我對 Active Directory 比較陌生,無法理解以下場景:
- 我在人力資源部門有一組用戶
- 我在行銷部門有一組用戶
- 有幾個使用者同時屬於人力資源和行銷部門
- 我正在設置一個共享資料夾,僅供行銷部門使用
- 我正在設定一台共用印表機,僅供人力資源部門使用
我原本以為我會做以下事:
- 將 HR 使用者新增至 HR OU
- 將行銷用戶新增至行銷 OU
- 將一些用戶新增到兩個 OU
- 將群組原則套用到 HR OU,僅允許那些使用者列印到該印表機
- 將群組原則套用到 Marketing OU,僅允許那些使用者存取該資料夾。
然而,我陷入了上面的第 3 步,因為我似乎無法將用戶新增到多個 OU。我曾考慮使用網域本機群組而不是 OU,但後來我認為我無法將 GPO 應用於群組。
我知道有一種方法可以做到這一點。我的理解哪裡有問題?
答案1
一個使用者物件只能位於一個 OU 中。然而,有可能將 GPO 應用於安全群組:
- 從清單中選擇 GPO,然後按一下“屬性”
- 選擇安全性選項卡
- 修改權限,使得只有所需的使用者俱有讀取和應用權限,而需要修改GPO的管理員具有讀取和寫入權限。
要求:
- 您必須為兩個 OU 套用 GPO。
- 兩個 OU 中的所有必需使用者也必須是安全群組的成員。