Active Directory を使用している、分岐の多い組織で、私は IT 部門の責任者と連携して、ブランチ OU の一部に対する制御をそれぞれのブランチ管理者に委任しています。
当社の委任コンセプトでは現在、グループ ポリシーを、ヘッド IT の管理下にある 1 つのグループ ポリシー オブジェクトと、各ブランチのブランチ管理者に委任された 1 つのグループ ポリシー オブジェクトを作成し、両方ともブランチ OU に同じレベルでリンクし、GPO に-headフラグEnforcedとリンク順序 1 を設定する方法で処理しています。
ローカル グループ (通常は管理者やリモート デスクトップ ユーザーなどの定義済みグループ) を定義する場合、委任がかなり難しいという問題に直面します。最終的な目標は、GPO で-head定義されているものをすべてグループに含め、メンバーシップ定義をマージすることです。次のよう
-branchに GPP 経由でローカル グループを定義します。-head
GPP 経由で一度追加されたがその後削除されたグループ メンバーが、クライアントのローカル グループから実際に削除されるように、グループ メンバーシップをフラッシュしています。
同じグループには、GPP を介して次のメンバーシップ定義が作成される場合があります-branch。
結果として、-head影響を受けるクライアントには の定義のみが最終的に存在します。リンク フラグによってよりも GPO が優先されるRestricted Groupsため、GPP の代わりに を使用した場合もほぼ同じ結果が得られます。を で と GPP と混在させると、一貫性のない結果が見られます。最初に実行される CSE に応じて (どうやら CSE の実行順序は未定義のようです)、グループには からの GPP 定義メンバーが含まれる場合と含まれない場合があります。Enforced-head-branchRestricted Groups-head-branch-branch
では、ブランチ管理者への委任を許可しながら、特定のメンバーシップを集中的に適用する最も合理的な方法は何でしょうか?