GPO を AD コンテナーにリンクできないのはなぜですか?

GPO を AD コンテナーにリンクできないのはなぜですか?

主な理由は、コンテナ オブジェクトに、グループ ポリシー オブジェクトをリンクするために必要な属性gpLinkとgpOptions属性がないためです。Active Directory は LDAP データベースを使用します。LDAP データベースにはさまざまな種類のオブジェクトと継承の階層があり、特定のオブジェクトは上位の親オブジェクトから属性を継承できます。オブジェクトによっては特定の属性を持つものもあれば、持たないものもあります。たとえば、ユーザー オブジェクトとコンピュータ オブジェクトはどちらも、と呼ばれる同じ上位レベルのオブジェクトから継承しますuser(紛らわしいですね)。コンピュータは基本的に、特殊なタイプのユーザーです。

コンテナはネットワークをセグメント化して整理するために使用され、特定の用途と制限を考慮して設計されています。

何を言っているのか分かりません。

GPO をコンテナーにリンクできず、OU にのみリンクできない理由はこれだけですか?

上記の最初の質問を参照してください。

コンテナと OU の間には他に何か違いがありますか?

GPO をコンテナーにリンクすることはできません。また、コンテナーを削除したり削除したりすることは通常絶対にしないでください。コンテナーと OU は、2 つの異なる (しかし類似した) オブジェクト クラスです。一般に、コンテナーは AD または AD 統合アプリケーションをインストールするときにシステムによって配置され、通常、十分な理由がない限り変更しないでください。一方、OU は管理者が自由に操作できます。OU を作成、移動、削除し、組織にとって意味のある方法でユーザーとコンピューターを分類します。また、systemFlagsコンテナーに通常割り当てられる特定のオブジェクトは、移動または削除を禁止します。

GPO を Active Directory コンテナにリンクする この記事の最初の段落にはこう書かれています。

GPOは、1つまたは複数のActive Directoryコンテナに関連付け（リンク）できます。サイト、ドメイン、 または組織単位。複数のコンテナーを同じ GPO にリンクすることができ、1 つのコンテナーに複数の GPO をリンクすることができます。複数の GPO が 1 つのコンテナーにリンクされている場合は、GPO が適用される順序に優先順位を付けることができます。

補足情報として、この記事には次のように書かれています。 Active Directory の構造とグループ ポリシー

グループ ポリシー オブジェクトを汎用 Active Directory コンテナーにリンクすることはできません。(汎用 Active Directory コンテナーは、Active Directory ユーザーとコンピューター コンソールの単純なフォルダー アイコンで識別できます。組織単位のアイコンも同様ですが、フォルダーに小さな本が重ねて表示されます。) ただし、汎用 Active Directory コンテナー内のユーザーとコンピューターは、Active Directory の上位レベルでリンクされているグループ ポリシー オブジェクトから継承によってポリシーを受け取ります。たとえば、Active Directory ユーザーとコンピューターに表示されるユーザーとコンピューター コンテナーには、直接リンクされたグループ ポリシー オブジェクトを含めることはできませんが、継承によってドメインにリンクされたグループ ポリシー オブジェクトを受け取ります。