OU/Group/Group Policy组织单元、组和组策略

Builtin这些是所谓的容器,用来存放各种对象。Exchange 中的Organization在AD中就是一个容器。

OU主要和组策略搭配使用,是策略能影响的范围,类似SCCM中的collection。

Group嵌套用户,实现AD权限分发。

创建两个OU,实现生产和测试环境的隔离。

按machine和account细分。

2013-07-12 16 14 57

一个想法是基于role创建group,基于单个功能创建group,把功能性group嵌套到基于role的group。

IT_operator是基于role的group,domain_join和client_admin是基于功能性的group。

IT_operator嵌套了功能性的几个group。

在大型架构中,某个职位来了新人,可以直接加到基于role的group,不必一个个加权限而且方便管理。

 

 

image

用AD自带的delegation给domain_join添加加客户端入域的权限

image

2013-07-12 16 32 05

这儿有一个问题是默认加入域的电脑存放在computers容器里面,这里需要存放在指定的位置

需要用到重定向功能

2013-07-12 16 37 03

redircmp后面跟的是LDAP名称,最后两项就是把域名拆开,dc=什么,然后ou从小到大反推,不是ou的最前面用cn

另外还区别大小写

看到报错是level有问题

在dsa.msc中提升至2008

image

重定向默认加入域的电脑存放的container成功

image

 

其实普通的用户也是可以加电脑入域的,只是数量有限,可以使用管理工具中的adsi edit修改架构来限制

第一次打开会提示先connect一个实例

image

在域上右键选择属性,将ms-DS-MachineAccountQuota修改为0普通用户就没有权限加电脑入域了。当然不会影响管理员加域的操作。

image

把client_admin直接加入domain admin权限过大,用restricted group实现

管理工具中打开group policy management工具

在Machine右键新建并link,新建的policy并不马上发现作用直到link到OU上。

image

依次展开到restricted groups,新建,将client_admin添加到administrators

若用到members,则策略会强制组内成员即有这些指定的,另外添加的会被组策略删除掉。

有一个另外是administrator永远属于administrators组,不受此影响。

image

创建好策略后直接关掉相应界面就可以,客户端会定时刷时。测试环境下gpupdate /force加速刷新。

你可能感兴趣的:(Collection,target,account,machine,blank)