在一個擁有 Active Directory 的分支較多的組織中,我與 IT 主管機關合作,我們將對部分分支 OU 的控制權委託給相應的分支管理員。
我們的委派概念目前處理群組策略的方式是,我們建立一個由IT 主管控制的群組原則對象,並建立一個委派給每個分支的分支管理員的群組原則對象,兩者在同一層級上連結到分支OU, GPO-head獲得Enforced標誌且連結順序為 1。
在定義本地群組(通常只是預先定義的群組,例如管理員或遠端桌面使用者)時,我們面臨著委派相當棘手的問題。最終目標是擁有-headGPO 在群組中定義的所有內容並合併到-branch成員資格定義中。我們透過 GPP 定義本地群組,-head如下所示:
我們正在刷新群組成員身份,以確保透過 GPP 新增一次但隨後刪除的群組成員實際上已從客戶端的本機群組中刪除。
同一組可能具有透過 GPP 進行的成員資格定義-branch:
現在的結果是,只有 的-head定義最終出現在受影響的客戶端上。當使用Restricted Groups而不是 GPP時,我們得到幾乎相同的結果,因為Enforced連結標誌賦予-headGPO 優先權而不是-branch.當在Restricted Groups上-head與 GPP混合時-branch,我們會看到不一致的結果 - 取決於首先運行的 CSE(顯然 CSE 的執行順序未定義),組可能包含或不包含來自 的 GPP 定義的成員-branch。
那麼,集中執行某些成員資格同時仍允許委派給分支機構管理員的最明智的方法是什麼?