Soy relativamente nuevo en Active Directory y tengo problemas para entender el siguiente escenario:
- Tengo un conjunto de usuarios en el departamento de RR.HH.
- Tengo un conjunto de usuarios en el departamento de Marketing.
- Hay un par de usuarios que forman parte tanto de RRHH como de Marketing
- Estoy configurando una carpeta compartida para que la use solo el departamento de marketing.
- Estoy configurando una impresora compartida para que la use solo el departamento de recursos humanos.
Originalmente pensé que haría lo siguiente:
- Agregue los usuarios de recursos humanos a la unidad organizativa de recursos humanos
- Agregue los usuarios de Marketing a la unidad organizativa de Marketing
- Agregue algunos usuarios a ambas unidades organizativas
- Aplicar una política de grupo a la unidad organizativa HR para que solo aquellos usuarios impriman en esa impresora
- Aplique una política de grupo a la unidad organizativa de marketing para que solo esos usuarios accedan a la carpeta.
Sin embargo, estoy atascado en el paso 3 anterior porque parece que no puedo agregar usuarios a más de una unidad organizativa. He pensado en utilizar un grupo local de dominio en lugar de una unidad organizativa, pero creo que no puedo aplicar un GPO a un grupo.
Sé que hay una manera de hacer esto. ¿Dónde estoy fallando en mi comprensión y cuál es un buen enfoque para abordar esta situación?
Respuesta1
Un objeto de usuario sólo puede estar en una unidad organizativa. Sin embargo, es posibleaplicar un GPO a un grupo de seguridad:
- Seleccione el GPO de la lista y haga clic en Propiedades
- Seleccione la pestaña Seguridad
- Modifique los permisos para que solo los usuarios requeridos tengan privilegios de lectura y aplicación y los administradores que necesitan modificar el GPO tengan lectura y escritura.
Requisitos:
- Debe aplicar el GPO para ambas unidades organizativas.
- Todos los usuarios requeridos de ambas unidades organizativas también deben ser miembros del grupo de seguridad.