Container werden verwendet, um ein Netzwerk zu segmentieren und zu organisieren und wurden für bestimmte Verwendungszwecke und Einschränkungen entwickelt. Ist das der einzige Grund, warum wir GPO nicht mit einem Container, sondern nur mit OU verknüpfen können? Gibt es noch weitere Unterschiede zwischen einem Container und einer OU?
Antwort1
Warum können wir GPO nicht mit einem AD-Container verknüpfen?
Hauptsächlich deshalb, weil einem Containerobjekt die notwendigen gpLinkund gpOptionserforderlichen Attribute fehlen, um ein Gruppenrichtlinienobjekt damit zu verknüpfen. Active Directory verwendet eine LDAP-Datenbank, und in dieser LDAP-Datenbank gibt es verschiedene Objektarten und eine Vererbungshierarchie, sodass bestimmte Objekte Attribute von ihrem übergeordneten Objekt erben können. Manche Objekte haben bestimmte Attribute, andere nicht. Beispielsweise erben Benutzerobjekte und Computerobjekte beide vom selben übergeordneten Objekt, genannt user. (Verwirrend, oder?) Ein Computer ist im Wesentlichen ein spezialisierter Benutzertyp.
Container werden zum Segmentieren und Organisieren eines Netzwerks verwendet und wurden im Hinblick auf spezifische Verwendungszwecke und Einschränkungen entwickelt.
Ich verstehe nicht, was du sagst.
Ist dies der einzige Grund, warum wir GPO nicht mit einem Container, sondern nur mit OU verknüpfen können?
Siehe die erste Frage oben.
Gibt es noch weitere Unterschiede zwischen einem Container und einer OU?
Sie können eine Gruppenrichtlinie nicht mit einem Container verknüpfen und sollten grundsätzlich niemals versuchen, Container zu entfernen oder zu löschen. Container und Organisationseinheiten sind zwei verschiedene (aber ähnliche) Objektklassen. Im Allgemeinen werden Container vom System festgelegt, wenn Sie AD oder AD-integrierte Anwendungen installieren, und sollten grundsätzlich nicht ohne triftigen Grund verändert werden. Organisationseinheiten hingegen können Sie als Administrator nach Herzenslust damit spielen. Sie erstellen, verschieben und löschen Organisationseinheiten und kategorisieren Ihre Benutzer und Computer auf eine Weise, die für Ihre Organisation sinnvoll ist. Außerdem gibt es bestimmte, systemFlagsnormalerweise Containern zugewiesene Einheiten, die Sie nicht verschieben oder löschen können.
Antwort2
Verknüpfen von Gruppenrichtlinienobjekten mit Active Directory-Containern In diesem Artikel heißt es im ersten Absatz:
Ein GPO kann mit einem oder mehreren Active Directory-Containern verknüpft werden, wie z. B. einemWebsite,Domain, oderOrganisationseinheit.Mehrere Container können mit demselben GPO verknüpft sein, und ein einzelner Container kann mit mehreren GPOs verknüpft sein. Wenn mehrere GPOs mit einem Container verknüpft sind, können Sie die Reihenfolge priorisieren, in der die GPOs angewendet werden.
Und zur Ergänzung der Informationen heißt es in diesem Artikel: Active Directory-Struktur und Gruppenrichtlinie
Es ist nicht möglich, ein Gruppenrichtlinienobjekt mit einem generischen Active Directory-Container zu verknüpfen. (Ein generischer Active Directory-Container ist an seinem einfachen Ordnersymbol in der Konsole „Active Directory-Benutzer und -Computer“ erkennbar. Das Symbol für eine Organisationseinheit ist ähnlich, außer dass ein kleines Buch über dem Ordner liegt.) Benutzer und Computer in generischen Active Directory-Containern erhalten jedoch Richtlinien durch Vererbung von Gruppenrichtlinienobjekten, die auf einer höheren Ebene von Active Directory verknüpft sind. Beispielsweise können mit den Containern „Benutzer und Computer“, die Sie in „Active Directory-Benutzer und -Computer“ sehen, keine Gruppenrichtlinienobjekte direkt verknüpft werden, sie erhalten jedoch domänenverknüpfte Gruppenrichtlinienobjekte durch Vererbung.