Los contenedores se utilizan para segmentar y organizar una red y se diseñaron teniendo en cuenta usos y restricciones específicos. ¿Es esta la única razón por la que no podemos vincular GPO a un contenedor y solo a una unidad organizativa? ¿Existen más diferencias entre un contenedor y una unidad organizativa?
Respuesta1
¿Por qué no podemos vincular GPO a un contenedor AD?
Principalmente porque un objeto contenedor carece de los gpLinkatributos gpOptionsnecesarios para vincularle un objeto de política de grupo. Active Directory utiliza una base de datos LDAP, y en esa base de datos LDAP hay diferentes tipos de objetos y una jerarquía de herencias, de modo que ciertos objetos pueden heredar atributos de su objeto principal encima de ellos. Algunos objetos tienen ciertos atributos y otros no. Por ejemplo, los objetos de usuario y los objetos de computadora heredan del mismo objeto de nivel superior, llamado user. (Confuso, ¿eh?) Una computadora es esencialmente un tipo de usuario especializado.
Los contenedores se utilizan para segmentar y organizar una red y se diseñaron teniendo en cuenta usos y restricciones específicos.
No entiendo lo que estás diciendo.
¿Es esta la única razón por la que no podemos vincular GPO a un contenedor y solo a una unidad organizativa?
Vea la primera pregunta, arriba.
¿Existen más diferencias entre un contenedor y una unidad organizativa?
No puede vincular un GPO a un contenedor y, por lo general, nunca debe intentar eliminar o eliminar contenedores. Los contenedores y las unidades organizativas son dos clases de objetos diferentes (pero similares). En general, el sistema coloca los contenedores cuando instala AD o aplicaciones integradas en AD y, en general, no se deben manipular sin una buena razón. Las unidades organizativas, por otro lado, son para que usted, el administrador, pueda jugar con ellas a su gusto. Usted crea, mueve y elimina unidades organizativas y categoriza a sus usuarios y computadoras de la forma que tenga sentido para su organización. Además, hay ciertos systemFlagscontenedores generalmente asignados que le prohíben moverlos o eliminarlos.
Respuesta2
Vincular GPO a contenedores de Active Directory En este artículo el primer párrafo dice:
Un GPO se puede asociar (vincular) a uno o más contenedores de Active Directory, como unsitio,dominio, ounidad organizacional.Se pueden vincular varios contenedores al mismo GPO y un solo contenedor puede tener más de un GPO vinculado. Si hay varios GPO vinculados a un contenedor, puede priorizar el orden en que se aplican los GPO.
Y para complementar la información, en este artículo dice: Estructura de Active Directory y política de grupo
No es posible vincular un objeto de política de grupo a un contenedor genérico de Active Directory. (Un contenedor genérico de Active Directory se puede identificar por su icono de carpeta simple en la consola Usuarios y equipos de Active Directory. El icono de una unidad organizativa es similar, excepto que hay un pequeño libro superpuesto a la carpeta). Sin embargo, los usuarios y equipos en genéricos Los contenedores de Active Directory reciben políticas por herencia de los objetos de Política de grupo vinculados en un nivel superior de Active Directory. Por ejemplo, los contenedores Usuarios y Computadoras que ve en Usuarios y Computadoras de Active Directory no pueden tener objetos de Política de grupo vinculados directamente a ellos, pero sí reciben objetos de Política de grupo vinculados al dominio mediante herencia.