In einer stark verzweigten Organisation mit Active Directory arbeite ich mit der zentralen IT-Abteilung zusammen und wir delegieren die Kontrolle über Teile der Zweigstellen-OU an die jeweiligen Zweigstellenadministratoren.
Unser Delegationskonzept behandelt Gruppenrichtlinien derzeit so, dass wir für jede Filiale ein Gruppenrichtlinienobjekt unter der Kontrolle der zentralen IT-Abteilung und ein an den Filialadministrator delegiertes Gruppenrichtlinienobjekt erstellen. Beide sind auf derselben Ebene mit der OU der Filiale verknüpft, wobei das Gruppenrichtlinienobjekt das Flag und die Verknüpfungsreihenfolge 1 -headerhält .Enforced
Beim Definieren lokaler Gruppen (normalerweise nur vordefinierte Gruppen wie Administratoren oder Remotedesktopbenutzer) stehen wir vor dem Problem, dass das Delegieren ziemlich schwierig ist. Das ultimative Ziel besteht darin, alles, was die -headGPO definiert hat, in der Gruppe zu haben und die Mitgliedschaftsdefinitionen zu integrieren -branch. Wir definieren lokale Gruppen über GPP wie -headfolgt:
Wir löschen die Gruppenmitgliedschaften, um sicherzustellen, dass Gruppenmitglieder, die einmal über das GPP hinzugefügt, aber seitdem entfernt wurden, tatsächlich aus den lokalen Gruppen der Clients entfernt werden.
Dieselbe Gruppe verfügt möglicherweise über Mitgliedschaftsdefinitionen, die über GPP in folgenden Bereichen vorgenommen wurden -branch:
Das Ergebnis ist nun, dass -headletztendlich nur die Definition von auf den betroffenen Clients vorhanden ist. Wir erhalten so ziemlich das gleiche Ergebnis, wenn wir Restricted Groupsanstelle von GPPs verwenden, da das Link-Flag dem GPO Vorrang vor dem Enforcedgibt . Und wenn wir on mit GPPs auf mischen , sehen wir inkonsistente Ergebnisse - abhängig davon, welches CSE zuerst ausgeführt wird (anscheinend ist die Ausführungsreihenfolge für CSEs nicht definiert), können Gruppen GPP-definierte Mitglieder aus enthalten oder auch nicht .-head-branchRestricted Groups-head-branch-branch
Was wäre also der sinnvollste Weg, bestimmte Mitgliedschaften zentral durchzusetzen und gleichzeitig die Delegation an die Zweigstellenadministratoren zu ermöglichen?