En una organización con muchas sucursales con Active Directory, estoy trabajando con el departamento principal de TI y estamos delegando el control de partes de la unidad organizativa de la sucursal a los respectivos administradores de la sucursal.
Nuestro concepto de delegación actualmente maneja las políticas de grupo de manera que creamos un objeto de política de grupo bajo el control del jefe de TI y un objeto de política de grupo delegado al administrador de la sucursal para cada una de las sucursales, ambos vinculados en el mismo nivel a la unidad organizativa de la sucursal. con el -headGPO obteniendo la Enforcedbandera y el Orden de enlace de 1.
Al definir grupos locales (normalmente sólo grupos predefinidos como administradores o usuarios de escritorio remoto) nos enfrentamos al problema de que es bastante complicado delegar. El objetivo final es tener todo lo que el -headGPO haya definido en el grupo y fusionarlo en las -branchdefiniciones de membresía. Estamos definiendo grupos locales a través de GPP de -headesta manera:
Estamos eliminando las membresías del grupo para asegurarnos de que los miembros del grupo que se agregaron una vez a través del GPP pero que se eliminaron posteriormente se eliminen de los grupos locales de los clientes.
El mismo grupo podría tener definiciones de membresía realizadas a través de GPP en -branch:
Ahora el resultado es que, -headen última instancia, sólo la definición de 's está presente en los clientes afectados. Obtenemos prácticamente el mismo resultado cuando usamos Restricted Groupsen lugar de GPP, ya que el Enforcedindicador de enlace le da -headpreferencia al GPO sobre el archivo -branch. Y al mezclar Restricted Groupscon -headGPP en -branch, vemos resultados inconsistentes: dependiendo de qué CSE se ejecuta primero (aparentemente el orden de ejecución de los CSE no está definido), los grupos pueden contener o no miembros definidos por GPP de -branch.
Entonces, ¿cuál sería la forma más sensata de hacer cumplir ciertas membresías de manera centralizada y al mismo tiempo permitir la delegación a los administradores de sucursales?