Os contêineres são usados para segmentar e organizar uma rede e foram projetados tendo em mente usos e restrições específicas. Esta é a única razão pela qual não podemos vincular o GPO a um contêiner e apenas à UO? Existem mais diferenças entre um contêiner e uma UO?
Responder1
Por que não podemos vincular o GPO a um contêiner AD?
Principalmente porque um objeto contêiner não possui os gpLink
atributos gpOptions
necessários para vincular um objeto de política de grupo a ele. O Active Directory usa um banco de dados LDAP e nesse banco de dados LDAP existem diferentes tipos de objetos e uma hierarquia de heranças, de modo que determinados objetos podem herdar atributos de seu objeto pai acima deles. Alguns objetos possuem certos atributos e outros não. Por exemplo, objetos de usuário e objetos de computador herdam do mesmo objeto de nível superior, chamado user
. (Confuso, hein?) Um computador é essencialmente um tipo de usuário especializado.
Os contêineres são usados para segmentar e organizar uma rede e foram projetados tendo em mente usos e restrições específicas.
Não entendo o que você está dizendo.
Esta é a única razão pela qual não podemos vincular o GPO a um contêiner e apenas à UO?
Veja a primeira pergunta acima.
Existem mais diferenças entre um contêiner e uma UO?
Você não pode vincular um GPO a um contêiner e geralmente nunca deve tentar remover ou excluir contêineres. Contêineres e UOs são duas classes de objetos diferentes (mas semelhantes). Em geral, os contêineres são criados pelo sistema quando você instala o AD ou aplicativos integrados ao AD e, em geral, não devem ser mexidos sem um bom motivo. As UOs, por outro lado, são para você, o administrador, brincar o quanto quiser. Você cria, move e exclui unidades organizacionais e categoriza seus usuários e computadores da maneira que fizer sentido para sua organização. Além disso, existem certos systemFlags
contêineres normalmente atribuídos que proíbem você de movê-los ou excluí-los.
Responder2
Vinculando GPOs a contêineres do Active Directory Neste artigo, o primeiro parágrafo diz:
Um GPO pode ser associado (vinculado) a um ou mais contêineres do Active Directory, como umsite,domínio, ouunidade organizacional.Vários contêineres podem ser vinculados ao mesmo GPO, e um único contêiner pode ter mais de um GPO vinculado a ele. Se vários GPOs estiverem vinculados a um contêiner, você poderá priorizar a ordem em que os GPOs serão aplicados.
E para complementar a informação, neste artigo diz: Estrutura do Active Directory e Política de Grupo
Não é possível vincular um objeto de Política de Grupo a um contêiner genérico do Active Directory. (Um contêiner genérico do Active Directory é identificável por seu ícone de pasta simples no console Usuários e Computadores do Active Directory. O ícone de uma unidade organizacional é semelhante, exceto que um pequeno livro é sobreposto à pasta.) No entanto, usuários e computadores em genérico Os contêineres do Active Directory recebem políticas por herança de objetos de Política de Grupo vinculados a um nível superior do Active Directory. Por exemplo, os contêineres Usuários e Computadores que você vê em Usuários e Computadores do Active Directory não podem ter objetos de Política de Grupo vinculados diretamente a eles, mas recebem objetos de Política de Grupo vinculados ao domínio por meio de herança.