Я относительно новичок в Active Directory и мне сложно разобраться в следующем сценарии:
- У меня есть группа пользователей в отделе кадров
- У меня есть группа пользователей в отделе маркетинга.
- Есть несколько пользователей, которые являются частью как отдела кадров, так и отдела маркетинга.
- Я создаю общую папку, которой будет пользоваться только отдел маркетинга.
- Я настраиваю общий принтер, которым будет пользоваться только отдел кадров.
Первоначально я думал, что сделаю следующее:
- Добавьте пользователей HR в HR OU
- Добавьте пользователей отдела маркетинга в подразделение маркетинга.
- Добавьте несколько пользователей в оба OU.
- Примените групповую политику к подразделению HR, чтобы только эти пользователи могли печатать на этом принтере
- Примените групповую политику к подразделению «Маркетинг», чтобы доступ к папке имели только эти пользователи.
Однако я застрял на шаге 3 выше, потому что, похоже, я не могу добавлять пользователей в более чем одну OU. Я думал об использовании локальной группы домена вместо OU, но тогда я думаю, что не смогу применить GPO к группе.
Я знаю, что есть способ сделать это. Где я ошибаюсь в своем понимании и какой подход является хорошим для решения этой ситуации?
решение1
Пользовательский объект может быть только в одном OU. Однако, возможноприменить GPO к группе безопасности:
- Выберите объект групповой политики из списка и нажмите «Свойства».
- Выберите вкладку «Безопасность».
- Измените разрешения так, чтобы права на чтение и применение имели только требуемые пользователи, а права на чтение и запись имели администраторы, которым необходимо изменить GPO.
Требования:
- Вам необходимо применить GPO для обоих подразделений.
- Все требуемые пользователи из обоих подразделений также должны быть членами группы безопасности.