Контейнеры используются для сегментации и организации сети и были разработаны с учетом конкретных вариантов использования и ограничений. Это единственная причина, по которой мы не можем связать GPO с контейнером и только с OU? Есть ли еще какие-либо различия между контейнером и OU?
решение1
Почему мы не можем связать GPO с контейнером AD?
В первую очередь потому, что у контейнерного объекта отсутствуют необходимые gpLinkи gpOptionsатрибуты, требуемые для привязки к нему объекта групповой политики. Active Directory использует базу данных LDAP, и в этой базе данных LDAP есть различные виды объектов и иерархия наследования, так что определенные объекты могут наследовать атрибуты от своего родительского объекта, находящегося над ними. У некоторых объектов есть определенные атрибуты, а у некоторых нет. Например, объекты пользователя и объекты компьютера оба наследуют от одного и того же объекта более высокого уровня, называемого user. (Запутанно, да?) Компьютер по сути является специализированным типом пользователя.
Контейнеры используются для сегментации и организации сети и были разработаны с учетом конкретных целей и ограничений.
Не понимаю, что вы говорите.
Это единственная причина, по которой мы не можем привязать GPO к контейнеру и только к OU?
См. первый вопрос выше.
Есть ли еще какие-либо различия между контейнером и OU?
Вы не можете связать GPO с контейнером, и вы, как правило, никогда не должны пытаться удалить или удалить контейнеры. Контейнеры и OU — это два разных (но похожих) класса объектов. Как правило, контейнеры устанавливаются системой при установке AD или интегрированных в AD приложений и, как правило, не должны вмешиваться в них без очень веской причины. С другой стороны, OU — это то, с чем вы, администратор, можете играть в свое удовольствие. Вы создаете, перемещаете и удаляете OU и классифицируете своих пользователей и компьютеры любым способом, который имеет смысл для вашей организации. Кроме того, есть определенные, systemFlagsобычно назначаемые контейнерам, которые запрещают вам перемещать или удалять их.
решение2
Связывание объектов групповой политики с контейнерами Active Directory В первом абзаце этой статьи говорится:
Объект групповой политики может быть связан (привязан) к одному или нескольким контейнерам Active Directory, напримерсайт,домен, илиорганизационная единица.Несколько контейнеров могут быть связаны с одним и тем же GPO, а один контейнер может иметь более одного связанного с ним GPO. Если несколько GPO связаны с одним контейнером, вы можете установить приоритеты порядка применения GPO.
И для дополнения информации, в этой статье говорится: Структура Active Directory и групповая политика
Невозможно связать объект групповой политики с универсальным контейнером Active Directory. (Универсальный контейнер Active Directory можно определить по его простому значку папки в консоли Active Directory Users and Computers. Значок организационной единицы аналогичен, за исключением того, что на папку наложена небольшая книга.) Однако пользователи и компьютеры в универсальных контейнерах Active Directory получают политику по наследству от объектов групповой политики, связанных на более высоком уровне Active Directory. Например, контейнеры Users and Computers, которые вы видите в Active Directory Users and Computers, не могут иметь напрямую связанных с ними объектов групповой политики, но они получают связанные с доменом объекты групповой политики посредством наследования.