применяются как к компьютерам, так и к серверам, должны быть связаны с подразделением компьютера (например, общие параметры IE/Edge, общее развертывание сертификата безопасности, параметры среды PowerShell и т. Д.), Политики, применяемые специально к ПК (например, только клиентские правила брандмауэра Windows, связанные с MS Office правила, правила развертывания клиентского программного обеспечения) должны быть связаны с подразделением ПК, а настраиваемые правила должны быть связаны с подразделениями более низкого уровня (например, с определенным сопоставлением общих файловых ресурсов, специальными разрешениями и т. д.). Если все ваши объекты групповой политики связаны с одним и тем же подразделением, вам нужно будет каждый раз помнить об изменении порядка приоритетов объекта групповой политики, чтобы более важные / конкретные политики имели приоритет над более общими политиками (об этом очень легко забыть). Я думаю, вы обнаружите, что устранение неполадок, связанных с "неприменимыми объектами групповой политики", становится намного проще, если у вас есть логическая структура OU с минимальной фильтрацией групп безопасности. (ПРИМЕЧАНИЕ: некоторые групповые политики, такие как политика обратной связи групповой политики, могут вести себя непредсказуемым образом, если вы используете фильтрацию групп безопасности).
3) Скорость. Объекты групповой политики, которые используют фильтрацию групп безопасности, обрабатываются немного дольше. Объекты групповой политики, использующие фильтрацию WMI, занимают гораздо больше времени. Это может не иметь значения только с несколькими GPO, но когда ваши GPO начнут нумерацию сотнями, вам нужно будет подумать об оптимизации. Если вы хотите свести к минимуму время обработки объекта групповой политики, то для этого нужно назначить объект групповой политики на основе OU.