Филтриране на обекти на групови правила по група за сигурност
Структурата на организационна единица (OU) в домейн на Active Directory е критична. Той трябва да осигурява цялостно централизирано управление, да бъде гъвкав и в същото време опростен. Има обаче ситуации, в които трябва да приложите глобални настройки за потребители или компютри, принадлежащи на различни организационни единици.
Възможно е да създадете обект на групови правила (GPO) за организационна единица или целия домейн и да го приложите само към отделни потребители или компютри, които са членове на определена група за сигурност. Това е особено вярно в случаите, когато изискванията за конфигуриране на отделни акаунти не са в съответствие със структурата на организационната единица. Принципът на работа е еднакъв както за компютрите, така и за потребителите, но първо си струва да ги филтрирате по тип.
В моя пример има два GPO на най-горното ниво на домейна, които се прилагат за всички обекти на домейна, но отделно за потребители и компютри. На фиг. Показване на тези две GPO в основата на домейна.
Можете да се справите без GPO от най-високо ниво, но за удобство това е подходът, който ще използвам в моя пример. Най-простата най-добра практика би била да се поставят всички потребители на най-високото ниво на една организационна единица, а всички компютри на най-високото ниво на друга. Тогава GPO за всеки тип акаунт ще бъдат поставени в съответната организационна единица.