容器用於分段和組織網絡,並且在設計時考慮了特定用途和限制。這是我們無法將 GPO 連結到容器而只能連結到 OU 的唯一原因嗎?容器和 OU 之間還有其他差別嗎?
答案1
為什麼我們不能將 GPO 連結到 AD 容器?
主要是因為容器物件缺乏將群組原則物件連結到它所需的必要條件gpLink
和屬性。 gpOptions
Active Directory 使用 LDAP 資料庫,其中 LDAP 資料庫包含不同類型的物件和繼承層次結構,以便某些物件可以從其上方的父物件繼承屬性。有些物件具有某些屬性,有些則沒有。例如,使用者物件和電腦物件都繼承自同一個更高層級的對象,稱為user
. (令人困惑吧?)電腦本質上是一種特殊類型的使用者。
容器用於分段和組織網絡,並且在設計時考慮了特定用途和限制。
不明白你在說什麼。
這是我們無法將 GPO 連結到容器而只能連結到 OU 的唯一原因嗎?
請參閱上面的第一個問題。
容器和 OU 之間還有其他差別嗎?
您無法將 GPO 連結到容器,通常不應嘗試移除或刪除容器。容器和 OU 是兩種不同(但相似)的物件類別。一般來說,容器是在安裝 AD 或 AD 整合應用程式時由系統放置的,一般情況下,如果沒有充分的理由,不應弄亂容器。另一方面,OU 是供管理員您盡情使用的。您可以建立、移動和刪除 OU,並以對您的組織有意義的方式對使用者和電腦進行分類。此外,某些systemFlags
通常分配給容器的容器會禁止您移動或刪除它們。
答案2
將 GPO 連結到 Active Directory 容器 這篇文章的第一段說:
GPO 可以關聯(連結)到一個或多個 Active Directory 容器,例如地點,領域, 或者組織單位。多個容器可以連結到同一個 GPO,並且一個容器可以連結多個 GPO。如果多個 GPO 連結到一個容器,您可以優先考慮 GPO 的應用順序。
為了補充訊息,這篇文章說: Active Directory 結構和群組原則
無法將群組原則物件連結到通用 Active Directory 容器。 (通用 Active Directory 容器可透過 Active Directory 使用者和電腦控制台中的普通資料夾圖示來識別。組織單位的圖示類似,只是資料夾上疊加了一本小書。)但是,通用的使用者和電腦Active Directory 容器確實透過從Active Directory 更高層級連結的群組原則物件繼承來接收策略。例如,您在 Active Directory 使用者和電腦中看到的使用者和電腦容器無法將群組原則物件直接連結到它們,但它們確實透過繼承的方式接收網域連結的群組原則物件。