私は Active Directory の使用経験が比較的浅く、次のシナリオを理解するのに苦労しています。
- 人事部門にユーザーグループがいます
- マーケティング部門にユーザーグループがいます
- HRとマーケティングの両方に所属するユーザーが数人います
- マーケティング部門だけが使用できる共有フォルダを設定しています
- 人事部だけが使用できる共有プリンターを設定しています
当初、私は次のことをやろうと思っていました:
- HRユーザーをHR OUに追加する
- マーケティングユーザーをマーケティングOUに追加する
- 両方のOUにユーザーを追加する
- HR OUにグループポリシーを適用して、そのユーザーのみがそのプリンタに印刷できるようにします。
- マーケティング OU にグループ ポリシーを適用して、それらのユーザーのみがフォルダーにアクセスできるようにします。
しかし、複数の OU にユーザーを追加できないようで、上記の手順 3 で行き詰まっています。OU の代わりにドメイン ローカル グループを使用することを検討しましたが、その場合、グループに GPO を適用できないと思います。
これを行う方法があることはわかっています。私の理解が足りないところはどこですか? また、この状況に対処するための良い方法は何ですか?
答え1
ユーザーオブジェクトは1つのOUにしか存在できません。ただし、セキュリティグループにGPOを適用する:
- リストからGPOを選択し、「プロパティ」をクリックします。
- セキュリティタブを選択します
- 必要なユーザーのみが読み取りおよび適用権限を持ち、GPO を変更する必要がある管理者が読み取りおよび書き込み権限を持つように、権限を変更します。
要件:
- 両方の OU に GPO を適用する必要があります。
- 両方の OU の必要なユーザーはすべて、セキュリティ グループのメンバーである必要があります。