Active Directory를 사용하는 대규모 분기 조직에서 저는 수석 IT 부서와 협력하고 있으며 분기 OU의 일부에 대한 제어권을 해당 분기 관리자에게 위임하고 있습니다.
우리의 위임 개념은 현재 헤드 IT의 제어 하에 하나의 그룹 정책 개체와 각 지점에 대해 지점 관리자에게 위임된 하나의 그룹 정책 개체를 생성하는 방식으로 그룹 정책을 처리합니다. 두 그룹 모두 지점 OU와 동일한 수준에 연결되어 있습니다. GPO 는 플래그와 링크 순서 1을 -head가져옵니다 .Enforced
로컬 그룹(일반적으로 관리자 또는 원격 데스크톱 사용자와 같이 미리 정의된 그룹)을 정의할 때 위임하기가 다소 까다롭다는 문제에 직면합니다. 궁극적인 목표는 -headGPO가 그룹에 정의한 모든 것을 보유 하고 -branch구성원 정의에 병합하는 것입니다. 다음과 같이 GPP를 통해 로컬 그룹을 정의합니다 -head.
GPP를 통해 한 번 추가되었지만 이후 제거된 그룹 구성원이 클라이언트의 로컬 그룹에서 실제로 제거되었는지 확인하기 위해 그룹 멤버십을 플러시하고 있습니다.
동일한 그룹에는 GPP를 통해 작성된 멤버십 정의가 있을 수 있습니다 -branch.
이제 결과적으로 -head영향을 받는 클라이언트에는 의 정의만 존재하게 됩니다. Restricted Groups링크 Enforced플래그 가 -head. -branch그리고 에서 GPP를 Restricted Groups혼합 하면 일관되지 않은 결과가 나타납니다. 어떤 CSE가 먼저 실행되는지에 따라(분명히 CSE의 실행 순서는 정의되지 않음) 그룹에 의 GPP 정의 멤버가 포함될 수도 있고 포함되지 않을 수도 있습니다 .-head-branch-branch
그렇다면 지점 관리자에게 위임을 허용하면서 특정 멤버십을 중앙에서 시행하는 가장 합리적인 방법은 무엇일까요?